Note: Descriptions are shown in the official language in which they were submitted.
CA 03093392 2020-09-08
WO 2019/175512 PCT/FR2019/050567
1
Dispositifs et procédé de télémaintenance sécurisés de télémaintenance
d'équipements industriels
DOMAINE TECHNIQUE GENERAL ET ETAT DE LA TECHNIQUE
L'invention concerne la télémaintenance d'équipements industriels, notamment
ceux
impliqués dans la fabrication de systèmes aéronautiques tels que des
turbomachines.
Dans l'industrie, et notamment dans l'industrie aéronautique, les équipements
industriels impliqués sont de plus en sophistiqués et nécessitent souvent des
opérations de maintenance qui doivent être effectuées la plupart du temps par
des
intervenants qualifiés et autorisés à intervenir sur ces équipements.
Afin de gérer la maintenance de ces équipements, ces derniers sont
connectés en réseau, lequel est connecté à un serveur de télémaintenance
auquel
un intervenant peut se connecter dès lors qu'une personne habilitée lui
autorise
l'accès.
Toutefois, la personne habilitée et l'intervenant qualifié ne sont pas
toujours
présents sur le site industriel de sorte qu'en dehors de ses horaires de
présence sur
le site industriel, l'ouverture de la communication et donc le dépannage à
distance
des équipements est impossible.
Une solution pour permettre un accès à toute heure et à distance est de
connecter en permanence les équipements sur un réseau accessible à distance.
Une telle solution n'est toutefois pas satisfaisante pour des questions de
sécurité quant à l'accessibilité au réseau.
PRESENTATION DE L'INVENTION
L'invention permet de pallier les inconvénients précités.
A cet effet l'invention concerne, selon un premier aspect, un boitier de
gestion
de l'accès à un réseau industriel, auquel des équipements industriels sont
connectés,
le boitier de gestion comprenant : une voie d'accès à un réseau de données de
type
Internet, ladite voie d'accès au réseau de données comprenant une unité de
coupure,
une voie de pilotage de la voie d'accès au réseau de données, ladite voie de
pilotage
comprenant un contrôleur configuré pour piloter l'unité de coupure de manière
à
permettre une communication entre le réseau industriel et le réseau de
données.
CA 03093392 2020-09-08
WO 2019/175512 PCT/FR2019/050567
2
L'invention, selon le premier aspect, est avantageusement complétée par les
caractéristiques suivantes, prises seules ou en une quelconque de leur
combinaison
techniquement possible :
- la voie de pilotage comprend une première interface de communication
configurée pour mettre en communication le boitier avec un réseau mobile de
type GSM ;
- l'unité de coupure comprend un relais de coupure activable au moyen d'un
signal de pilotage issu du contrôleur ;
- la première interface de communication est une interface de communication
GSM, le signal de pilotage étant fonction d'un SMS reçu ;
- le contrôleur est configuré pour authentifier un utilisateur, le
contrôleur étant
configuré pour piloter l'unité de coupure afin d'établir une communication
entre
le réseau industriel et le réseau de données dès lors que l'utilisateur est
authentifié.
L'invention concerne, selon un deuxième aspect, un serveur de
télémaintenance configuré pour être connecté d'une part à un réseau industriel
auquel un ensemble d'équipements industriels est connecté et d'autre part à un
boitier
selon l'invention, le serveur comprenant un serveur de pilotage configuré pour
communiquer avec le boitier, ledit serveur comprenant en outre un pare-feu
configuré
pour gérer l'accès au réseau industriel depuis ledit boitier.
L'invention, selon le deuxième aspect, est avantageusement complétée par la
caractéristique selon laquelle le pare-feu est configuré pour isoler un
équipement
industriel des autres équipements du réseau de sorte à permettre un accès à
l'équipement isolé uniquement sans pouvoir accéder aux autres.
