[发明专利]用于远程操作系统的系统

说明书

技术领域

本发明涉及远程操作系统，例如航空载具或地面载具。

背景技术

远程操作系统配备有数据链路，这些数据链路为远程操作者完全控制的内部数据链路或相对于远程操作者位于外部的数据链路(例如，SATCOM)。

在外部数据链路的情况下，链路的完整性不受控制。

到目前为止，仅使用内部数据链路使得远程操作者能够保证发送给远程操作载具(véhicule)的信息的完整性以及能够对整个系统进行验证(certifier)。

然而，此验证需要部署大量装置并且结果会有高昂的成本。

具体地，要求远程操作系统通过基于多传感器信息采取不一定为确定性的可能高度扩展的导航算法(或者对于该导航算法收敛性将无法被证明)以越来越自动化的方式完成其任务。

关于地面操作者接口，它们是复杂的并且可能各不相同(在大多数情况下，无法验证这些接口/支持)。

本发明的一般目的是解决这些问题并且提出使得能够以低成本对监视与控制链进行验证的架构。

具体地，对操作载具进行实际控制的远程操作者必须检查飞行的安全参数并且具体地：

-控制载具的轨迹(不离开该轨迹的区域)，

-在引擎故障或“坠毁”的情况下控制坠落区域(当然，应当避免任何不可控的“坠毁”以不会产生在例如人口密集区域的禁止区域上的任何事故的风险，并且在遇到困难的情况下应当使得能够对在更有利的区域上着陆进行优化)，

-持续监视飞行安全所涉及的不同子组件(能量、机动化、控制链路、导航等等)的状况。

发明内容

为此，本发明提出了一种远程操作系统，该系统包括：

-位于地面上的至少一个接口，操作者可以通过该至少一个接口控制远程操作载具，

-所述载具中的至少一个任务组件，

-所述接口与所述任务组件之间的数据链路，

其特征在于，该远程操作系统包括位于地面上以及位于载具中的安全检查系统，所述安全检查系统适于对在地面与载具之间交换的关键数据和/或关键命令进行签名和/或认证，以及/或者检查这些数据的完整性，并且其特征在于，位于载具中的安全检查系统之一适于检查远程操作载具是否被保持在由地面预定义的安全范围内以及适于当不是这种情况时触发预定动作。

对数据的认证和签名使得能够为远程操作者提供用于对载具上接收到的命令以及用于做出决定的信息(飞机位置、关键子组件的状况)进行保障的手段。

检查完整性使得能够保证由远程操作者发出的指令像他/她接收的信息那样未被传输链修改。

因此，可以在地面以及载具二者上同时使用具有低关键水平的接口和任务组件作为具有较高关键水平的任务接口和组件。

在本发明的一种可能替选方案中，提供了独立的安全数据链路链以使得能够从地面触发预定安全动作。

还在另一种替选方案中，载具的安全检查系统适于接收来自空中交通管制的一系列简单指令。

附图说明

本发明的其他特征和优点会从下面的描述中进一步显现出来，下面的描述仅是示意性和非限制性的，并且应当参考附图来理解，在附图中：

-图1示出了本发明的可能应用的框图；以及

-图2和图3示出了本发明的两种其他可能的实施方式。

具体实施方式

图1所示的架构包括地面部分1以及位于远程操作载具上的部分2。

在地面上，该架构包括：至少一个接口3，操作者可以通过该至少一个接口3控制远程操作载具；集中器4，集中器4使得能够确保与载具的数据链路；以及接口5，接口5与接口3和集中器4相比具有更高的关键水平(DAL或“研制保证等级(Development Assurance Level)”)。

在地面上设置有安全控制系统6。此系统也具有高关键水平并且具有以下功能：

-其对由接口3和接口5中的任一接口发往载具上的关键命令进行签名(加密应用)；

-其对定期从载具上接收的状态数据(位置、设备的状态等等)的完整性进行检查。在空间和时间上完成完整性检查。然后系统根据工作、退化、不工作这三种状态对从载具上接收的状况进行分类。

-其对朝向载具上发出的命令与通过载具上的关键组件从载具上发送的命令返回之间的一致性进行检查；

-其定期发送载具上请求以用于认证(应用挑战(challenge)功能)；

-其复制由任务接口5发往载具上的指令以控制载具(短安全回路)。