(19)
(11) EP 1 674 370 A1

(12) DEMANDE DE BREVET EUROPEEN

(43) Date de publication:
28.06.2006  Bulletin  2006/26

(21) Numéro de dépôt: 05292630.0

(22) Date de dépôt:  09.12.2005
(51) Int. Cl.: 
B61L 23/06(2006.01)
(84) Etats contractants désignés:
AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HU IE IS IT LI LT LU LV MC NL PL PT RO SE SI SK TR
Etats d'extension désignés:
AL BA HR MK YU

(30) Priorité: 21.12.2004 FR 0413675

(71) Demandeur: ALSTOM BELGIUM S.A.
6001 Charleroi (BE)

(72) Inventeurs:
  • Merlin, Matthieu
    59000 Lille (FR)
  • Burton, Dominique
    1495 Tilly (Villers-la-Ville) (BE)

(74) Mandataire: Blot, Philippe Robert Emile et al
Cabinet Lavoix 2, place d'Estienne d'Orves
75441 Paris Cedex 09
75441 Paris Cedex 09 (FR)

   


(54) Installation de protection des travailleurs en voie


(57) L'installation de protection des travailleurs en voie sur un réseau ferroviaire découpé en zones comporte :
  • un automate centralisé (30) de gestion des organes de régulation du trafic (18A, 18B, 18C, 180, 20A, 20B, 20C, 20D, 31) ;
  • un terminal de commande (32) déporté le long du réseau propre à commander le niveau de mise en sécurité d'une zone du réseau par action sur l'automate centralisé (30) ; et
  • des moyens de liaison du ou de chaque terminal de commande (32) à l'automate (30).

Les moyens de liaison comportent :
  • des moyens (38A, 38B, 36) de communication entre le terminal de commande (32) et une unité de gestion des accès (34) propres à adresser des commandes, du terminal de commande (32) vers l'unité de gestion des accès (34), et
  • une unité (34) de gestion des accès à l'automate (30) depuis le terminal de commande (32).



Description


[0001] La présente invention concerne une installation de protection des travailleurs de voie sur un réseau ferroviaire découpé en zones, du type comportant :
  • un automate centralisé de gestion des organes de régulation du trafic;
  • au moins un terminal de commande déporté le long du réseau propre à commander le niveau de mise en sécurité d'une zone du réseau par action sur l'automate centralisé; et
  • des moyens de liaison du ou de chaque terminal de commande à l'automate.


[0002] Lors de phases d'entretien, de modifications ou de mouvements de manoeuvre des réseaux ferroviaires, il est nécessaire que des ouvriers interviennent sur les voies. Les zones d'intervention doivent être mises en sécurité, c'est-à-dire qu'il convient que la signalisation du réseau ferroviaire, ainsi que les moyens de routage des trains interdisent aux trains d'accéder à la zone d'intervention.

[0003] Il est important que les zones d'intervention mises en sécurité ne puissent pas être modifiées ou libérées sans information des personnels en ayant la charge. En effet, en cas de telles modifications ou libérations, les ouvriers qui se croient être en sécurité puisque dans une zone qu'ils avaient définie comme inaccessible aux trains, pourraient se voir surpris par le passage d'un train.

[0004] Des installations de protection des travailleurs existent déjà pour permettre la mise en sécurité de certaines zones d'intervention.

[0005] Dans ces installations, comme dans tout réseau ferroviaire moderne, un automate assure la gestion des organes de régulation du trafic, tels que les feux et la position des aiguillages. Pour la mise en sécurité d'une zone d'intervention, un ou plusieurs terminaux de commande de l'automate sont positionnés le long de la zone d'intervention. Ces terminaux de commande sont couramment appelés "boîtes à boutons". II s'agit de terminaux comportant un ensemble de commutateurs verrouillables et de voyants lumineux pouvant être complétés par un dispositif téléphonique. Ces terminaux de commande sont disposés le long de la voie et sont reliés à l'automate par un réseau filaire ou un réseau de fibres optiques.

[0006] Chaque boîte à boutons comporte au moins un commutateur permettant de commander la mise en sécurité de la zone associée. Pour permettre le verrouillage du commutateur dans la position assurant la sécurité et interdisant donc l'accès des trains, l'organe de commande du commutateur est immobilisable en position, par exemple à l'aide d'un cadenas dont seul le responsable de la zone d'intervention dispose de la clé. Ainsi, aucune personne ne peut libérer la zone et permettre le passage d'un train sans disposer de la clé. Plusieurs cadenas peuvent être installés sur le même organe de commande d'un commutateur, de sorte que plusieurs personnes peuvent garantir la sécurité sur la zone pour leur propre compte.

[0007] De telles boîtes à boutons permettent une sécurité efficace sur les zones de travaux. Toutefois, elles nécessitent la présence d'un réseau de communication filaire ou optique le long des voies ferrées, et notamment dans la zone de travaux. De plus, les boîtes à boutons doivent être physiquement implantées le long de la voie, éventuellement avec implantation d'un réseau de communication si celui-ci n'est pas déjà présent, ce qui augmente considérablement le coût des interventions sur la voie ferrée.