L'invention concerne, selon un troisième aspect, un procédé de
télémaintenance d'un ensemble d'équipements industriels connectés ensemble à
un
réseau industriel, le réseau industriel étant en liaison avec un boitier de
gestion de
l'accès à un réseau industriel selon le premiers aspect de l'invention, le
boitier de
gestion étant en liaison avec un réseau de données et un réseau mobile, le
procédé
comprenant les étapes suivantes, une anomalie ayant été détectée sur une unité
de
l'ensemble dite unité d'intérêt : réception sur la voie de pilotage du boitier
d'une
requête, à des fins d'établissement d'une communication de télémaintenance
entre
le réseau industriel et le réseau de données, authentification de la requête,
et si la
CA 03093392 2020-09-08
WO 2019/175512 PCT/FR2019/050567
3
requête est authentifiée, établissement de la communication de télémaintenance
entre le réseau industriel et le réseau de données.
L'invention, selon le troisième aspect, est avantageusement complétée par les
caractéristiques suivantes, prises seules ou en une quelconque de leur
combinaison
techniquement possible :
- le réseau mobile est un réseau GSM, la requête étant constituée par un
SMS
comprenant de préférence un code confidentiel permettant une
authentification de ladite requête ;
- le boitier étant connecté à un serveur de télémaintenance, procédé dans
lequel l'établissement de la communication de télémaintenance comprend une
étape consistant à isoler l'équipement d'intérêt des autres équipements du
réseau industriel de manière à ce que seul l'équipement d'intérêt soit
connecté
au réseau industriel ;
- le procédé comprend une étape de connexion, par l'intermédiaire du
boitier de
gestion, d'un terminal d'un intervenant au réseau industriel pour que ce
dernier
puisse accéder à l'équipement d'intérêt via le réseau de données afin
d'effectuer des opérations de maintenance sur ledit équipement d'intérêt ; et
une fois que les opérations de maintenance sont terminées ; le procédé
comprend une étape de déconnexion par l'intermédiaire du boitier de gestion,
du terminal de l'opérateur au réseau industriel, le réseau industriel n'étant
plus
accessible via le réseau internet ;
- l'étape de connexion du terminal de l'intervenant comprend une
authentification dudit intervenant afin de vérifier qu'il est autorisé à se
connecter au réseau industriel ;
- le procédé comprend une étape de remise en état du réseau industriel de
sorte
que tous les équipements industriels soient accessibles via le réseau
industriel
mais inaccessible depuis le réseau internet. Les avantages de l'invention sont
multiples ;
L'invention permet à une personne habilitée au pilotage de la solution de
télémaintenance de mettre en place des connexions sécurisée de télémaintenance
pour qu'un opérateur de maintenance qui est donc habilité puisse se connecter
et
effectuer la maintenance ou le dépannage d'équipements industriels à n'importe
quel
moment et depuis n'importe quel endroit à travers le monde.
CA 03093392 2020-09-08
WO 2019/175512 PCT/FR2019/050567
4
Le boitier intégré dans un système permettant de réaliser la télémaintenance
peut être piloté à distance via un réseau mobile notamment cellulaire (réseau
GSM)
tout en ayant une sécurité élevée.
Il est donc possible pour la maintenance, de mettre en place une connexion
sécurisée de télémaintenance à distance pour permettre un appui supplémentaire
par
un opérateur localisé à l'extérieur du site industriel à n'importe quel
moment.
En particulier, le boitier permet l'ouverture d'un circuit électronique
permettant
la connexion entre le serveur de télémaintenance et un réseau de données.
L'ouverture peut se faire en local ou via un réseau mobile, cela permet alors
à
l'opérateur de maintenance d'accéder à un équipement industriel de manière
sécurisée.
PRESENTATION DES FIGURES
D'autres caractéristiques, buts et avantages de l'invention ressortiront de la
description qui suit, qui est purement illustrative et non limitative, et qui
doit être lue
en regard des dessins annexés sur lesquels :
- la figure 1 représente un environnement de télémaintenance conforme à
l'invention ;
- la figure 2 illustre des étapes d'un procédé de télémaintenance selon
l'invention.
Sur l'ensemble des figures les éléments similaires portent des références
identiques.
