Plus précisément, l'invention concerne, selon un premier de ses aspects, un dispositif de sécurité, comprenant au moins une entrée et au moins une sortie à laquelle est raccordée une ligne de commande d'au moins un équipement à sécuriser, ledit dispositif comprenant des moyens d'acquisition de données d'identification, des moyens de gestion de données d'identification comprenant des moyens de stockage de données d'identification autorisées et des moyens de traitement générant un signal d'identification en cas de succès d'une comparaison entre une donnée d'identification acquise avec une des données d'identification stockées, lesdits moyens de gestion étant connectés à des moyens de pilotage de la ligne de commande produisant sur la ligne de commande un signal de sortie constitué d'un vecteur à au moins une composante.

Ainsi, le dispositif de sécurité selon la présente invention trouve une application bien particulière, notamment pour l'utilisation de machines/équipements contre des utilisateurs non autorisés, pour l'isolation physique des ordinateurs/serveurs connectés à des réseaux locaux ou distants de type Intranet ou Internet, pour la sécurisation d'organes de commandes électriques sur des sites industriels, par exemple des automates programmables, ou bien encore pour la restriction de l'accès à des locaux sensibles de type laboratoires de recherche, sites nucléaires, coffres forts, etc...

Les systèmes de sécurité pour de telles applications dans l'art antérieur ne donnent pas entièrement satisfaction. Ainsi, pour ce qui est du domaine de l'informatique, la fonction de sécurisation d'un ordinateur, serveur ou tout autre équipement connecté à un réseau informatique, est souvent réalisée par l'équipement lui mme en utilisant ses propres ressources matérielles et logicielles. Cependant, ce type de sécurisation comporte des risques car, lors du contrôle d'identité de l'utilisateur, celui-ci a déjà un pied à l'intérieur du système.

De plus, les systèmes de sécurisation actuels sont rendus complexes du fait que la fonction d'identification est prise en charge par une chaîne de composants matériels et logiciels, tels que claviers/lecteurs, badges, bases de données,...

D'autre part, pour isoler physiquement un ordinateur/serveur, on a souvent recours au débranchement de la prise réseau. Or, cette opération est non seulement fastidieuse, mais génère en plus des problèmes de communication dus à la manipulation répétée de la prise réseau.

Par ailleurs, on connaît des dispositifs de sécurité qui mettent en oeuvre une identification physique des personnes, notamment dans des applications de contrôle d'accès. Ainsi, le document de brevet japonais JP2002216118 décrit une application de contrôle d'accès dans laquelle un dispositif de commutation basé sur la reconnaissance d'une empreinte digitale lorsqu'un doigt est appliqué sur un bouton.

L'image recueillie par un capteur d'empreints digitales est analysée par une unité de traitement et, quand des caractéristiques particulières de cette image sont reconnues, un relais est commandé pour ouvrir ou fermer

un interrupteur. Cependant, un tel dispositif reste limité à des applications simples où il n'est pas nécessaire de connaître la nature des signaux véhiculés par les lignes commandées par le dispositif.

Aussi, un but de la présente invention consiste à prévoir un dispositif de sécurité basé sur une identification physique des personnes et qui pallie les inconvénients précités, notamment qui soit simple à mettre en oeuvre, souple d'utilisation et susceptible d'tre employé sous une forme unique dans de multiples applications, du simple contrôle d'accès à la sécurisation d'organes de commandes électriques complexes.

A cet effet, le dispositif de sécurité de l'invention, par ailleurs conforme à la définition générique qu'en donne le préambule ci-dessus, est essentiellement caractérisé en ce qu'une ligne d'entrée sur laquelle transite un signal d'entrée à au moins une composante est raccordée sur ladite entrée, et en ce que les moyens de pilotage de ligne commandent l'état du signal de sortie en fonction d'une part, de l'état du signal d'entrée et, d'autre part, du signal d'identification De préférence, les signaux d'entrée et de sortie comprennent une pluralité de composantes, l'état de chacune des composantes du signal de sortie étant fonction d'une part, de l'état d'au moins une composante correspondante du signal d'entrée et, d'autre part, du signal d'identification.