[0008] L'invention a pour but de proposer une installation de gestion du trafic ferroviaire permettant la mise en sécurité de certaines zones d'intervention, notamment pour des travaux qui puisse être d'un coût d'installation et de mise en oeuvre réduit, tout en permettant de procurer une sécurité élevée aux travailleurs de voie dans les zones sécurisées, en évitant l'accès des trains.

[0009] A cet effet, l'invention a pour objet une installation de protection des travailleurs en voie sur un réseau ferroviaire découpé en zones, du type précité, caractérisée en ce que les moyens de liaison comportent :
  • des moyens de communication entre le terminal de commande et une unité de gestion des accès propres à adresser des commandes, du terminal de commande vers l'unité de gestion des accès, et
  • une unité de gestion des accès à l'automate depuis le terminal de commande propre à assurer sélectivement la commande de l'automate depuis le ou chaque terminal de commande en fonction d'informations de commande transmises depuis le terminal de commande.


[0010] Suivant des modes particuliers de réalisation, l'installation comporte l'une ou plusieurs des caractéristiques suivantes :
  • le ou chaque terminal de commande comporte des moyens d'identification d'une zone du réseau pour commander son niveau de mise en sécurité ;
  • le ou chaque terminal de commande comporte des moyens d'identification et d'authentification d'au moins un utilisateur en charge de la commande du niveau de la mise en sécurité d'une zone, et l'unité de gestion est propre à limiter l'intervention de toute autre personne sur ladite zone pour réduire le niveau de mise en sécurité ;
  • l'unité de gestion des accès comporte des moyens d'évaluation de chaque commande transmise depuis un terminal de commande et des moyens pour, en cas d'accord sur la commande, requérir du terminal de commande ayant transmis la commande, une commande de confirmation correspondante, et l'unité de gestion des accès est adaptée pour assurer la commande de l'automate depuis le terminal de commande seulement après réception de la commande de confirmation correspondante depuis le terminal de commande ;
  • la commande de confirmation correspondante à une commande d'origine consiste en une nouvelle formulation de la commande d'origine qui est effectuée suivant une sémantique différente de celle de la commande d'origine tout en ayant une signification identique ;
  • l'unité de gestion des accès et l'automate sont propres chacun à assurer la gestion d'états pour chaque zone du réseau, et en ce que ladite unité de gestion des accès est adaptée pour rendre accessible seulement certaines commandes depuis le ou chaque terminal de commande en fonction de l'état de la zone considérée ;
  • l'unité de gestion des accès est propre à assurer la gestion d'identifiants d'utilisateurs, et comporte des moyens d'identification de l'utilisateur du terminal de commande, et ladite unité de gestion des accès est propre à rendre accessible seulement certaines commandes depuis le ou chaque terminal en fonction de l'identifiant de l'utilisateur du terminal ;
  • les moyens de gestion des accès sont adaptés pour transmettre au terminal de commande une description du réseau indiquant le niveau de mise en sécurité de zones considérées après chaque commande de l'automate effectuée depuis ce terminal de commande, et le ou chaque terminal de commande comporte des moyens de réception d'une description transmise depuis les moyens de gestion d'accès et des moyens pour mettre à disposition de l'utilisateur la dernière description du réseau reçue ;
  • le ou chaque terminal de commande comporte des moyens de définition d'une commande propre à un organe de régulation du trafic particulier d'une zone du réseau notamment à un aiguillage et les moyens de gestion d'accès comportent des moyens pour faire exécuter ladite commande par l'automate centralisé ;
  • lesdits moyens de communication entre le terminal de commande et l'unité de gestion des accès sont propres à assurer une communication sans fil ; et
  • le ou chaque terminal de commande comporte un identifiant, et l'installation comporte des moyens de désactivation de certains terminaux de commande en fonction de leur identifiant.


[0011] L'invention sera mieux comprise à la lecture de la description qui va suivre, donnée uniquement à titre d'exemple et faite en se référant aux dessins, sur lesquels :
  • la figure 1 est une vue schématique partielle d'un réseau ferroviaire équipé d'une installation de protection des travailleurs en voie selon l'invention ;
  • la figure 2 est un schéma d'un ensemble de zones sécurisées d'un réseau illustrant les compétences des différents intervenants sur ces zones ;
  • la figure 3 est un organigramme illustrant les différents états possibles pour une zone sécurisée ;
  • la figure 4 est un organigramme illustrant les communications lors d'un changement d'état d'une zone sécurisée ; et
  • les figures 5, 6 et 7 sont des vues identiques à celle de la figure 1 montrant des phases successives de mise en sécurité de certaines zones du réseau.


[0012] Le réseau ferroviaire illustré sur la figure 1 comporte un ensemble de voies communiquant les unes avec les autres par l'intermédiaire d'appareils de voies tels que des aiguillages.

[0013] Plus précisément, deux voies principales 12, 14 sont reliées l'une à l'autre par des sections de liaison 16A, 16B, 16C, 16D, chacune reliée aux voies principales 12 et 14 respectivement par des aiguillages 18A, 18B, 18C, 18D et 20A, 20B, 20C, 20D.