DESCRIPTION DETAILLEE DE L'INVENTION
En relation avec la figure 1, des équipements industriels U1, U2, U3 sont
connectés
à un réseau 10 industriel. Un tel réseau 10 industriel est bien connu de
l'homme du
métier et ne sera pas plus détaillé ici.
Un serveur 20 de télémaintenance est connecté au réseau 10 industriel. Un
tel serveur 20 permet de contrôler la sécurité des communications de
télémaintenance relatives aux équipements industriels du réseau 10 industriel.
En
particulier, le serveur 20 de télémaintenance permet de gérer les accès au
réseau
industriel et donc les accès aux équipements industriels qui y sont connectés.
C'est
par l'intermédiaire de ce serveur 20 de télémaintenance que les opérations de
maintenances en tant que telles sont réalisées.
CA 03093392 2020-09-08
WO 2019/175512 PCT/FR2019/050567
Le serveur 20 comprend un serveur 21 de pilotage configuré pour
communiquer avec le boitier 30, et comprend également un pare-feu 22
permettant
de filtrer les connexions en fonction de l'intervention à réaliser sur un
équipement
industriel. Grâce au pare-feu 22, le serveur 20 de télémaintenance permet
d'isoler un
5 équipement industriel des autres équipements du réseau de sorte qu'un
terminal
utilisateur puisse accéder à l'équipement isolé uniquement sans pouvoir
accéder aux
autres.
En outre, un boitier 30 de gestion de l'accès au réseau industriel est
connecté
au serveur 20 de télémaintenance.
Ce boitier 30 permet de gérer l'accès d'un intervenant pour la maintenance à
distance du réseau 10 industriel via le serveur 20 de télémaintenance par
l'intermédiaire d'un terminal 50' de communication.
En particulier, comme il sera décrit plus loin, le boitier 30 permet
l'ouverture et
la fermeture d'une communication de télémaintenance afin de pouvoir dépanner à
distance un équipement industriel du réseau 10 industriel par l'intermédiaire
d'un
réseau 40 de données, de type Internet.
C'est, de manière avantageuse, par l'intermédiaire d'un réseau 70 mobile, de
type GSM, qu'une personne habilitée, via son terminal 50, peut déclencher une
communication de télémaintenance pour un intervenant de maintenance autorisé
ou
pour lui-même.
De cette façon, un opérateur de maintenance autorisé ou la personne habilitée
peut se connecter au réseau 10 industriel via le réseau 40 de données, par
l'intermédiaire d'un terminal 50, 50', dans le but de dépanner un des
équipements U1,
U2, U3 industriels du réseau 10.
Sur l'exemple de la figure 1, on considère un terminal 50 pour la personne
habilitée et un autre terminal 50' pour l'opérateur de maintenance de sorte
qu'il s'agit
de deux personnes différentes mais l'invention s'applique également au cas où
la
personne habilitée ouvre la communication de télémaintenance pour elle-même.
Comme on l'aura compris, le boitier permet deux connexions distinctes : une
connexion à un réseau 40 de données et une autre connexion à un réseau 70
mobile.
En outre, un terminal 50, 50' est par exemple un téléphone intelligent (en
anglais, smartphone ), une tablette ou encore un ordinateur portable. On
comprendra toutefois que pour l'établissement de la communication de
télémaintenance via le réseau 70 mobile le terminal est apte à se connecter à
un tel
CA 03093392 2020-09-08
WO 2019/175512 PCT/FR2019/050567
6
réseau. De même que le terminal pour effectuer la maintenance à distance via
le
réseau 40 de données le terminal est apte à se connecter à un tel réseau de
données.
Toujours en relation avec la figure 1, le boitier 30 de gestion comprend une
voie 30a d'accès à un réseau de données de type Internet et une voie 30b de
pilotage
de ladite voie 30a d'accès au réseau de données.
De manière avantageuse, la voie 30b de pilotage comprend une première
interface 32 de communication permettant d'accéder à un réseau 70 sans fil de
type
GSM.
La voie 30a d'accès au réseau de données comprend une deuxième interface
34 de communication permettant d'accéder à un réseau 40 de données de type
Internet.