De préférence, les données d'identification comprennent des données biométriques.

Selon un mode de réalisation particulier, les moyens d'acquisition de données d'identification comprennent un capteur d'empreintes digitales.

Selon un autre mode de réalisation, les moyens d'acquisition de données d'identification comprennent un lecteur de badge avec contact.

Selon un autre mode de réalisation, les moyens d'acquisition de données d'identification comprennent un lecteur de badge sans contact.

Avantageusement, le dispositif comprend des moyens de liaison vers l'extérieur.

De préférence, les moyens de liaison comprennent un port USB, une liaison série de type RS232, une liaison infrarouge ou une liaison radio.

Selon une caractéristique, les moyens de pilotage de ligne comprennent une table de règles d'évaluation de l'état du signal de sortie associées aux données d'identification autorisées.

Selon une variante, les moyens de pilotage de ligne sont réalisés en logique câblée.

Dans une autre variante, les moyens de pilotage de ligne comprennent un circuit logique programmable de type PLD, CPLD ou FPGA.

Selon une autre variante, les moyens de pilotage de ligne comprennent un circuit microcontrôleur.

Avantageusement, les moyens de gestion de données d'identification comprennent un circuit microcontrôleur.

Dans une variante, les moyens de pilotage de ligne et les moyens de gestion de données d'identification sont regroupés sur le mme circuit microcontrôleur.

De préférence, les moyens de stockage de données d'identification comprennent une mémoire non volatile.

Avantageusement, le dispositif de sécurité comprend des moyens d'affichage et des moyens de signalisation.

L'invention concerne également un procédé de fonctionnement du dispositif de sécurité tel qu'il

vient d'tre défini, caractérisé en ce qu'il comprend deux modes de fonctionnement distincts, un premier mode dit mode de programmation et un second mode dit mode d'identification, ledit mode de programmation comprenant une étape consistant à paramétrer le dispositif avec une table de données d'identification comprenant au moins une donnée d'identification autorisée et une autre étape consistant à paramétrer le dispositif avec une table de règles d'évaluation de l'état du signal de sortie associées aux données d'identification autorisées et définissant l'état du signal de sortie en fonction de l'état du signal d'entrée et des données d'identification, ledit mode d'identification comprenant les étapes suivantes consistant à : - acquérir une donnée d'identification ; - comparer la donnée d'identification acquise avec les données d'identification stockées dans la table de données d'identification autorisées ; - en cas de succès de la comparaison entre la donnée d'identification acquise et une des données d'identification stockées : - générer un signal d'identification indiquant un lien entre la donnée d'identification authentifiée et une règle d'évaluation de la table de règles d'évaluation de l'état du signal de sortie ; - sélectionner ladite règle d'évaluation ; - appliquer ladite règle d'évaluation pour générer le signal de sortie.

Selon un mode de réalisation, l'étape de paramétrage du dispositif avec la table de données d'identification autorisées consiste à transférer une liste desdites données d'identification autorisées depuis une unité extérieure au dispositif.

Selon un autre mode de réalisation, l'étape de paramétrage du dispositif avec la table de données d'identification autorisées consiste à enregistrer localement lesdites données d'identification autorisées en les lisant une par une par l'intermédiaire des moyens d'acquisition de données d'identification.

De préférence, l'enregistrement en local des données d'identification autorisées met en oeuvre les étapes suivantes consistant à :-acquérir et authentifier une donnée d'identification administrateur pour ouvrir une session d'enregistrement ;-acquérir successivement les données d'identification autorisées et les stocker dans la table des données d'identification autorisées ;-acquérir et authentifier ladite donnée d'identification administrateur pour fermer ladite session d'enregistrement et, basculer en mode d'identification.

Avantageusement, le mode programmation comprend une étape d'effacement des données d'identification autorisées, consistant à :-acquérir et authentifier une donnée d'identification de suppression ;-effacer la table des données d'identification autorisées.

De préférence, l'étape d'effacement de la table des données d'identification autorisées consiste à supprimer toutes les données d'identification autorisées stockées à l'exception de la donnée d'identification administrateur et de la donnée d'identification de suppression.

