用于远程控制系统的系统的制作方法

本发明涉及远程操作系统，例如航空载具或地面载具。

背景技术：

远程操作系统配备有数据链路，这些数据链路为远程操作者完全控制的内部数据链路或相对于远程操作者位于外部的数据链路(例如，SATCOM)。

在外部数据链路的情况下，链路的完整性不受控制。

到目前为止，仅使用内部数据链路使得远程操作者能够保证发送给远程操作载具(véhicule)的信息的完整性以及能够对整个系统进行验证(certifier)。

然而，此验证需要部署大量装置并且结果会有高昂的成本。

具体地，要求远程操作系统通过基于多传感器信息采取不一定为确定性的可能高度扩展的导航算法(或者对于该导航算法收敛性将无法被证明)以越来越自动化的方式完成其任务。

关于地面操作者接口，它们是复杂的并且可能各不相同(在大多数情况下，无法验证这些接口/支持)。

本发明的一般目的是解决这些问题并且提出使得能够以低成本对监视与控制链进行验证的架构。

具体地，对操作载具进行实际控制的远程操作者必须检查飞行的安全参数并且具体地：

-控制载具的轨迹(不离开该轨迹的区域)，

-在引擎故障或“坠毁”的情况下控制坠落区域(当然，应当避免任何不可控的“坠毁”以不会产生在例如人口密集区域的禁止区域上的任何事故的风险，并且在遇到困难的情况下应当使得能够对在更有利的区域上着陆进行优化)，

-持续监视飞行安全所涉及的不同子组件(能量、机动化、控制链路、导航等等)的状况。

技术实现要素：

为此，本发明提出了一种远程操作系统，该系统包括：

-位于地面上的至少一个接口，操作者可以通过该至少一个接口控制远程操作载具，

-所述载具中的至少一个任务组件，

-所述接口与所述任务组件之间的数据链路，

其特征在于，该远程操作系统包括位于地面上以及位于载具中的安全检查系统，所述安全检查系统适于对在地面与载具之间交换的关键数据和/或关键命令进行签名和/或认证，以及/或者检查这些数据的完整性，并且其特征在于，位于载具中的安全检查系统之一适于检查远程操作载具是否被保持在由地面预定义的安全范围内以及适于当不是这种情况时触发预定动作。

对数据的认证和签名使得能够为远程操作者提供用于对载具上接收到的命令以及用于做出决定的信息(飞机位置、关键子组件的状况)进行保障的手段。

检查完整性使得能够保证由远程操作者发出的指令像他/她接收的信息那样未被传输链修改。

因此，可以在地面以及载具二者上同时使用具有低关键水平的接口和任务组件作为具有较高关键水平的任务接口和组件。

在本发明的一种可能替选方案中，提供了独立的安全数据链路链以使得能够从地面触发预定安全动作。

还在另一种替选方案中，载具的安全检查系统适于接收来自空中交通管制的一系列简单指令。

附图说明

本发明的其他特征和优点会从下面的描述中进一步显现出来，下面的描述仅是示意性和非限制性的，并且应当参考附图来理解，在附图中：

-图1示出了本发明的可能应用的框图；以及

-图2和图3示出了本发明的两种其他可能的实施方式。

具体实施方式

图1所示的架构包括地面部分1以及位于远程操作载具上的部分2。

在地面上，该架构包括：至少一个接口3，操作者可以通过该至少一个接口3控制远程操作载具；集中器4，集中器4使得能够确保与载具的数据链路；以及接口5，接口5与接口3和集中器4相比具有更高的关键水平(DAL或“研制保证等级(Development Assurance Level)”)。

在地面上设置有安全控制系统6。此系统也具有高关键水平并且具有以下功能：

-其对由接口3和接口5中的任一接口发往载具上的关键命令进行签名(加密应用)；

-其对定期从载具上接收的状态数据(位置、设备的状态等等)的完整性进行检查。在空间和时间上完成完整性检查。然后系统根据工作、退化、不工作这三种状态对从载具上接收的状况进行分类。

-其对朝向载具上发出的命令与通过载具上的关键组件从载具上发送的命令返回之间的一致性进行检查；

-其定期发送载具上请求以用于认证(应用挑战(challenge)功能)；

-其复制由任务接口5发往载具上的指令以控制载具(短安全回路)。

在载具上也设置有类似的架构。载具为此集成了具有低关键水平的一个或若干任务组件7、具有高关键水平的一个或若干任务组件8、使得能够确保与地面的链路的集中器9、以及安全系统10。

