本發(fā)明涉及遠(yuǎn)程操作系統(tǒng)，例如航空載具或地面載具。

背景技術(shù)：

遠(yuǎn)程操作系統(tǒng)配備有數(shù)據(jù)鏈路，這些數(shù)據(jù)鏈路為遠(yuǎn)程操作者完全控制的內(nèi)部數(shù)據(jù)鏈路或相對于遠(yuǎn)程操作者位于外部的數(shù)據(jù)鏈路(例如，SATCOM)。

在外部數(shù)據(jù)鏈路的情況下，鏈路的完整性不受控制。

到目前為止，僅使用內(nèi)部數(shù)據(jù)鏈路使得遠(yuǎn)程操作者能夠保證發(fā)送給遠(yuǎn)程操作載具(véhicule)的信息的完整性以及能夠?qū)φ麄€(gè)系統(tǒng)進(jìn)行驗(yàn)證(certifier)。

然而，此驗(yàn)證需要部署大量裝置并且結(jié)果會有高昂的成本。

具體地，要求遠(yuǎn)程操作系統(tǒng)通過基于多傳感器信息采取不一定為確定性的可能高度擴(kuò)展的導(dǎo)航算法(或者對于該導(dǎo)航算法收斂性將無法被證明)以越來越自動(dòng)化的方式完成其任務(wù)。

關(guān)于地面操作者接口，它們是復(fù)雜的并且可能各不相同(在大多數(shù)情況下，無法驗(yàn)證這些接口/支持)。

本發(fā)明的一般目的是解決這些問題并且提出使得能夠以低成本對監(jiān)視與控制鏈進(jìn)行驗(yàn)證的架構(gòu)。

具體地，對操作載具進(jìn)行實(shí)際控制的遠(yuǎn)程操作者必須檢查飛行的安全參數(shù)并且具體地：

-控制載具的軌跡(不離開該軌跡的區(qū)域)，

-在引擎故障或“墜毀”的情況下控制墜落區(qū)域(當(dāng)然，應(yīng)當(dāng)避免任何不可控的“墜毀”以不會產(chǎn)生在例如人口密集區(qū)域的禁止區(qū)域上的任何事故的風(fēng)險(xiǎn)，并且在遇到困難的情況下應(yīng)當(dāng)使得能夠?qū)υ诟欣膮^(qū)域上著陸進(jìn)行優(yōu)化)，

-持續(xù)監(jiān)視飛行安全所涉及的不同子組件(能量、機(jī)動(dòng)化、控制鏈路、導(dǎo)航等等)的狀況。

技術(shù)實(shí)現(xiàn)要素：

為此，本發(fā)明提出了一種遠(yuǎn)程操作系統(tǒng)，該系統(tǒng)包括：

-位于地面上的至少一個(gè)接口，操作者可以通過該至少一個(gè)接口控制遠(yuǎn)程操作載具，

-所述載具中的至少一個(gè)任務(wù)組件，

-所述接口與所述任務(wù)組件之間的數(shù)據(jù)鏈路，

其特征在于，該遠(yuǎn)程操作系統(tǒng)包括位于地面上以及位于載具中的安全檢查系統(tǒng)，所述安全檢查系統(tǒng)適于對在地面與載具之間交換的關(guān)鍵數(shù)據(jù)和/或關(guān)鍵命令進(jìn)行簽名和/或認(rèn)證，以及/或者檢查這些數(shù)據(jù)的完整性，并且其特征在于，位于載具中的安全檢查系統(tǒng)之一適于檢查遠(yuǎn)程操作載具是否被保持在由地面預(yù)定義的安全范圍內(nèi)以及適于當(dāng)不是這種情況時(shí)觸發(fā)預(yù)定動(dòng)作。

對數(shù)據(jù)的認(rèn)證和簽名使得能夠?yàn)檫h(yuǎn)程操作者提供用于對載具上接收到的命令以及用于做出決定的信息(飛機(jī)位置、關(guān)鍵子組件的狀況)進(jìn)行保障的手段。

檢查完整性使得能夠保證由遠(yuǎn)程操作者發(fā)出的指令像他/她接收的信息那樣未被傳輸鏈修改。

因此，可以在地面以及載具二者上同時(shí)使用具有低關(guān)鍵水平的接口和任務(wù)組件作為具有較高關(guān)鍵水平的任務(wù)接口和組件。

在本發(fā)明的一種可能替選方案中，提供了獨(dú)立的安全數(shù)據(jù)鏈路鏈以使得能夠從地面觸發(fā)預(yù)定安全動(dòng)作。

還在另一種替選方案中，載具的安全檢查系統(tǒng)適于接收來自空中交通管制的一系列簡單指令。

附圖說明

本發(fā)明的其他特征和優(yōu)點(diǎn)會從下面的描述中進(jìn)一步顯現(xiàn)出來，下面的描述僅是示意性和非限制性的，并且應(yīng)當(dāng)參考附圖來理解，在附圖中：