[0014] Le réseau est associé à une installation 22 de gestion du trafic comportant un automate centralisé 30 de gestion des organes de régulation du trafic. Ainsi, cet automate est relié, par tout moyen approprié, notamment un réseau flaire 30A de transmission de données, à différents organes de régulation du trafic, tels que des feux ou des panneaux d'information 31 ou encore des organes de modification du trajet tels que les aiguillages 18A, 18B, 18C, 18D ; 20A, 20B, 20C et 20D.

[0015] L'automate centralisé 30 est propre à mettre en oeuvre les règles de circulation définies pour la gestion du trafic, et en particulier à assurer le routage des trains, et la commande des organes de régulation du trafic pour assurer ce routage.

[0016] Selon l'invention, pour permettre la gestion du trafic, et notamment la mise en sécurité de certaines zones d'intervention, l'installation 22 intègre une installation de protection des travailleurs en voie.

[0017] Cette dernière comporte au moins un terminal de commande 32 déporté le long du réseau ferroviaire. Ce terminal est propre à commander la mise en sécurité d'une zone d'intervention par action sur l'automate centralisé 30. Les zones sont définies préalablement lors de la conception du réseau ferroviaire et sont constituées d'un tronçon réduit du réseau.

[0018] L'installation de protection peut être efficace même sur des zones non encore équipées lors d'interruptions de trafic brèves.

[0019] Cette installation 22 comporte en outre, selon l'invention, une unité 34 de gestion des accès à l'automate 30 depuis le terminal de commande 32. Cette unité est propre à assurer l'autorisation de la commande de l'automate depuis le ou chaque terminal de commande 32.

[0020] L'installation comprend une interface de communication 36, composée d'un émetteur-récepteur sans fil par exemple compatible avec la norme GSM propre à communiquer avec chaque terminal 32 et d'un module de communication ETHERNET au travers duquel l'interface 36 est reliée à l'unité de gestion d'accès 34.

[0021] Chaque terminal 32 comporte des moyens de communication 38A sans fil afin d'assurer une communication bidirectionnelle entre le terminal de commande 32 et l'unité 34 de gestion d'accès au travers de l'interface 36.

[0022] Le terminal de commande 32 est constitué d'un dispositif portable tel qu'un assistant numérique personnel connu sous l'acronyme PDA équipé d'une interface homme machine telle qu'un écran 38B et un clavier de saisie 38C, et de moyens de mémorisation et de traitement d'informations 38D. Il est propre notamment à recevoir, depuis le réseau sans fil, des informations sur le réseau, des requêtes et des comptes-rendus d'opérations.

[0023] Enfin, l'installation 22 comporte un poste central de gestion 40 comportant des interfaces homme machine de commande du réseau et des moyens de planification des itinéraires des trains. Ce poste central de gestion 40 est relié à l'automate 30 pour y adresser directement des commandes et recevoir des informations représentatives de l'état du réseau.

[0024] Avant de décrire en détail les commandes pouvant être adressées depuis le terminal de commande 32 à l'automate 30 au travers de l'unité de gestion des accès 34, la figure 2 illustre schématiquement les intervenants avec leurs droits et leurs responsabilités sur l'installation de gestion. Ces droits sont alloués aux personnes au fur et à mesure de leurs demandes et ne sont pas prédéfinis à demeure dans l'installation.

[0025] Sur cette figure sont figurées trois zones distinctes d'intervention 50, 52 et 54.

[0026] Chacune des zones, comme l'ensemble du réseau, est sous la responsabilité d'un opérateur de contrôle central 60. Cet opérateur est basé au poste central de gestion 40 et est en charge d'autoriser ou non à ce que certaines zones d'intervention soient mises en sécurité.

[0027] Par ailleurs, un propriétaire de zone 62 a la charge de la gestion d'une ou plusieurs zones d'intervention mises en sécurité. Il est doté d'un terminal de commande 32 et peut agir depuis celui-ci pour les zones dont il a la responsabilité. Le propriétaire d'une zone est l'un des travailleurs de voie de la zone considérée.

[0028] Le propriétaire d'une zone donnée peut être la même personne que celle ayant la responsabilité de plusieurs zones dont la zone considérée.

[0029] Les travailleurs de voie peuvent en outre devenir responsables de la zone et/ou de certains aiguillages de la zone alors que la zone a un propriétaire. Les responsables peuvent alors agir sur l'installation, par l'intermédiaire d'un terminal de commande 32 dont ils sont dotés, pour permettre certaines opérations de circulation des trains dans la zone où ils sont affectés, tout en garantissant leur sécurité.

[0030] Enfin, un utilisateur maître ou super-utilisateur noté 66 a la possibilité d'agir sur toutes fonctions de l'installation et ainsi remplacer un propriétaire ou un responsable de zones en cas de défaillance de celui-ci.

