本發(fā)明涉及遠(yuǎn)程操作系統(tǒng),例如航空載具或地面載具。
背景技術(shù):
遠(yuǎn)程操作系統(tǒng)配備有數(shù)據(jù)鏈路,這些數(shù)據(jù)鏈路為遠(yuǎn)程操作者完全控制的內(nèi)部數(shù)據(jù)鏈路或相對于遠(yuǎn)程操作者位于外部的數(shù)據(jù)鏈路(例如,SATCOM)。
在外部數(shù)據(jù)鏈路的情況下,鏈路的完整性不受控制。
到目前為止,僅使用內(nèi)部數(shù)據(jù)鏈路使得遠(yuǎn)程操作者能夠保證發(fā)送給遠(yuǎn)程操作載具(véhicule)的信息的完整性以及能夠?qū)φ麄€(gè)系統(tǒng)進(jìn)行驗(yàn)證(certifier)。
然而,此驗(yàn)證需要部署大量裝置并且結(jié)果會有高昂的成本。
具體地,要求遠(yuǎn)程操作系統(tǒng)通過基于多傳感器信息采取不一定為確定性的可能高度擴(kuò)展的導(dǎo)航算法(或者對于該導(dǎo)航算法收斂性將無法被證明)以越來越自動(dòng)化的方式完成其任務(wù)。
關(guān)于地面操作者接口,它們是復(fù)雜的并且可能各不相同(在大多數(shù)情況下,無法驗(yàn)證這些接口/支持)。
本發(fā)明的一般目的是解決這些問題并且提出使得能夠以低成本對監(jiān)視與控制鏈進(jìn)行驗(yàn)證的架構(gòu)。
具體地,對操作載具進(jìn)行實(shí)際控制的遠(yuǎn)程操作者必須檢查飛行的安全參數(shù)并且具體地:
-控制載具的軌跡(不離開該軌跡的區(qū)域),
-在引擎故障或“墜毀”的情況下控制墜落區(qū)域(當(dāng)然,應(yīng)當(dāng)避免任何不可控的“墜毀”以不會產(chǎn)生在例如人口密集區(qū)域的禁止區(qū)域上的任何事故的風(fēng)險(xiǎn),并且在遇到困難的情況下應(yīng)當(dāng)使得能夠?qū)υ诟欣膮^(qū)域上著陸進(jìn)行優(yōu)化),
-持續(xù)監(jiān)視飛行安全所涉及的不同子組件(能量、機(jī)動(dòng)化、控制鏈路、導(dǎo)航等等)的狀況。
技術(shù)實(shí)現(xiàn)要素:
為此,本發(fā)明提出了一種遠(yuǎn)程操作系統(tǒng),該系統(tǒng)包括:
-位于地面上的至少一個(gè)接口,操作者可以通過該至少一個(gè)接口控制遠(yuǎn)程操作載具,
-所述載具中的至少一個(gè)任務(wù)組件,
-所述接口與所述任務(wù)組件之間的數(shù)據(jù)鏈路,
其特征在于,該遠(yuǎn)程操作系統(tǒng)包括位于地面上以及位于載具中的安全檢查系統(tǒng),所述安全檢查系統(tǒng)適于對在地面與載具之間交換的關(guān)鍵數(shù)據(jù)和/或關(guān)鍵命令進(jìn)行簽名和/或認(rèn)證,以及/或者檢查這些數(shù)據(jù)的完整性,并且其特征在于,位于載具中的安全檢查系統(tǒng)之一適于檢查遠(yuǎn)程操作載具是否被保持在由地面預(yù)定義的安全范圍內(nèi)以及適于當(dāng)不是這種情況時(shí)觸發(fā)預(yù)定動(dòng)作。
對數(shù)據(jù)的認(rèn)證和簽名使得能夠?yàn)檫h(yuǎn)程操作者提供用于對載具上接收到的命令以及用于做出決定的信息(飛機(jī)位置、關(guān)鍵子組件的狀況)進(jìn)行保障的手段。
檢查完整性使得能夠保證由遠(yuǎn)程操作者發(fā)出的指令像他/她接收的信息那樣未被傳輸鏈修改。
因此,可以在地面以及載具二者上同時(shí)使用具有低關(guān)鍵水平的接口和任務(wù)組件作為具有較高關(guān)鍵水平的任務(wù)接口和組件。
在本發(fā)明的一種可能替選方案中,提供了獨(dú)立的安全數(shù)據(jù)鏈路鏈以使得能夠從地面觸發(fā)預(yù)定安全動(dòng)作。
還在另一種替選方案中,載具的安全檢查系統(tǒng)適于接收來自空中交通管制的一系列簡單指令。
附圖說明