此安全检查系统10还具有高关键水平并且应用以下控制：

-其向关键组件8广播来自地面的解码后的命令；

-其在向关键组件8广播之前检查此命令的完整性；

-其定期将认证请求(挑战)发往地面上的接口3和5；

-其检查来自地面的命令的时间有效性(时效)；

-其向地面发出来自远程操作关键组件8的指令确认；

-其对从远程操作关键组件8发布的控制和状态进行签名。

此处应当注意，对来自地面的命令进行签名的部件和算法与对来自载具上的控制进行签名的部件和算法是相同的。

使用高度安全的密钥和稳健的数学算法，以确保在未能检测出错误指令/状态的情况下接收错误指令/状态的概率非常低(小于相当于其起到的作用的水平)。

所使用的不同处理单元的外壳以同一时间基准重置准确的内部时钟。这些外壳的时钟被选择成对于基准损失是稳健的。

此外，载具的安全系统10能够检查载具是否被保持在由地面预定义的安全范围内(三维区域、关键状态等等)。

远程操作载具包括导航系统，该导航系统包括(例如，GPS类型的)卫星定位接收器和惯性中央单元。

远程操作载具还包括配置的处理模块，该处理模块用于根据由导航系统和惯性中央单元生成的位置信号来确定载具的瞬时位置数据。载具的位置数据包括表示载具的瞬时空间坐标(纬度、经度和高度)的数据以及可能还包括保护半径。保护半径在考虑了与测量有关的不确定性的情况下限定由瞬时坐标限定的位置周围的容积，其中载具在该容积中被发现。

处理模块将载具的位置数据发送给安全检查系统10。

安全检查系统10将其从处理模块接收的位置数据与表示所限定的安全范围且通过地面发送的数据进行比较。

在来自载具上的命令或关键子组件8的状态不符合此安全范围的情况下，系统10触发预定动作(例如，隔离外部命令和/或应用安全规则)。

表示安全范围的数据可以包括远程操作载具必须位于的纬度、经度和高度的范围。

根据第一种可能性，由位于载具上的处理模块来计算保护半径。

在此情况下，由处理模块将保护半径与位置数据一起发送给载具上的安全检查系统10。

位于载具上的安全检查系统10将包括保护半径的位置数据发送给位于地面的安全检查系统6。

作为回应，位于地面上的安全检查系统6将表示安全范围的数据发送给位于载具上的安全检查系统10，以使得位于载具上的安全检查系统10能够检查远程控制载具是否被保持在安全范围内。

可以在地面上根据由位于载具上的安全检查系统10发送的位置数据来确定安全范围。载具的位置数据以及在地面与载具之间交换的安全范围的表示数据由发出控制系统来签名并且由接收控制系统来认证。

根据第二种可能性，由位于地面上的处理模块来计算保护半径。

如果保护半径的计算必须考虑一个或两个GNSS卫星可能出现故障的事实，则此第二种可能性会特别有用。此计算需要使用复杂的处理系统，包括可有利地移动至地面的大型滤波器组，其中可用装置不会有与载具上的可用装置相同的限制，并且这可以允许同时处理若干载具。

在此情况下，位于载具上的安全检查系统10将载具的空间坐标发送给位于地面上的安全检查系统6。

位于地面上的处理模块根据载具的瞬时空间坐标(纬度、经度和高度、距不同可见卫星的GNSS距离数据)以及保护范围的表示数据来计算保护半径。

位于地面上的安全检查系统6向位于载具上的安全检查系统10发送保护半径和安全范围的表示数据，以使得位于载具上的安全检查系统10能够检查远程控制载具是否能够被保持在安全范围内。

载具的位置数据以及在地面与载具之间交换的安全范围和保护半径的表示数据由发出控制系统来签名并且由接收控制系统来认证。

在另一种替选方案中(图2-系统的专用应急链)，系统10能够接收简单的指令(来自用于链接独立安全数据的链11的离散类型)。在此情况下，系统触发预定动作(例如，隔离外部命令和/或应用安全规则)。

此外在第三替选方案中(图3-空中交通管制采取的控制)，在控制站(有意或无意)失去控制的情况下，载具的安全系统能够经由“VHF”链路(站12)从空中交通管制(站ATC 13)接收一系列简单指令。

签名机制基于事先在ATC与远程操作者之间交换的密钥来检查这些命令的真实性。