[0031] L'installation de gestion du trafic prévoit quatre états logiques distincts illustrés sur la figure 3 pour chaque zone d'intervention possible. Ces états sont gérés par l'automate 30 et/ou par l'unité de gestion d'accès 34.

[0032] Ainsi, chaque zone est, à chaque instant, caractérisée par un état.

[0033] Ces états sont hiérarchisés de sorte que la commutation d'un état vers un autre n'est possible que par transition par un état intermédiaire si l'état de départ et l'état d'arrivée ne sont pas adjacents.

[0034] Dans un premier état dénommé normal («normal»), la zone n'est pas mise en sécurité et ne permet donc pas l'accès de travailleurs de voie. Cet état correspond à un état d'exploitation normal du réseau dans lequel les trains sont susceptibles de traverser sans entrave cette zone en fonction du routage prédéfini par l'automate 30.

[0035] Dans le deuxième état, qualifié de donné («given») qui est immédiatement sous-jacent à l'état normal («normal»), la zone d'intervention est susceptible d'être mise en sécurité à la requête d'un futur propriétaire. Cet état est donc un état transitoire.

[0036] Le passage de l'état normal («normal») à l'état donné («given») ne peut être effectué que par l'opérateur de contrôle central 60 depuis le poste central de gestion 40.

[0037] Dans cet état donné («given»), l'accès des trains sur la zone est normalement impossible, l'automate 30 interdisant par la signalisation l'accès d'un train dans la zone et éventuellement commande des aiguillages pour interdire physiquement toute intrusion dans la zone par mise en place de mesures de sécurité frontalières comme cela est connu en soi.

[0038] L'état immédiatement sous-jacent à l'état donné («given») est l'état dénommé possédé («possessed»). Cet état peut être atteint sur la commande d'un travailleur de voie depuis son terminal de commande 32, si la zone était préalablement à l'état donné («given»). Le travailleur de voie devient alors propriétaire 62.

[0039] Enfin, un dernier état sous-jacent à l'état possédé («possessed») est l'état inhibé («block»). Cet état peut être atteint et libéré, sous la commande d'un travailleur de voie depuis son terminal de commande 32. Le travailleur de voie devient alors responsable de la zone. Plusieurs états inhibés («block») peuvent coexister pour une même zone, chaque état étant lié à un responsable.

[0040] Dans cet état, le responsable peut agir sur certains aiguillages, pour modifier leur position.

[0041] Les états normal («normal»), donné («given»), et possédé («possessed») sont gérés par l'automate 30 alors que l'état inhibé («block») est géré seulement par l'unité de gestion d'accès 34. Ainsi, l'état inhibé («block») ne peut exister que si l'état possédé («possessed») est actif pour l'automate pour la zone considérée.

[0042] Tant qu'au moins un état inhibé («block») existe, la zone ne peut passer de l'état possédé («possessed») à l'état donné («given»).

[0043] L'état d'une zone est défini par un jeton circulant entre les différents états, successivement d'un niveau à l'autre, sachant que les états sont ordonnés comme illustré sur la figure 3 suivant l'ordre normal («normal»), donné («given»), possédé («possessed») et inhibé («block»).

[0044] Hormis pour les passages du jeton entre l'état normal («normal») et l'état donné («given»), les autres changements d'état, ou les autres commandes définissant la mise en sécurité d'une zone, sont déclenchés par l'un des intervenants sur la zone à savoir un propriétaire et/ou un responsable ou encore l'utilisateur maître 66.

[0045] Par ailleurs, chaque aiguillage constituant un organe de régulation du trafic 18A, 18B, 18C, 18D, 20A, 20B, 20C, 20D est caractérisé par un état propre qui peut être « bloqué » ou « débloqué ». Dans l'exemple considéré, les organes de régulation du trafic ne sont formés que par des aiguillages.

[0046] Tout aiguillage du réseau dans un état « débloqué » peut être commuté par action directe sur celui-ci depuis un terminal de commande 32, dans certaines conditions, si la zone contenant cet aiguillage est à l'état bloqué inhibé («block»).

[0047] En revanche, lorsqu'un aiguillage est à l'état "bloqué", aucune commande ne peut être exécutée pour cet aiguillage et la zone comportant ce point ne peut quitter l'état inhibé («block»).

[0048] Pour l'exécution d'une commande, l'algorithme illustré sur la figure 4 est mis en oeuvre, les commandes étant produites depuis un terminal de commande 32.

[0049] Lors d'une étape initiale, si le terminal de commande 32 n'est pas encore en fonctionnement, une étape 100 d'ouverture d'une session est mise en oeuvre. A cet effet, une interface appropriée est disponible sur le terminal de commande 32. A partir de cette interface, l'utilisateur saisit son identifiant ainsi qu'un moyen d'authentification par exemple un mot de passe qui lui est propre. II sélectionne alors une unité de gestion d'accès 34. Ces informations sont transmises à l'unité de gestion d'accès sélectionnée.

[0050] En réponse, si l'identifiant et le moyen d'authentification sont corrects, l'unité de gestion d'accès 34 retourne au terminal de commande 32 une description des zones d'intervention et des aiguillages supervisés par l'unité de gestion des accès, et notamment leurs états courants.