Selon un mode de réalisation, la donnée d'identification administrateur et la donnée d'identification de suppression sont transmises préalablement depuis une unité extérieure au dispositif puis stockées dans la table des données d'identification autorisées.

Selon un mode de réalisation, l'étape de paramétrage du dispositif avec la table de règles d'évaluation de l'état du signal de sortie consiste à définir au moins deux règles, une première règle dite règle de sécurité maximale, restant activée tant qu'un signal d'identification n'a pas été généré, et une deuxième règle dite règle commune, associée à l'ensemble des données d'identification autorisées.

De préférence, la règle commune est la règle associée par défaut aux données d'identification autorisées enregistrées localement.

Dans un mode de réalisation particulier, le mode de sécurité maximale correspond à un état inhibé du signal de sortie.

Selon un mode de réalisation, la règle de sécurité maximale est réactivée après l'écoulement d'un. délai prédéterminé suivant la génération du signal d'identification.

Selon un autre mode de réalisation, la règle de sécurité maximale est réactivée par le passage à l'état vrai d'une condition booléenne programmée dans les moyens de pilotage de ligne en fonction de l'état du signal d'entrée et d'une ou plusieurs valeur du signal d'identification.

Selon un autre mode de réalisation, la règle de sécurité maximale est réactivée suite à deux identifications successives de la mme donnée d'identification autorisée.

D'autres caractéristiques et avantages de l'invention ressortiront plus clairement de la description qui est faite ci-après, à titre indicatif et nullement limitatif, en référence aux figures suivantes dans lesquelles :

- La figure 1 est une représentation schématique du dispositif de sécurité selon la présente invention ; - La figure 2 illustre les moyens de pilotage de ligne mis en oeuvre dans le dispositif de sécurité et ses interfaces avec les entrées/sorties ; - les figures 3 et 4 montrent respectivement un organigramme de fonctionnement général du dispositif selon l'invention et un organigramme de traitement d'une donnée d'identification acquise ; - Les figures 5 et 6 illustrent un exemple d'application du dispositif selon la présente invention à la sécurisation d'un boîtier de commande.

En référence à la figure 1, le dispositif de sécurité 10 selon l'invention comprend au moins une entrée IN, sur laquelle transite un signal d'entrée à au moins une composante EO, E1,... En, et au moins une sortie OUT à laquelle est raccordée une ligne de commande d'au moins un équipement à sécuriser, sur laquelle transite un signal de sortie à au moins une composante SO, S1,... Sm.

Le dispositif comprend également des moyens d'acquisition de données d'identification 1 associés à des moyens de gestion de données d'identification 2, lesquels comprennent des moyens de stockage de données d'identification 3, prévus pour stocker une table de données d'identification autorisées, et des moyens de traitement 4 générant un signal d'identification vers des moyens de pilotage de ligne 6 par l'intermédiaire d'une liaison 7, en cas de succès d'une comparaison entre une donnée d'identification acquise avec une des données d'identification stockées dans la table de données d'identification autorisées. La liaison 7 peut par exemple tre constituée d'une liaison série de type RS232, ou bien d'une liaison de type entrée/sortie. Les

moyens de pilotage de ligne 6 génèrent alors sur la ligne de commande un signal de sortie constitué d'un vecteur à au moins une composante. Le signal de sortie OUT comprend de préférence une pluralité de composantes SO, S1,..., Sm.

Le dispositif comprend encore des moyens de liaison 5 vers l'extérieur. Ces moyens 5 sont par exemple constitués par un port USB, une liaison série de type RS232, une liaison infrarouge, une liaison radio..., et permettent au dispositif de sécurité 10 de dialoguer avec des unités extérieures telles qu'ordinateur de type PC, portable, assistant numérique personnel PDA, automate programmable...

Le dispositif de sécurité 10 selon l'invention comprend également des moyens d'affichage et des moyens de signalisation sonore et visuelle. Ainsi, un afficheur 8, de type LCD par exemple (acronyme pour l'expression anglo-saxonne"Liquid Crystal Display") peut tre prévu. Le dispositif peut également comprendre des voyants de signalisation 9 et un bruiteur 11. Ces différents moyens permettent de renseigner l'utilisateur sur l'état de fonctionnement du dispositif de sécurité 10.