本發(fā)明的其他特征和優(yōu)點(diǎn)會從下面的描述中進(jìn)一步顯現(xiàn)出來,下面的描述僅是示意性和非限制性的,并且應(yīng)當(dāng)參考附圖來理解,在附圖中:
-圖1示出了本發(fā)明的可能應(yīng)用的框圖;以及
-圖2和圖3示出了本發(fā)明的兩種其他可能的實(shí)施方式。
具體實(shí)施方式
圖1所示的架構(gòu)包括地面部分1以及位于遠(yuǎn)程操作載具上的部分2。
在地面上,該架構(gòu)包括:至少一個(gè)接口3,操作者可以通過該至少一個(gè)接口3控制遠(yuǎn)程操作載具;集中器4,集中器4使得能夠確保與載具的數(shù)據(jù)鏈路;以及接口5,接口5與接口3和集中器4相比具有更高的關(guān)鍵水平(DAL或“研制保證等級(Development Assurance Level)”)。
在地面上設(shè)置有安全控制系統(tǒng)6。此系統(tǒng)也具有高關(guān)鍵水平并且具有以下功能:
-其對由接口3和接口5中的任一接口發(fā)往載具上的關(guān)鍵命令進(jìn)行簽名(加密應(yīng)用);
-其對定期從載具上接收的狀態(tài)數(shù)據(jù)(位置、設(shè)備的狀態(tài)等等)的完整性進(jìn)行檢查。在空間和時(shí)間上完成完整性檢查。然后系統(tǒng)根據(jù)工作、退化、不工作這三種狀態(tài)對從載具上接收的狀況進(jìn)行分類。
-其對朝向載具上發(fā)出的命令與通過載具上的關(guān)鍵組件從載具上發(fā)送的命令返回之間的一致性進(jìn)行檢查;
-其定期發(fā)送載具上請求以用于認(rèn)證(應(yīng)用挑戰(zhàn)(challenge)功能);
-其復(fù)制由任務(wù)接口5發(fā)往載具上的指令以控制載具(短安全回路)。
在載具上也設(shè)置有類似的架構(gòu)。載具為此集成了具有低關(guān)鍵水平的一個(gè)或若干任務(wù)組件7、具有高關(guān)鍵水平的一個(gè)或若干任務(wù)組件8、使得能夠確保與地面的鏈路的集中器9、以及安全系統(tǒng)10。
此安全檢查系統(tǒng)10還具有高關(guān)鍵水平并且應(yīng)用以下控制:
-其向關(guān)鍵組件8廣播來自地面的解碼后的命令;
-其在向關(guān)鍵組件8廣播之前檢查此命令的完整性;
-其定期將認(rèn)證請求(挑戰(zhàn))發(fā)往地面上的接口3和5;
-其檢查來自地面的命令的時(shí)間有效性(時(shí)效);
-其向地面發(fā)出來自遠(yuǎn)程操作關(guān)鍵組件8的指令確認(rèn);
-其對從遠(yuǎn)程操作關(guān)鍵組件8發(fā)布的控制和狀態(tài)進(jìn)行簽名。
此處應(yīng)當(dāng)注意,對來自地面的命令進(jìn)行簽名的部件和算法與對來自載具上的控制進(jìn)行簽名的部件和算法是相同的。
使用高度安全的密鑰和穩(wěn)健的數(shù)學(xué)算法,以確保在未能檢測出錯(cuò)誤指令/狀態(tài)的情況下接收錯(cuò)誤指令/狀態(tài)的概率非常低(小于相當(dāng)于其起到的作用的水平)。
所使用的不同處理單元的外殼以同一時(shí)間基準(zhǔn)重置準(zhǔn)確的內(nèi)部時(shí)鐘。這些外殼的時(shí)鐘被選擇成對于基準(zhǔn)損失是穩(wěn)健的。
此外,載具的安全系統(tǒng)10能夠檢查載具是否被保持在由地面預(yù)定義的安全范圍內(nèi)(三維區(qū)域、關(guān)鍵狀態(tài)等等)。
遠(yuǎn)程操作載具包括導(dǎo)航系統(tǒng),該導(dǎo)航系統(tǒng)包括(例如,GPS類型的)衛(wèi)星定位接收器和慣性中央單元。
遠(yuǎn)程操作載具還包括配置的處理模塊,該處理模塊用于根據(jù)由導(dǎo)航系統(tǒng)和慣性中央單元生成的位置信號來確定載具的瞬時(shí)位置數(shù)據(jù)。載具的位置數(shù)據(jù)包括表示載具的瞬時(shí)空間坐標(biāo)(緯度、經(jīng)度和高度)的數(shù)據(jù)以及可能還包括保護(hù)半徑。保護(hù)半徑在考慮了與測量有關(guān)的不確定性的情況下限定由瞬時(shí)坐標(biāo)限定的位置周圍的容積,其中載具在該容積中被發(fā)現(xiàn)。