[0051] Pour l'exécution d'une commande de mise en sécurité, le travailleur de voie renseigne à l'étape 102 sur le terminal de commande 32 un identificateur de la zone sur laquelle il souhaite appliquer la commande.

[0052] Suivant un premier mode de réalisation, cet identificateur est choisi dans un menu affiché sur le terminal. En variante, celui-ci est saisi au clavier ou encore est lu directement sur un panneau présent physiquement sur la zone, par exemple à l'aide d'un lecteur de code à barres.

[0053] A l'étape 104, une commande est choisie depuis le terminal de commande, notamment par sélection dans un menu. Les différentes commandes disponibles sont détaillées dans la suite. Ces commandes permettent notamment un changement d'état d'une zone d'intervention, ou l'actionnement d'un aiguillage.

[0054] A l'étape 106, cette commande, ainsi que la zone identifiée à l'étape 102, sont transmises par voie hertzienne, et notamment par le réseau à la norme GSM, jusqu'à l'interface 36, laquelle répercute cette identification de la zone et la commande à l'unité de gestion d'accès 34.

[0055] A l'étape 108, l'unité de gestion des accès 34 détermine à partir de l'état actuel de la zone considérée, et d'informations fournies par l'automate 30, si la commande peut ou non être exécutée.

[0056] En cas de rejet de la commande, par exemple parce que l'état actuel de la zone est normal («normal») et que celle-ci ne peut donc être mise en sécurité, la commande est rejetée à l'étape 110 par envoi d'un message de rejet vers le terminal de commande 32. Ce message est affiché à l'étape 112 pour avertir l'utilisateur du terminal de commande 32.

[0057] En revanche, si la commande est acceptée à l'étape 108, un message d'accord préalable est adressé, à l'étape 114, vers le terminal de commande 32. De même, une demande de confirmation 116 est adressée de l'unité de gestion 34 vers le terminal de commande 32. Cette demande de confirmation correspond à la requête auprès de l'utilisateur d'une nouvelle formulation de sa commande, nouvelle formulation qui doit être effectuée suivant une sémantique distincte de celle de la première commande, tout en ayant une signification identique.

[0058] A l'étape 118, le travailleur de voie saisit dans le terminal de commande 32 sa commande confirmée, laquelle est envoyée à l'unité de gestion 34.

[0059] Un test de concordance entre la commande initiale et la commande confirmée est effectué, à l'étape 120.

[0060] En cas de discordance, les étapes 110 et 112 sont mises en oeuvre. En revanche, en cas de concordance, la commande est exécutée, à l'étape 122.

[0061] A l'étape 124, une nouvelle description du réseau tenant compte de l'application de la commande et contenant l'état courant des aiguillages et zones supervisées par l'unité de gestion des accès 34 est retournée au terminal de commande 32.