Ainsi, comme on l'aura compris le boitier 30 de gestion est, de manière
préférée, à la fois connecté à un réseau 70 mobile fil (par exemple de type
GSM) et
à un réseau 40 de données de type Internet.
Par connecté au réseau 70 mobile et au réseau 40 de données, on précise
que l'on entend qu'il est possible d'établir une communication entre le
boitier 30 de
gestion et l'un ou l'autre du réseau 40 de données ou du réseau 70 mobile.
Le boitier 30 possède deux fonctionnalités distinctes.
La première fonctionnalité est celle de piloter via la voie 30b de pilotage
l'ouverture ou la fermeture de la communication de télémaintenance entre le
réseau
10 industriel et le réseau 40 de données. L'ouverture ou la fermeture de la
communication de télémaintenance en tant que tel s'effectuant par
l'intermédiaire de
la voie 30a d'accès au réseau 40 données.
La deuxième fonctionnalité est de sécuriser l'accès au réseau 10 industriel. A
ce titre, la voie 30a d'accès au réseau 40 de données comprend une unité 33 de
coupure configurée pour isoler physiquement le réseau 10 industriel du réseau
40 de
données de sorte qu'aucune communication ne puisse être établie depuis le
réseau
40 de données. Pour piloter l'unité 33 de coupure, la voie 30b de pilotage
comprend
un contrôleur 31 configuré pour piloter l'unité 33 de coupure de manière à
permettre
un accès au réseau 10 industriel depuis le réseau de données 40 et ainsi
d'établir
une communication de télémaintenance.
De manière complémentaire, le pare-feu 22 du serveur 20 de télémaintenance
possède également la fonctionnalité de communiquer avec le contrôleur 31 du
boitier
CA 03093392 2020-09-08
WO 2019/175512 PCT/FR2019/050567
7
30 de coupure afin d'autoriser ou non l'ouverture de la communication de
télémaintenance
Afin de gérer l'ouverture ou la fermeture de la communication de
télémaintenance, le contrôleur 31 est en liaison avec le serveur 20 de
télémaintenance et avec la première interface 32 de communication.
Les liaisons entre la première interface 32 de communication et le contrôleur
31 d'une part et entre le contrôleur 31 et le serveur 20 de télémaintenance
sont des
liaisons connues tu type RS232.
L'ouverture et la fermeture de la communication de télémaintenance sont
gérées par la voie 30b de pilotage. En particulier, une requête à des fins
d'établissement de la communication de télémaintenance issue du réseau 70
mobile
doit être authentifiée. Cette requête provient d'une personne habilitée.
Une telle authentification est mise en oeuvre par le contrôleur 31 qui traite
des
informations reçues depuis la première interface 32 de communication et les
transmet
à un serveur 21 de pilotage du serveur 20 de télémaintenance.
Le serveur 21 de pilotage comprend une mémoire (non représentée) dans
laquelle une liste d'intervenants autorisés est stockée. Le contrôleur 31 est
donc
configuré pour mettre en oeuvre une comparaison entre les données du service
de
pilotage 21 et des données relatives à l'identité de de la personne ayant émis
la
requête d'établissement de la communication de télémaintenance.
La première interface 32 de communication est une interface de
communication GSM comprenant une carte SIM afin de pouvoir connecter le
boitier
de gestion à un réseau mobile d'un opérateur GSM. Dans ce cas, la personne
habilitée peut envoyer sa requête à des fins d'ouverture de la communication
de
25 télémaintenance via l'envoi d'un SMS.
De manière avantageuse, le SMS transmis répond à une syntaxe bien
particulière permettant d'identifier la personne habilitée et comprend
également la
commande de pilotage qui sera à transmettre par le contrôleur 31 au service de
pilotage 21.
30 De plus pour des raisons évidentes de sécurité, le SMS comprend un
code
confidentiel typiquement constitué de 8 chiffres qui permet d'authentifier la
personne
habilitée.