Les différents éléments de signalisation du dispositif peuvent tre fixés sur le boîtier du dispositif ou bien déportés par rapport à celui-ci si l'application l'exige.

Il est à noter que les moyens d'acquisition de données d'identification 1 peuvent tre fixés sur le boîtier du dispositif ou déportés par rapport à celui- ci si l'application l'exige. Il est également envisageable de déporter la partie constituée par les moyens de gestion 2.

Dans un mode de réalisation préféré de l'invention décrit en référence à la figure 1, le dispositif de sécurité 10 utilise des données biométriques, de préférence constituées par l'empreinte digitale, pour l'identification physique des personnes. L'utilisation de l'empreinte digitale est en effet un moyen simple, pratique et fiable pour vérifier l'identité d'une personne. Dans ce mode de réalisation, les moyens d'acquisition 1 sont donc constitués par un capteur d'empreintes digitales. On trouve par exemple des capteurs d'empreintes digitales de type optique, capacitif, résistif ou encore à ultrasons. Le choix de la technologie dépend du type d'application envisagée.

D'autres modes de réalisation peuvent néanmoins tre envisagés dans lesquels l'acquisition des données d'identification d'une personne est effectuée par l'intermédiaire de badges avec ou sans contact, qui regroupent de façon générale les badges de proximité RFID (acronyme pour l'expression anglo-saxonne Radio Frequency Identification), les cartes à puce, les badges magnétiques, les badges optiques ou bien encore les badges avec code à barres. Dans ce cas, chaque utilisateur susceptible d'intervenir sur l'équipement à sécuriser par le dispositif selon l'invention dispose d'un tel badge où sont mémorisées des données permettant de l'identifier. Les moyens d'acquisition 1 sont alors constitués par un lecteur de badge approprié, suivant la technologie employée.

Le rôle principal des moyens de gestion 2 est donc l'identification des personnes autorisées. Ils sont constitués par un microcontrôleur doté des fonctionnalités correspondantes, à savoir qui sont susceptibles de gérer l'enregistrement des données

d'identification autorisées ainsi que la vérification d'une donnée d'identification acquise.

Les moyens de gestion 2 disposent donc de moyens de stockage de données d'identification 3 prévus pour stocker une table de données d'identification autorisées. Les moyens de stockage 3 sont constitués par une mémoire non volatile, par exemple une mémoire de type flash, de façon à pouvoir stocker les données d'identification se rapportant aux personnes autorisées dans la table de données d'identification autorisées prévue à cet effet.

La table des données d'identification autorisées peut tre mémorisée de deux façons. Ainsi, dans un premier mode de réalisation, les données d'identification autorisées sont transférées depuis une unité extérieure, typiquement un ordinateur de ty, pe PC, un assistant numérique personnel PDA, un automate programmable...., via la liaison 5, puis stockées dans la table.

Dans un autre mode de réalisation, sur lequel nous reviendrons plus loin, les données d'identification sont capturées in situ (localement) en les lisant une par une par l'intermédiaire des moyens d'acquisition 1.

Ces deux possibilités peuvent bien entendu tre combinées en transférant par exemple une liste de données d'identification autorisées depuis une unité extérieure, puis en complétant la table en autonome par une lecture directe de données d'identification par les moyens d'acquisition 1.

Les moyens de gestion 2 comprennent enfin des moyens de traitement 4 des données d'identification, pour la mise en oeuvre de la fonctionnalité de vérification, qui sont susceptibles de produire un signal d'identification en cas de succès d'une

comparaison entre une donnée d'identification acquise et une des données d'identification stockées dans la table des données d'identification autorisées. Ainsi, lorsque une donnée d'identification acquise est reconnue comme étant autorisée, un signal d'identification est généré et émis vers les moyens de pilotage de ligne 6 via la liaison 7.

Les moyens de pilotage de ligne 6 ont quant à eux pour rôle de commander l'état du signal de sortie à au moins une composante transitant sur la ligne de sortie raccordée à la sortie OUT en fonction d'une part, de l'état du signal d'entrée composé d'au moins une composante et transitant sur une ligne d'entrée raccordée à l'entrée IN et, d'autre part, du signal d'identification généré par les moyens de traitement 4.