[0062] Les commandes disponibles depuis le terminal de commande 32 et propres à être mises en oeuvre par l'unité de gestion des accès 34, soit directement, soit par l'intermédiaire de l'automate 30, sont telles que définies ci-dessous.
  1. 1 - Prise de zone ("Take an area")
    Cette commande est exécutée suivant l'algorithme de la figure 4, à partir d'une double saisie de la commande. Elle permet le passage de la zone considérée de l'état donné («given») à l'état possédé («possessed»). Ainsi, cette commande n'est possible que si l'état initial de la zone est donné («given»), état qui ne peut être atteint que sous la commande de l'opérateur central de contrôle depuis le poste central de gestion 40.
    L'unité de gestion des accès 34 lors de la réception d'une commande "take an area" adresse à l'automate 30 des paramètres de configuration permettant l'isolement de la zone définie du reste du trafic, comme cela est connu en soi.
    Le travailleur de voie ayant effectué cette commande devient propriétaire de la zone.
  2. 2 - Bloquer une zone ("Block an area")
    Cette commande est mise en oeuvre par l'algorithme de la figure 4. Elle permet le passage de la zone identifiée de l'état possédé («possessed») à l'état inhibé («block»).
    Cette commande n'a aucune autre action sur l'automate 30. Elle est gérée localement par l'unité de gestion des accès 34 et n'assure que le transfert du jeton vers l'état inhibé («block»). Ce jeton ne peut être libéré que sur une commande inverse du seul travailleur de voie ayant effectué la commande pour bloquer la zone.
    Le travailleur de voie ayant réalisé le blocage de la zone devient responsable de la zone.
  3. 3 - Commande de mouvement local d'aiguillage ("operate points locally")
    Cette commande n'est disponible que pour un travailleur de voie qui est responsable de la zone dans laquelle se trouve l'aiguillage.
    Lors du choix de cette commande, pour une zone donnée, le terminal de commande 32 interroge l'unité de gestion d'accès 34 pour obtenir l'état de la zone.
    L'aiguillagé qui doit être commandé est défini depuis le terminal de commande 32 par entrée d'un identifiant de l'aiguillage considéré. A partir de l'interface, le travailleur de voie sélectionne, sur le terminal de commande, le mouvement souhaité pour l'aiguillage. Comme illustré sur la figure 4, le mouvement de l'aiguillage est confirmé par formulation d'une demande confirmée et, seulement en cas de concordance, l'aiguillage est effectivement commandé.
    Si l'aiguillage est dans l'état "bloqué", la demande de mouvement de l'aiguillage est rejetée par l'unité de gestion d'accès et une erreur est affichée à l'utilisateur.
    En revanche, une telle commande peut être mise en oeuvre si la zone est à l'état « block », sous réserve que l'aiguillage considéré ne soit pas lui-même préalablement à l'état « bloqué ».
  4. 4 - Bloquer un aiguillage ("block a point")
    Cette commande est accessible uniquement pour un travailleur de voie qui est responsable de la zone dans laquelle se trouve l'aiguillage.
    Cette commande n'est possible que pour un aiguillage d'une zone qui est à l'état bloqué ("block").
    Après définition d'un aiguillage devant être passé à l'état « bloqué », par saisie depuis le terminal de commande 32 de son identifiant, le travailleur de voie saisit une commande de blocage de cet aiguillage et la confirme par envoi d'une commande confirmée correspondante, conformément à l'algorithme de la figure 4. Après quoi, l'unité de gestion des accès 34 modifie l'état propre à cet aiguillage pour le passer à l'état "bloqué", de sorte qu'aucune commande "operate points locally" ne puisse être appliquée à cet aiguillage.
  5. 5 - Débloquer un aiguillage ("unblock a point")
    Cette commande effectue l'opération inverse de la commande bloquer un aiguillage "block a point". Le déblocage d'un aiguillage ne peut être effectué que par le travailleur de voie responsable ayant préalablement procédé au blocage de l'aiguillage.
  6. 6 - Déblocage d'une zone ("unblock an area")
    Cette commande n'est accessible que pour un responsable de la zone qui a effectué une commande visant à bloquer la zone ("block an area"). Elle correspond à l'opération inverse de la commande bloquer une zone ("block an area").
  7. 7 - Rendre une zone ("give back an area")
    Cette commande n'est disponible que pour un propriétaire de zone. Elle correspond à la commande inverse à la commande prendre une zone ("take an area").
    L'unité de gestion des accès 34 est adaptée pour passer le jeton de l'état possédé («possessed») à l'état donné («given») seulement si l'état de la zone est initialement possédé («possessed») et qu'aucun aiguillage n'est dans un état "bloqué".
  8. 8 - Transfert de propriété ("transfer of ownership")
    Cette commande permet à un travailleur de voie de prendre la place d'un autre travailleur de voie qui est propriétaire d'une zone ou d'un aiguillage pour contrôler un état d'une zone ou d'un aiguillage, en reprenant à son compte les états imposés et en devenant le seul à pouvoir permettre la modification de ces états imposés par le précédent propriétaire.
    A cet effet, les terminaux de commande des deux opérateurs et l'unité de gestion 34 assurent une communication pour réaffecter à chaque état initialement associé à l'identifiant de l'opérateur initial l'identifiant de l'opérateur remplaçant.
  9. 9 - Désactivation d'un terminal ("close session")
    Cette commande est accessible seulement par un utilisateur maître, en cas de défaillance d'un travailleur de voie équipé d'un terminal portable 32.
    Elle permet que le terminal portable 32 soit déconnecté de l'unité de gestion des accès 34 et que le terminal portable soit éteint.
    Cette fonction permet au système de désactiver un terminal à partir de son identifiant si celui-ci est en réparation ou volé afin d'interdire l'accès au système à des personnes non autorisées qui pourraient profiter de l'immobilisation de ce terminal pour étudier et pirater le système.
  10. 10 - Rendu forcé d'une zone ("Force give back an area)
    Cette commande est accessible seulement par un utilisateur maître 66, en cas de défaillance d'un travailleur de voie.
    L'utilisateur maître vérifie que les conditions de sécurité sont remplies sur la zone avant de mettre en oeuvre cette commande.
    Cette commande permet que le jeton passe de l'état possédé («possessed») à l'état donné («given») sous la commande de l'utilisateur maître, sans qu'il y ait accord du propriétaire de la zone. Cette commande se fait par la procédure de double saisie illustrée sur la figure 4.