Aussi, le SMS est de manière avantageuse composé de trois champs :
- un premier champ constitué par le code confidentiel
CA 03093392 2020-09-08
WO 2019/175512 PCT/FR2019/050567
8
- un second champ constitué par une commande d'ouverture ou de fermeture
de la communication de télémaintenance
- un troisième champ constitué par la commande de pilotage d'un équipement
industriel en particulier.
La commande de pilotage est une commande d'un équipement industriel Ul,
U2, U3 particulier pour permettre sa maintenance via la communication de
télémaintenance. Il s'agit en d'autres termes d'une commande appliquée à un
équipement dans le but d'en permettre sa maintenance à distance.
Le contrôleur 31 est donc configuré pour traiter la requête reçue (le SMS),
afin
de comparer l'identité qu'il contient à la liste des personnes autorisées
stockée dans
la mémoire du serveur 21 de pilotage (dans le cas du SMS, la vérification de
l'identité
sera mise en oeuvre grâce au numéro de téléphone dont est issu le SMS et grâce
au
code confidentiel contenu dans le SMS).
Une fois la comparaison validée, le contrôleur 31 génère un signal de
commande qui permet de piloter l'unité 33 de coupure afin que cette dernière
mette
en communication le réseau 10 industriel avec le réseau 40 de données par
l'intermédiaire de la deuxième interface 34 de communication.
De manière avantageuse, l'unité 33 de coupure comprend un relais
électronique permettant la coupure physique entre deux ports de communication
de
type RJ45 dont un est connecté au serveur 20 de télémaintenance par le biais
d'une
passerelle de sécurité 22 et l'autre au réseau de données internet 40Ainsi,
grâce à
un signal de commande issu du contrôleur 31 adapté au relais, la connexion ou
la
déconnexion des deux ports de communication est commandé. Les relais étant
pilotés par un signal 12VCC, la commande (5VCC) issue du contrôleur est
adaptée
via un amplificateur de tension électronique.
De manière alternative, l'unité 33 de coupure peut être pilotée
localement afin de permettre l'ouverture ou la fermeture du circuit sans
passer par le
mode SMS. Dans ce cas, l'authentification est faite localement et non à
distance
directement par envoi d'une requête au contrôleur 31 via le service de
pilotage 21 du
serveur.
On décrit maintenance en relation avec la figure 2 un procédé de
télémaintenance mis en oeuvre dans l'environnement de la figure 1 ci-dessus
décrite.
CA 03093392 2020-09-08
WO 2019/175512 PCT/FR2019/050567
9
Dans une étape préliminaire (étape EO), une anomalie sur un équipement
industriel du réseau 10 industriel est détectée et communiquée au service
maintenance du site industriel.
Si le service maintenance porte l'intérêt d'une communication de
télémaintenance pour avoir un appui supplémentaire à distance, celui-ci
effectue
l'ouverture ou demande à une personne habilitée de procéder à l'établissement
d'une
communication de télémaintenance sécurisée afin de rendre accessible à
distance
l'équipement du réseau industriel pour lequel une anomalie est détectée.
L'équipement industriel pour lequel une anomalie est détectée est, dans ce
qui suit, appelé équipement d'intérêt .
Le boitier 30 de gestion est en communication avec le réseau 70 mobile et est
en attente de la réception d'une requête à des fins d'établissement d'une
communication de télémaintenance entre le réseau 10 industriel et le réseau 40
de
données. La requête peut être constituée par le SMS précédemment décrit
provenant
de la personne habilitée.
A ce stade, le boitier 30 de gestion est uniquement accessible via le réseau
70 mobile ou localement si la requête est locale.
Une requête à des fins d'établissement d'une communication de
télémaintenance entre le réseau 10 industriel et le réseau 40 de données est
reçue
(étape El) par la voie 30b de pilotage. La requête comprend notamment
l'identité de
la personne habilitée à demander l'établissement de la communication de
télémaintenance. L'identité est constituée du numéro de téléphone dont est
issu le
SMS constituant la requête.