Le signal d'entrée est de préférence composé d'une pluralité de composantes EO, E1,... En.

Les moyens de pilotage de ligne 6 définissent donc des règles d'évaluation, associées aux personnes authentifiées par le processus d'identification, et qui permettent de commander l'état du signal de sortie en fonction de l'état du signal d'entrée et des données d'identification.

Pour ce faire, les moyens de pilotage de ligne 6 comprennent une table des règles d'évaluation des sorties 16, donnant la description des fonctions booléennes associées aux données d'identification autorisées, qui permettent d'évaluer l'état du signal de sortie à au moins une composante en fonction de l'état du signal d'entrée à au moins une composante et des données d'identification.

Plus précisément, à chaque élément i de cette table, correspond une fonction booléenne Fi. Chaque donnée d'identification autorisée est alors associée à

une fonction booléenne Fi, qui permet d'évaluer la sortie OUT en fonction de l'entrée IN et des données d'identification.

Ainsi, de manière générale, on peut écrire la fonction logique Fi, définissant l'état du signal de sortie du dispositif, mise en oeuvre par les moyens de pilotage de ligne 6, de la façon suivante : OUT = Fi (IN, données d'identification) Comme on l'a vu, sur la sortie OUT transite le signal de sortie constitué d'un vecteur à m composantes SO à Sm. A chaque composante Sj est donc associée une fonction booléenne Fij, c'est-à-dire : Sj = Fij (IN, données d'identification).

Le lien entre un utilisateur identifié et la fonction logique Fi correspondante commandant l'état du signal de sortie, soit le lien donnée d'identification autorisée/numéro de la règle à appliquer, est par exemple transmis au dispositif depuis une unité extérieure (PC, PDA...) via la liaison 5 lors du paramétrage du dispositif. Ainsi, lorsqu'une donnée d'identification acquise est reconnue comme étant une donnée d'identification autorisée, le signal d'identification émis fournit aux moyens de pilotage de ligne 6 l'information concernant le lien entre cette donnée d'identification autorisée et la règle à appliquer. les moyens de pilotage de ligne 6 sélectionnent alors la règle d'évaluation des sorties à appliquer et génèrent le signal de sortie correspondant qui est fonction d'une part, de l'état du signal d'entrée et, d'autre part, des personnes identifiées.

Selon un mode de réalisation préférée de l'invention, la table des règles d'évaluation des sorties 16 contient au moins deux règles, appelées respectivement règle numéro 0 et règle numéro 1.

La règle numéro 0 correspond à une règle dite de sécurité maximale et la fonction FO correspondante pour l'évaluation du vecteur de sortie OUT est appliquée dès la mise en route du dispositif et à chaque activation de la sécurité maximale. Par exemple, la règle de sécurité maximale peut correspondre à un signal de sortie se trouvant dans un état inhibé.

Le basculement du dispositif en mode de sécurité maximale où la règle numéro 0 s'applique pour l'évaluation des composantes du signal de sortie, peut tre réalisé de différentes manières et notamment : - par temporisation, c'est-à-dire que le mode de sécurité maximale est réactivé après l'écoulement d'un délai prédéterminé suivant la génération d'un signal d'identification ; - par une nouvelle identification de la mme personne, une première identification de la donnée d'identification autorisée correspondante positionnant les sorties suivant la fonction Fi attribuée à ladite donnée d'identification, l'identification suivante de la mme donnée d'identification autorisée réactivant le mode de sécurité maximale ; - ou bien encore par le passage à l'état vrai d'une condition booléenne programmée dans les moyens de pilotage de ligne en fonction de l'état du signal d'entrée et d'une ou plusieurs valeurs du signal d'identification.

La règle numéro 1, à laquelle correspond la fonction FI dans la table des règles d'évaluation des sorties, est une règle d'évaluation des composantes du signal de sortie commune à toutes les personnes autorisées, soit à l'ensemble des données d'identification autorisées.

Selon un mode de réalisation particulier de l'invention, la règle numéro 1 est la règle associée par défaut à chaque utilisateur autorisé dont les données d'identification sont enregistrées localement (in situ) dans le dispositif de sécurité.