-圖1示出了本發(fā)明的可能應(yīng)用的框圖；以及

-圖2和圖3示出了本發(fā)明的兩種其他可能的實(shí)施方式。

具體實(shí)施方式

圖1所示的架構(gòu)包括地面部分1以及位于遠(yuǎn)程操作載具上的部分2。

在地面上，該架構(gòu)包括：至少一個(gè)接口3，操作者可以通過該至少一個(gè)接口3控制遠(yuǎn)程操作載具；集中器4，集中器4使得能夠確保與載具的數(shù)據(jù)鏈路；以及接口5，接口5與接口3和集中器4相比具有更高的關(guān)鍵水平(DAL或“研制保證等級(Development Assurance Level)”)。

在地面上設(shè)置有安全控制系統(tǒng)6。此系統(tǒng)也具有高關(guān)鍵水平并且具有以下功能：

-其對由接口3和接口5中的任一接口發(fā)往載具上的關(guān)鍵命令進(jìn)行簽名(加密應(yīng)用)；

-其對定期從載具上接收的狀態(tài)數(shù)據(jù)(位置、設(shè)備的狀態(tài)等等)的完整性進(jìn)行檢查。在空間和時(shí)間上完成完整性檢查。然后系統(tǒng)根據(jù)工作、退化、不工作這三種狀態(tài)對從載具上接收的狀況進(jìn)行分類。

-其對朝向載具上發(fā)出的命令與通過載具上的關(guān)鍵組件從載具上發(fā)送的命令返回之間的一致性進(jìn)行檢查；

-其定期發(fā)送載具上請求以用于認(rèn)證(應(yīng)用挑戰(zhàn)(challenge)功能)；

-其復(fù)制由任務(wù)接口5發(fā)往載具上的指令以控制載具(短安全回路)。

在載具上也設(shè)置有類似的架構(gòu)。載具為此集成了具有低關(guān)鍵水平的一個(gè)或若干任務(wù)組件7、具有高關(guān)鍵水平的一個(gè)或若干任務(wù)組件8、使得能夠確保與地面的鏈路的集中器9、以及安全系統(tǒng)10。

此安全檢查系統(tǒng)10還具有高關(guān)鍵水平并且應(yīng)用以下控制：

-其向關(guān)鍵組件8廣播來自地面的解碼后的命令；

-其在向關(guān)鍵組件8廣播之前檢查此命令的完整性；

-其定期將認(rèn)證請求(挑戰(zhàn))發(fā)往地面上的接口3和5；

-其檢查來自地面的命令的時(shí)間有效性(時(shí)效)；

-其向地面發(fā)出來自遠(yuǎn)程操作關(guān)鍵組件8的指令確認(rèn)；

-其對從遠(yuǎn)程操作關(guān)鍵組件8發(fā)布的控制和狀態(tài)進(jìn)行簽名。

此處應(yīng)當(dāng)注意，對來自地面的命令進(jìn)行簽名的部件和算法與對來自載具上的控制進(jìn)行簽名的部件和算法是相同的。

使用高度安全的密鑰和穩(wěn)健的數(shù)學(xué)算法，以確保在未能檢測出錯(cuò)誤指令/狀態(tài)的情況下接收錯(cuò)誤指令/狀態(tài)的概率非常低(小于相當(dāng)于其起到的作用的水平)。

所使用的不同處理單元的外殼以同一時(shí)間基準(zhǔn)重置準(zhǔn)確的內(nèi)部時(shí)鐘。這些外殼的時(shí)鐘被選擇成對于基準(zhǔn)損失是穩(wěn)健的。

此外，載具的安全系統(tǒng)10能夠檢查載具是否被保持在由地面預(yù)定義的安全范圍內(nèi)(三維區(qū)域、關(guān)鍵狀態(tài)等等)。

遠(yuǎn)程操作載具包括導(dǎo)航系統(tǒng)，該導(dǎo)航系統(tǒng)包括(例如，GPS類型的)衛(wèi)星定位接收器和慣性中央單元。

遠(yuǎn)程操作載具還包括配置的處理模塊，該處理模塊用于根據(jù)由導(dǎo)航系統(tǒng)和慣性中央單元生成的位置信號來確定載具的瞬時(shí)位置數(shù)據(jù)。載具的位置數(shù)據(jù)包括表示載具的瞬時(shí)空間坐標(biāo)(緯度、經(jīng)度和高度)的數(shù)據(jù)以及可能還包括保護(hù)半徑。保護(hù)半徑在考慮了與測量有關(guān)的不確定性的情況下限定由瞬時(shí)坐標(biāo)限定的位置周圍的容積，其中載具在該容積中被發(fā)現(xiàn)。