Cette requête est alors authentifiée (étape E2). De manière plus précise,
l'authentification consiste à ce que le contrôleur 31 du boitier 30 compare
l'identité de
la personne habilitée à une liste de personnes stockées dans le serveur 21 de
pilotage
du serveur 20 de télémaintenance. Dans le cas de l'envoi du SMS à cette étape,
le
système vérifie également le code confidentiel contenu dans le SMS.
Une fois cette requête authentifiée, la communication de télémaintenance est
établie (étape E3).
A ce titre, le boitier 30 via le contrôleur 31 commande (étape 32) l'unité 33
de
coupure pour mettre en communication le réseau 10 industriel avec le réseau 40
de
données par l'intermédiaire de ladite unité 33 de coupure.
CA 03093392 2020-09-08
WO 2019/175512 PCT/FR2019/050567
De manière avantageuse, le réseau 10 industriel est en communication avec
le réseau 40 de données par l'intermédiaire de la deuxième interface 34 de
communication.
De manière complémentaire, l'établissement de la communication de
5 télémaintenance comprend préalablement à la commande de l'unité de
coupure une
étape (étape 31) consistant à isoler l'équipement industriel sur lequel une
intervention
est requise sur le réseau 10 industriel des autres équipements industriels. En
d'autres
termes, seul l'équipement industriel d'intérêt est accessible sur le réseau 10
industriel.
Une fois la communication de télémaintenance établie, un opérateur de
10 maintenance peut se connecter (étape E4) au réseau 10 industriel via le
réseau 40
de données par l'intermédiaire de son terminal (smartphone, tablette,
ordinateur,
etc.).
Pour permettre la connexion de l'opérateur de maintenance, la personne
habilitée ayant demandé l'ouverture de la communication de télémaintenance
transmet à l'opérateur de maintenance un lien de connexion de type URL
puis
des informations d'identifications. Grâce à ce lien, l'opérateur de
maintenance a
accès à une interface permettant d'assurer la maintenance d'un équipement
industriel.
La connexion de l'opérateur de maintenance est effectuée via une connexion
de type Internet sur le serveur 20 de télémaintenance et comprend une
authentification. Cette authentification consiste à vérifier que l'intervenant
qui se
connecte sur le serveur est bien celui attendu puis autorisé à franchir le
pare-feu 22
situé sur le serveur 20 de télémaintenance. Une connexion sécurisée est alors
établie.
Une fois cette connexion sécurisée établie, le boitier 30 de gestion permet de
mettre en communication le réseau 10 industriel et le terminal de
l'intervenant pour
que ce dernier puisse accéder à l'équipement d'intérêt. Cette mise en
communication
permet au terminal de l'intervenant d'accéder à l'équipement d'intérêt par le
réseau
40 afin d'effectuer des opérations de maintenance. Au cours de cette étape, le
boitier
de gestion a connecté physiquement le réseau 10 industriel au réseau
internet
40.
Ensuite, l'intervenant effectue (étape E5) une ou plusieurs opération(s) de
maintenance sur l'équipement industriel d'intérêt.
CA 03093392 2020-09-08
WO 2019/175512 PCT/FR2019/050567
11
Lorsque le ou les opération(s) de maintenance sont réalisées, l'intervenant se
déconnecte (étape E6) du réseau 10 industriel. Cette étape E6 est initiée par
l'intervenant via son terminal.
Le serveur 20 de télémaintenance commande alors le contrôleur 31 du boitier
de gestion (étape E7) pour qu'il commande l'unité 33 de coupure afin d'isoler
à
nouveau le réseau 10 industriel du réseau de données.
Le réseau 10 industriel n'étant plus accessible, une remise en état de ce
dernier est mise en oeuvre (étape E8) : tous les équipements industriels sont
alors
connectés au réseau industriel.
La dernière étape (étape E9) est mise en oeuvre par le serveur 20 de
télémaintenance, et consiste à effectuer la traçabilité des actions effectuées
par
l'opérateur de maintenance sur l'équipement d'intérêt.
De manière préférée, le service de pilotage 21, enregistre les actions
réalisées
sur le réseau industriel 10 par exemple sous forme de vidéo afin de garantir
l'intégrité
des données de production.