La logique de commande de l'état du signal de sortie mise en oeuvre par les moyens de pilotage de ligne peut tre réalisée suivant plusieurs techniques différentes : en logique câblée, à base de circuits logiques programmables (de type PLD, CPLD, FPGA...), ou bien encore par l'intermédiaire d'un programme exécuté par un microcontrôleur.

De préférence, les moyens de gestion 2 et les moyens de pilotage de ligne 6 sont découpés en deux circuits, notamment dû au fait que la partie pilotage de ligne peut varier selon les applications. De cette façon, il est possible d'avoir des moyens de gestion 2 communs à toutes les variantes des moyens de pilotage de ligne, de mme que des moyens de pilotage de ligne communs à différentes variantes des moyens de gestion.

Toutefois, il peut tre envisagé dans une variante de regrouper toutes les fonctions des moyens de gestion 2 et des moyens de pilotage de ligne 6 sur un seul et mme circuit.

En référence à la figure 2, sont décrites des interfaces d'entrées/sorties 12,13 entre respectivement les entrées IN et sorties OUT du dispositif et les moyens de pilotage de ligne 6. Dans cet exemple, les lignes véhiculent des signaux numériques tout ou rien. Les interfaces sont mises en oeuvre par l'intermédiaire de circuits intégrés.

Ainsi, pour chaque composante Ei du signal d'entrée, un circuit 14 réalise l'interface du passage tension-courant extérieurs vers un signal de type TTL

(acronyme pour l'expression anglo-saxonne"Transistor- Transistor Logic") ou équivalent, et pour chaque composante du signal de sortie Sj, un circuit 15 réalise l'interface du passage de ce signal correspondant vers les valeurs tension-courant extérieurs.

Le dispositif de sécurité selon l'invention est prévu pour fonctionner selon deux modes : un mode dit mode de programmation et un mode dit mode d'identification.

Le mode de programmation permet l'acquisition des différents paramètres de fonctionnement du dispositif.

Il comprend plus particulièrement une étape consistant à paramétrer le dispositif avec une table de données d'identification autorisées comprenant au moins une donnée d'identification autorisée, et une autre, étape consistant à paramétrer le dispositif avec une table de règles d'évaluation de l'état du signal de sortie associées aux données d'identification autorisées.

Selon un mode de réalisation préféré, l'étape de paramétrage du dispositif avec la table de règles d'évaluation des sorties consiste à paramétrer au moins les deux règles d'évaluation de l'état du signal de sortie suivantes : la règle numéro 0 dite règle de sécurité maximale, et la règle numéro 1 dite règle commune par défaut s'appliquant à toutes les données d'identification autorisées.

On a vu que l'étape de paramétrage de la table des données d'identification autorisés peut tre réalisé localement (in situ). Pour ce faire, les étapes suivantes sont mises en oeuvre consistant tout d'abord à acquérir et authentifier une donnée d'identification particulière, dite donnée d'identification administrateur, de façon à ouvrir une session

d'enregistrement au cours de laquelle la table des données d'identification autorisées est constituée ou complétée. Lors de l'acquisition et de l'authentification de cette donnée d'identification administrateur, le dispositif bascule en mode programmation. La constitution de la table des données d'identification autorisées consiste alors pour le dispositif à acquérir successivement les données d'identification associées à chaque personne autorisée et à les stocker dans la table des données d'identification autorisées. Enfin, l'acquisition et l'authentification une nouvelle fois par le dispositif de la donnée d'identification administrateur permet de fermer la session de programmation et de faire basculer le fonctionnement du dispositif en mode d'identification.

Egalement, en mode programmation, il est possible de supprimer l'ensemble des données d'identification autorisées mémorisées dans le dispositif. Pour ce faire, il est nécessaire pour le dispositif d'acquérir et d'authentifier dans le mode programmation une donnée d'identification prévue à cet effet, dite donnée d'identification de suppression. A la reconnaissance de cette donnée d'identification de suppression, la table des données d'authentification autorisées peut tre effacée. Toutefois, si la donnée d'identification de suppression permet de remettre à zéro la table des données d'identification autorisées, les données d'identification administrateur et de suppression ne sont quant à elles pas effacées au cours de cette étape.