處理模塊將載具的位置數(shù)據(jù)發(fā)送給安全檢查系統(tǒng)10。
安全檢查系統(tǒng)10將其從處理模塊接收的位置數(shù)據(jù)與表示所限定的安全范圍且通過地面發(fā)送的數(shù)據(jù)進(jìn)行比較。
在來自載具上的命令或關(guān)鍵子組件8的狀態(tài)不符合此安全范圍的情況下,系統(tǒng)10觸發(fā)預(yù)定動(dòng)作(例如,隔離外部命令和/或應(yīng)用安全規(guī)則)。
表示安全范圍的數(shù)據(jù)可以包括遠(yuǎn)程操作載具必須位于的緯度、經(jīng)度和高度的范圍。
根據(jù)第一種可能性,由位于載具上的處理模塊來計(jì)算保護(hù)半徑。
在此情況下,由處理模塊將保護(hù)半徑與位置數(shù)據(jù)一起發(fā)送給載具上的安全檢查系統(tǒng)10。
位于載具上的安全檢查系統(tǒng)10將包括保護(hù)半徑的位置數(shù)據(jù)發(fā)送給位于地面的安全檢查系統(tǒng)6。
作為回應(yīng),位于地面上的安全檢查系統(tǒng)6將表示安全范圍的數(shù)據(jù)發(fā)送給位于載具上的安全檢查系統(tǒng)10,以使得位于載具上的安全檢查系統(tǒng)10能夠檢查遠(yuǎn)程控制載具是否被保持在安全范圍內(nèi)。
可以在地面上根據(jù)由位于載具上的安全檢查系統(tǒng)10發(fā)送的位置數(shù)據(jù)來確定安全范圍。載具的位置數(shù)據(jù)以及在地面與載具之間交換的安全范圍的表示數(shù)據(jù)由發(fā)出控制系統(tǒng)來簽名并且由接收控制系統(tǒng)來認(rèn)證。
根據(jù)第二種可能性,由位于地面上的處理模塊來計(jì)算保護(hù)半徑。
如果保護(hù)半徑的計(jì)算必須考慮一個(gè)或兩個(gè)GNSS衛(wèi)星可能出現(xiàn)故障的事實(shí),則此第二種可能性會特別有用。此計(jì)算需要使用復(fù)雜的處理系統(tǒng),包括可有利地移動(dòng)至地面的大型濾波器組,其中可用裝置不會有與載具上的可用裝置相同的限制,并且這可以允許同時(shí)處理若干載具。
在此情況下,位于載具上的安全檢查系統(tǒng)10將載具的空間坐標(biāo)發(fā)送給位于地面上的安全檢查系統(tǒng)6。
位于地面上的處理模塊根據(jù)載具的瞬時(shí)空間坐標(biāo)(緯度、經(jīng)度和高度、距不同可見衛(wèi)星的GNSS距離數(shù)據(jù))以及保護(hù)范圍的表示數(shù)據(jù)來計(jì)算保護(hù)半徑。
位于地面上的安全檢查系統(tǒng)6向位于載具上的安全檢查系統(tǒng)10發(fā)送保護(hù)半徑和安全范圍的表示數(shù)據(jù),以使得位于載具上的安全檢查系統(tǒng)10能夠檢查遠(yuǎn)程控制載具是否能夠被保持在安全范圍內(nèi)。
載具的位置數(shù)據(jù)以及在地面與載具之間交換的安全范圍和保護(hù)半徑的表示數(shù)據(jù)由發(fā)出控制系統(tǒng)來簽名并且由接收控制系統(tǒng)來認(rèn)證。
在另一種替選方案中(圖2-系統(tǒng)的專用應(yīng)急鏈),系統(tǒng)10能夠接收簡單的指令(來自用于鏈接獨(dú)立安全數(shù)據(jù)的鏈11的離散類型)。在此情況下,系統(tǒng)觸發(fā)預(yù)定動(dòng)作(例如,隔離外部命令和/或應(yīng)用安全規(guī)則)。
此外在第三替選方案中(圖3-空中交通管制采取的控制),在控制站(有意或無意)失去控制的情況下,載具的安全系統(tǒng)能夠經(jīng)由“VHF”鏈路(站12)從空中交通管制(站ATC 13)接收一系列簡單指令。
簽名機(jī)制基于事先在ATC與遠(yuǎn)程操作者之間交換的密鑰來檢查這些命令的真實(shí)性。