  11. 11 - Déblocage forcé de zone ("Force unblock")
    Cette commande est accessible seulement par un utilisateur maître 66, en cas de défaillance d'un travailleur de voie.
    L'utilisateur maître vérifie que les conditions de sécurité sont remplies sur la zone avant de mettre en oeuvre cette commande.
    Cette commande permet que le jeton passe de l'état inhibé («block») à l'état possédé («possessed») sous la commande de l'utilisateur maître, sans qu'il y ait accord du propriétaire. Cette commande se fait par la procédure de double saisie illustrée sur la figure 4.
    L'exemple qui suit décrit, sur la base du tronçon de réseau de la figure 1, les changements d'états de certaines zones en vue de l'exécution de travaux en explicitant les différentes commandes adressées depuis leur terminal de commande par les opérateurs en présence vers l'unité de gestion des accès.
    Les états successifs des différentes zones sont illustrés sur les figures 5 et suivantes. Deux zones d'interventions potentielles A et B sont définies, comme illustré sur la figure 5. Initialement, on suppose que chaque zone A et B est dans un état normal («normal»).
    Dans la perspective d'effectuer des travaux sur la zone d'intervention A, le travailleur de voie en charge des travaux vérifie d'abord visuellement la zone d'intervention A. Après quoi, il demande verbalement, par exemple par un appel effectué depuis un téléphone mobile, à l'opérateur de contrôle central 60 de commuter par passage de jeton la zone d'intervention A de son état normal («normal») à l'état donné («given»).
    Lors du passage à l'état donné («given»), l'unité de gestion des accès 34 commande l'automate 30 pour la mise en place de mesures de sécurité frontalières pour la zone d'intervention A. Ainsi, l'automate commute et verrouille tous les aiguillages concernés, dans une position telle qu'aucun mouvement de train ne soit possible depuis et vers la zone d'intervention A. La mise en place de mesure de sécurité frontalière n'est qu'optionnelle, et ce à chaque fois qu'il y est fait référence.
    Après mise en place des mesures de sécurité frontalières, l'état de la zone devient donné («given»). Des mesures de restriction de vitesse temporaire prédéterminées sont avantageusement appliquées sur les tronçons de voie adjacents à la zone d'intervention A. De telles mesures sont toutefois optionnelles.
    Le changement d'état de la zone d'intervention considérée est retourné aux terminaux de commande pour information. Avantageusement, un rapport est adressé à l'opérateur de contrôle central 60.
    Dans cet état, le routage des trains effectué depuis l'automate 30 ne peut plus s'effectuer avec transit dans la zone d'intervention A comme illustré sur la Figure 5.
    La zone étant dans son état donné («given»), le travailleur de voie peut prendre possession de la zone en la commutant dans son état possédé («possessed»). II en devient alors le propriétaire. Pour ce faire, celui-ci, conformément à l'algorithme de la figure 4, identifie la zone et commande le changement d'état à partir de son terminal de commande.
    Les travailleurs de voie en charge des travaux dans la zone d'intervention A sont alors à même de commuter la zone dans l'état inhibé («block») à partir de la commande "block an area" adressée depuis leurs terminaux de commande. En bloquant la zone, un travailleur de voie prend la responsabilité locale de la zone en devenant l'un des responsables et cette zone peut être rendue par la commande "give back".
    Le responsable est alors en charge de laisser entrer les trains nécessaires aux travaux dans la zone. Pour assurer une telle entrée, le responsable entre en contact avec l'opérateur de contrôle central 60 pour lui demander la désactivation des mesures de sécurité frontalières.
    Le responsable peut alors commander localement un aiguillage par la commande "operate points locally" depuis son terminal de commande 32.
    Afin d'éviter que d'autres travailleurs de voie présents sur le site déplacent ce même point, le responsable bloque d'abord l'aiguillage par la commande "block a point". Une telle commande est par exemple appliquée à l'aiguillage 20B.
    Après exécution, le train pénètre dans la zone d'intervention A après quoi, le responsable débloque le point qu'il a précédemment commandé à partir de la commande "unblock a point".
    Si plus aucun train ne doit entrer ou sortir de la zone, l'opérateur de contrôle central 60 rétablit les mesures de sécurité frontalières.
    De manière analogue, la zone d'intervention B peut être successivement passée à l'état possédé («possessed») par le propriétaire puis à l'état inhibé («block») par un travailleur de voie de cette zone comme illustré sur la Figure 6.
    Après que les travaux sont terminés dans la zone d'intervention A, le train peut circuler jusqu'à la zone d'intervention B après que le responsable de la zone B donne son accord.
    La zone d'intervention A peut alors être libérée. Pour cette libération, le responsable de la zone A s'assure qu'aucun travailleur de voie n'est plus présent sur la zone d'intervention A. II commande alors le passage de la zone à l'état possédé («possessed») depuis son terminal de commande par la commande "unblock an area". Après quoi, le propriétaire est à même de commander le passage de la zone de l'état possédé («possessed») à l'état donné («given») par mise en oeuvre de la commande "give back an area" depuis son terminal de commande 32. L'opérateur de contrôle central 60 commute ensuite la zone A dans son état normal («normal»), notamment en désactivant les mesures de sécurité frontalières.
    La zone A est alors à nouveau accessible au trafic ferroviaire avec éventuellement des restrictions de vitesse du fait des travaux ayant lieu dans la zone d'intervention B comme illustré sur la Figure 7.
    On comprend qu'une telle installation de gestion du trafic ferroviaire permet, par la mise en oeuvre de terminaux de commande associés aux différents intervenants, lesquels sont en communication par une liaison sans fil avec l'unité de gestion des accès 34, que différentes zones puissent être mises en sécurité de manière simple sans qu'il soit nécessaire d'établir un câblage préalable de la zone pour connecter des boîtes à boutons.
    Par ailleurs, le protocole de confirmation des commandes, associé à des états successifs pour chaque zone permet d'assurer un degré de sécurité élevé des travailleurs de voie.