Les données d'identification administrateur et de suppression sont d'abord transmises au dispositif depuis une unité extérieure via la liaison 5 par

l'intermédiaire de laquelle le dispositif peut communiquer avec l'extérieur, et sont stockées dans la mémoire des moyens de gestion de façon à pouvoir tre authentifiées lors de leurs acquisition ultérieures.

Le mode d'identification est le mode dans lequel le dispositif 10 permet d'identifier une personne autorisée en comparant une donnée d'identification acquise par l'intermédiaire des moyens d'acquisition 1 à une des données d'identification de la table des données d'identification autorisées.

Lorsque la donnée d'identification acquise correspond à une donnée d'identification autorisée de la table des données d'identification autorisées, les moyens de gestion 2 génèrent un signal d'identification à destination des moyens de pilotage de ligne 6, de façon à permettre d'une part, la sélection par les moyens de pilotage de ligne de la règle d'évaluation des sorties associée à ladite donnée et, d'autre part, l'activation des composantes du signal de sortie du dispositif suivant la règle d'évaluation sélectionnée.

Les moyens de pilotage de ligne 6 permettent donc avantageusement de commander l'état du signal de sortie en fonction d'une part, de l'état du signal d'entrée et, d'autre part, du signal d'identification généré.

Il est important de noter qu'en mode programmation, la règle de sécurité maximale reste activée et aucune identification ne peut survenir pendant ce mode, autre que l'identification de la donnée administrateur ou de la donnée de suppression.

La règle de sécurité maximale s'applique également en mode d'identification tant que l'authentification d'une donnée d'identification n'a pas été validée et qu'aucun signal d'identification n'a été généré par les moyens de gestion 2.

Il est ici demandé au lecteur de se reporter aux figures 3 et 4 présentant respectivement un organigramme de fonctionnement général du dispositif et un organigramme de traitement d'une donnée d'identification acquise pour une illustration en détail des différents principes de fonctionnement du dispositif décrits ci-dessus.

Un exemple d'application du dispositif de sécurité selon l'invention va maintenant tre décrit en référence aux figures 5 et 6. Il s'agit de protéger un boîtier de commande 18 constitué d'une pluralité de boutons poussoirs B1, B2, B3 et d'une pluralité de voyants lumineux V1, V2, V3. Ce boîtier est prévu pour tre raccordé à un automate programmable 20 chargé de la gestion d'un processus industriel.

Les boutons poussoirs B1, B2 et B3 sont connectés respectivement sur les entrées I1, I2 et I3 de l'automate programmable. Les voyants V1, V2 et V3 sont commandés respectivement par les sorties Q1, Q2 et Q3 de l'automate programmable 20.

Chacun des boutons poussoirs B1, B2 et B3 correspond à une commande qui agit sur le processus industriel mis en oeuvre par l'automate programmable, et chacun des voyants V1, V2 et V3 permet de signaler l'état courant du processus.

A l'état normal, les boutons poussoirs sont fermés et les voyants sont éteints. Ainsi, les entrées I1, I2 et I3 sont à l'état logique 1 et les sorties Q1, Q2 et Q3 sont à l'état logique 0.

Le problème à résoudre consiste à limiter l'utilisation du boîtier de commande aux seules personnes autorisées à agir sur le processus industriel. L'activation d'un bouton poussoir par une personne ne doit tre prise en compte que si cette

personne en est habilitée. De la mme manière, l'état du processus signalé par les voyants lumineux ne doit tre montré que pour les personnes autorisées.

Soit la règle d'habilitation suivante : Bouton poussoir Personnes habilitées B1 X B2 X, Y et toute personne enregistrée localement B3 Toute personne identifiée Voyants Vi (i=1 à 3) Toute personne identifiée En dehors de cette règle d'habilitation, les boutons poussoirs et les voyants lumineux resteront inhibés (c'est la règle de la sécurité maximale). La condition de retour à la sécurité maximale après une identification réussie est la suivante : le retour à la sécurité maximale se déclenchera à chaque fois que l'automate programmable 20 demande l'extinction de tous les voyants.