處理模塊將載具的位置數(shù)據(jù)發(fā)送給安全檢查系統(tǒng)10。

安全檢查系統(tǒng)10將其從處理模塊接收的位置數(shù)據(jù)與表示所限定的安全范圍且通過地面發(fā)送的數(shù)據(jù)進(jìn)行比較。

在來自載具上的命令或關(guān)鍵子組件8的狀態(tài)不符合此安全范圍的情況下，系統(tǒng)10觸發(fā)預(yù)定動(dòng)作(例如，隔離外部命令和/或應(yīng)用安全規(guī)則)。

表示安全范圍的數(shù)據(jù)可以包括遠(yuǎn)程操作載具必須位于的緯度、經(jīng)度和高度的范圍。

根據(jù)第一種可能性，由位于載具上的處理模塊來計(jì)算保護(hù)半徑。

在此情況下，由處理模塊將保護(hù)半徑與位置數(shù)據(jù)一起發(fā)送給載具上的安全檢查系統(tǒng)10。

位于載具上的安全檢查系統(tǒng)10將包括保護(hù)半徑的位置數(shù)據(jù)發(fā)送給位于地面的安全檢查系統(tǒng)6。

作為回應(yīng)，位于地面上的安全檢查系統(tǒng)6將表示安全范圍的數(shù)據(jù)發(fā)送給位于載具上的安全檢查系統(tǒng)10，以使得位于載具上的安全檢查系統(tǒng)10能夠檢查遠(yuǎn)程控制載具是否被保持在安全范圍內(nèi)。

可以在地面上根據(jù)由位于載具上的安全檢查系統(tǒng)10發(fā)送的位置數(shù)據(jù)來確定安全范圍。載具的位置數(shù)據(jù)以及在地面與載具之間交換的安全范圍的表示數(shù)據(jù)由發(fā)出控制系統(tǒng)來簽名并且由接收控制系統(tǒng)來認(rèn)證。

根據(jù)第二種可能性，由位于地面上的處理模塊來計(jì)算保護(hù)半徑。

如果保護(hù)半徑的計(jì)算必須考慮一個(gè)或兩個(gè)GNSS衛(wèi)星可能出現(xiàn)故障的事實(shí)，則此第二種可能性會特別有用。此計(jì)算需要使用復(fù)雜的處理系統(tǒng)，包括可有利地移動(dòng)至地面的大型濾波器組，其中可用裝置不會有與載具上的可用裝置相同的限制，并且這可以允許同時(shí)處理若干載具。

在此情況下，位于載具上的安全檢查系統(tǒng)10將載具的空間坐標(biāo)發(fā)送給位于地面上的安全檢查系統(tǒng)6。

位于地面上的處理模塊根據(jù)載具的瞬時(shí)空間坐標(biāo)(緯度、經(jīng)度和高度、距不同可見衛(wèi)星的GNSS距離數(shù)據(jù))以及保護(hù)范圍的表示數(shù)據(jù)來計(jì)算保護(hù)半徑。

位于地面上的安全檢查系統(tǒng)6向位于載具上的安全檢查系統(tǒng)10發(fā)送保護(hù)半徑和安全范圍的表示數(shù)據(jù)，以使得位于載具上的安全檢查系統(tǒng)10能夠檢查遠(yuǎn)程控制載具是否能夠被保持在安全范圍內(nèi)。

載具的位置數(shù)據(jù)以及在地面與載具之間交換的安全范圍和保護(hù)半徑的表示數(shù)據(jù)由發(fā)出控制系統(tǒng)來簽名并且由接收控制系統(tǒng)來認(rèn)證。

在另一種替選方案中(圖2-系統(tǒng)的專用應(yīng)急鏈)，系統(tǒng)10能夠接收簡單的指令(來自用于鏈接獨(dú)立安全數(shù)據(jù)的鏈11的離散類型)。在此情況下，系統(tǒng)觸發(fā)預(yù)定動(dòng)作(例如，隔離外部命令和/或應(yīng)用安全規(guī)則)。

此外在第三替選方案中(圖3-空中交通管制采取的控制)，在控制站(有意或無意)失去控制的情況下，載具的安全系統(tǒng)能夠經(jīng)由“VHF”鏈路(站12)從空中交通管制(站ATC 13)接收一系列簡單指令。

簽名機(jī)制基于事先在ATC與遠(yuǎn)程操作者之間交換的密鑰來檢查這些命令的真實(shí)性。