Revendications

1. Installation de protection des travailleurs en voie sur un réseau ferroviaire découpé en zones comportant :

- un automate centralisé (30) de gestion des organes de régulation du trafic (18A, 18B, 18C, 180, 20A, 20B, 20C, 20D, 31) ;

- au moins un terminal de commande (32) déporté le long du réseau propre à commander le niveau de mise en sécurité d'une zone du réseau par action sur l'automate centralisé (30) ; et

- des moyens de liaison du ou de chaque terminal de commande (32) à l'automate (30),

caractérisée en ce que les moyens de liaison comportent :

- des moyens (38A, 38B, 36) de communication entre le terminal de commande (32) et une unité de gestion des accès (34) propres à adresser des commandes, du terminal de commande (32) vers l'unité de gestion des accès (34), et

- une unité (34) de gestion des accès à l'automate (30) depuis le terminal de commande (32) propre à assurer sélectivement la commande de l'automate (30) depuis le ou chaque terminal de commande (32) en fonction d'informations de commande transmises depuis le terminal de commande (32).


 
2. Installation selon la revendication 1, caractérisée en ce que le ou chaque terminal de commande (32) comporte des moyens d'identification d'une zone du réseau pour commander son niveau de mise en sécurité.
 
3. Installation selon la revendication 1 ou 2, caractérisée en ce que le ou chaque terminal de commande (32) comporte des moyens d'identification et d'authentification d'au moins un utilisateur en charge de la commande du niveau de la mise en sécurité d'une zone et l'unité de gestion (34) est propre à limiter l'intervention de toute autre personne sur ladite zone pour réduire le niveau de mise en sécurité.
 
4. Installation selon l'une quelconque des revendications précédentes, caractérisée en que l'unité de gestion des accès (34) comporte des moyens d'évaluation de chaque commande transmise depuis un terminal de commande (32) et des moyens pour, en cas d'accord sur la commande, requérir du terminal de commande (32) ayant transmis la commande, une commande de confirmation correspondante, et en ce que l'unité de gestion des accès (34) est adaptée pour assurer la commande de l'automate (30) depuis le terminal de commande (32) seulement après réception de la commande de confirmation correspondante depuis le terminal de commande (32).
 
5. Installation selon la revendication 4, caractérisée en que la commande de confirmation correspondante à une commande d'origine consiste en une nouvelle formulation de la commande d'origine qui est effectuée suivant une sémantique différente de celle de la commande d'origine tout en ayant une signification identique.
 
6. Installation selon l'une quelconque des revendications précédentes, caractérisée en ce que l'unité de gestion des accès (34) et l'automate (30) sont propres chacun à assurer la gestion d'états pour chaque zone du réseau, et en ce que ladite unité de gestion des accès (34) est adaptée pour rendre accessible seulement certaines commandes depuis le ou chaque terminal de commande (32) en fonction de l'état de la zone considérée.
 
7. Installation selon l'une quelconque des revendications précédentes, caractérisée en que l'unité de gestion des accès (34) est propre à assurer la gestion d'identifiants d'utilisateurs et comporte des moyens d'identification de l'utilisateur du terminal de commande (32), et en ce que ladite unité de gestion des accès (34) est propre à rendre accessible seulement certaines commandes depuis le ou chaque terminal (32) en fonction de l'identifiant de l'utilisateur du terminal (32).
 
8. Installation selon l'une quelconque des revendications précédentes, caractérisée en que les moyens de gestion des accès (34) sont adaptés pour transmettre au terminal de commande (32) une description du réseau indiquant le niveau de mise en sécurité de zones considérées après chaque commande de l'automate (30) effectuée depuis ce terminal de commande (32), et en ce que le ou chaque terminal de commande (32) comporte des moyens de réception d'une description transmise depuis les moyens de gestion d'accès (34) et des moyens pour mettre à disposition de l'utilisateur la dernière description du réseau reçue.
 
9. Installation selon l'une quelconque des revendications précédentes, caractérisée en que le ou chaque terminal de commande (32) comporte des moyens de définition d'une commande propre à un organe de régulation du trafic (18A, 18B, 18C, 18D, 20A, 20B, 20C, 20D, 31) particulier d'une zone du réseau notamment à un aiguillage et les moyens de gestion d'accès (34) comportent des moyens pour faire exécuter ladite commande par l'automate centralisé (30).
 
10. Installation selon l'une quelconque des revendications précédentes, caractérisée en ce que lesdits moyens (38A, 38B, 36) de communication entre le terminal de commande (32) et l'unité de gestion des accès (34) sont propres à assurer une communication sans fil.
 
11. Installation selon l'une quelconque des revendications précédentes, caractérisée en ce que le ou chaque terminal de commande (32) comporte un identifiant, et l'installation comporte des moyens de désactivation de certains terminaux de commande (32) en fonction de leur identifiant.
 




Dessins






















Rapport de recherche