L'objectif donné au dispositif de sécurité selon l'invention est de sécuriser l'ensemble boîtier de commande 18/automate programmable 20 pour n'autoriser que les personnes habilitées à activer les boutons poussoirs et donc à agir sur le processus.

Le dispositif de sécurité selon l'invention est alors placé entre le boîtier de commande 18 et l'automate programmable 20, voir la figure 6. Son rôle consiste à séparer les deux équipements en interceptant les signaux échangés et en leur fournissant des signaux équivalents générés en fonction de la personne identifiée.

Les vecteurs IN et OUT du dispositif de sécurité sont donc constitués de six composantes chacun : IN = (El, E2, E3, E4, E5, E6) OUT = (S1, S2, S3, S4, S5, S6) Dans cet exemple, l'état de chacune des composantes du signal de sortie va tre fonction de l'état d'au moins une composante correspondante du signal d'entrée et de la personne identifiée.

Le dispositif de sécurité bloque ses sorties SI à S6 (informations transmises vers le boîtier de commande et vers l'automate programmable) suivant la règle de sécurité maximale en attente de l'identification d'une personne autorisé, et lorsque l'identification est réussie, il réévalue ses sorties suivant la règle d'évaluation des sorties associée à la personne identifiée.

Dans un sens, le dispositif de sécurité reçoit sur ses entrées E1, E2 et E3 l'état réel des boutons poussoirs B1, B2 et B3 initialement connectés sur les entrées I1, I2 et I3 de l'automate programmable, et fournit en échange, des signaux équivalents S1, S2 et S3 générés en temps réel en fonction de la personne identifiée.

Dans l'autre sens, le dispositif de sécurité reçoit sur ses entrées E4, E5 et E6 l'état réel des commandes Q1, Q2 et Q3 initialement raccordées sur les voyants lumineux V1, V2 et V3, et fournit en échange, des signaux équivalents S4, S5 et S6 générés en temps réel en fonction de la personne identifiée.

L'alimentation 17 de l'installation à sécuriser est une alimentation 24 VDC. Il est à noter que dans cet exemple, les fils d'alimentation ont été choisis comme faisant partie des signaux traversant le dispositif de sécurité dans le but d'utiliser ces fils

pour alimenter le dispositif et de s'affranchir d'une alimentation extérieure. Dans une application où les lignes pilotées par le dispositif de sécurité ne comportent pas d'alimentation ou si cette alimentation est insuffisante, celui-ci sera alors alimenté par une alimentation extérieure.

La règle d'habilitation définie implique la création de quatre règles d'évaluation des sorties. Ces règles seront paramétrées dans le dispositif depuis une unité extérieure.

Le tableau ci-dessous illustre la table des règles d'évaluation des sorties mise en oeuvre dans cet exemple.

TABLE DES REGLES D'EVALUATION DES SORTIES Règle FO Règle F1 Règle F2 Règle F3 Personnes Appliquée a Y identifiées et aux Sécurité autres que X, maximale personnes Appliquée à X enregistrées enregistrées enregistrées localement localement S1 = 1 S1 = 1 Si= Ei Si = 1 S2= 1 S2= E2 S2=E2 S2= S3= 1 S3 = E3 S3 = E3 S3 = E3 == 0 Sq = Eq Sç = SS = 0 SS = ES S5 = ES SS = Es S5 = O S5 = E5 Ss = E5 S5 = E5 S6 = ° S6 = E6 S6 = E6 S6 = E6 On redemandera l'identification sur passage de l'état 1 à l'état 0 de la condition booléenne E4+E5+E6.

Cette condition est à l'état 1 si l'une des entrées E1, E2 ou E3 est à 1, elle passe à l'état 0 lorsque l'automate demande l'extinction de tous les voyants (E1=E2=E3=0).

Le dispositif de sécurité selon la présente invention est donc un dispositif entièrement autonome et facile à mettre en oeuvre. Il s'adapte de plus facilement à tout type d'installation, soit pour protéger de nouveaux équipements, soit pour ajouter un niveau de sécurité supplémentaire à un système existant.