用于写、更新和读航空设备的静态和动态标识数据的方法和系统的制作方法

用于写、更新和读航空设备的静态和动态标识数据的方法和系统的制作方法
【专利摘要】本发明提供了一种用于写、更新和读航空设备的静态和动态标识数据的系统，该系统安全、重量轻且易于实现。用于写、更新和读静态和动态标识数据的系统包括：用于收集和存储航空设备（3）的静态和动态标识数据的数据收集装置（5），所述收集装置被集成到所述航空设备中并按照主-从通信模型耦合到航空设备的计算单元（9），所述计算单元总是作为与所述收集装置通信的主，以及用于远程地读取存储在所述收集装置上的所述标识数据的至少一部分的读取装置（7）。
【专利说明】用于写、更新和读航空设备的静态和动态标识数据的方法和系统

【技术领域】
[0001]本发明涉及对包括计算单元的航空设备的标识，更具体地，涉及写、更新和读航空设备的(更具体的，它的计算单元的)静态和动态标识数据。

【背景技术】
[0002]现代的飞机包括越来越多的电子的和计算系统来改善它们的性能，并在飞行员和机组成员的任务中给予帮助。航空电子工学系统的功能最大可能地利用它们在其中实施的航空设备的计算和输入/输出资源。
[0003]每个航空设备符合一个技术定义，该定义由此定义专用的设备号(硬件部件号或原始部件号ΡΝ0)来指示。此外，每个设备，在它制造时，就接收包含字母与数字的序列号(序列号，或字母数字序列号一 SEQ或SER)。这个唯一的标识号使得能够跟踪其被分配给的设备的生命周期。设备的这些静态标识数据通常被存储在设备的内部存储器上或卸载到，例如，如黏在这个设备上的RFID (即射频标识)芯片(或标签)上。
[0004]此外，机上计算体系结构提供了网络层、由处理和计算单元的组件形成的硬件层、低级别软件层(操作系统和中间件)，以及提供航空电子工学功能的应用包软件层。这样，该航空设备，无论是通用的或专用的，可能需要它们的软件配置的更新，以改善它们的功能或性能，以纠正异常、以符合新标准等。这些更新可以例如在工厂中由飞机制造者完成，或例如在飞机上由航空公司完成，并通过动态标识数据(通常为软件版本号(软件部件号))来标识。
[0005]根据更新软件配置的第一过程，航空设备维持安装在飞机上，并且它通过它的标称航空电子工学通信网络(AFDX及其变体、本地以太网、CAN、A429、I2C或用于航空学中的任何其它媒介)从用于下载配置数据DLCS (即数据加载配置系统)的机上系统接收更新数据。该航空设备将这个下载的更新安装在为此目的提供的存储器区域中，并根据下载的更新来更新它的软件配置数据(SW部件号)。这些软件配置数据由安装在该设备上的全部软件(诸如，操作系统、中间件、平台的辅助软件(也被称为系统部分)、航空电子工学应用及其数据库及其配置表格)的穷尽性列表组成。
[0006]根据更新软件配置的第二过程，航空设备维持安装在飞机上，并且通过专用于维护的连接器(例如JTAG、I2C、SP1、因特网连接器、或航空学维护中使用的任何其它媒介)接收此更新，这提供了根据所安装的更新更新该设备的存储器以及该航空设备的软件配置数据的能力。根据更新软件配置的第三过程，航空设备维持安装在飞机上，设备的存储器的可移除部分(例如OBRM、ROM)由维护技师物理地替换。软件配置的标识是该存储器的一整体部分。
[0007]最后，在航空设备进行工场维护时，用于更新软件配置的前述过程可被使用。
[0008]在软件配置的这些更新期间，动态标识数据，诸如SW部件号，也被更新。更新可结合设备的操作系统的积极协作，通过航空电子工学媒介，或直接在该航空设备的各存储器区域上完成。
[0009]为访问航空设备的静态标识数据(诸如设备号和标识号)，当前使用读取航空设备上存在的RFID芯片的RFID读取器。该芯片也使得存储与(由维护技师在他执行维护操作时记录的)特定软件维护行为相关的静态数据成为可能。然而，在通信网络自动维护或维护技师难以访问设备的情况下，RFID芯片的数据将会不正确或不完整。
[0010]当前的更新航空设备的软件配置的过程没有使得容易地确定该软件配置的状态以及访问动态标识数据成为可能。
[0011]用于确定动态标识数据的部分方案已在当前的航空计算机上实现。该方案包括使用测试槽，它使得连接专用读取器以读取动态标识数据成为可能。然而，这个测试槽对飞机的质量不利。此外，该测试槽需要专用读取器并且不提供对设备的静态标识数据的任何访问。
[0012]本发明的目的是通过提出一种用于写、更新和读航空设备的静态和动态标识数据的方法和系统来弥补前述缺点，该方法和系统是自动的、安全的、低重量的且易于实施的。


【发明内容】

[0013]本发明由一种用于写、更新和读包括计算单元的航空设备的静态和动态标识数据的方法来定义，所述方法包括以下步骤:
[0014]——由航空设备将所述航空设备的静态和动态标识数据发送到收集装置，所述收集装置被集成到所述航空设备内，并根据主-从通信模型耦合到所述航空设备的所述计算单元，其中所述计算单元是与收集装置通信的主，
[0015]—将所述静态和动态标识数据存储在所述收集装置的存储器中，以及
[0016]—由读取装置远程读取存储在所述收集装置的存储器中的所述静态和动态标识数据的至少一部分。
[0017]该方法使得以简单且安全的方式访问航空设备的静态和动态标识数据成为可能。更具体地，该方法使得当设备的软件配置被更新时以自动方式访问动态标识数据的更新而不干扰该航空设备成为可能，其中更新是通过经由飞机的通信网络或其它任何媒介或通过其它任何过程下载的。
[0018]根据第一个实施例，由所述航空设备或所述读取设备发起的与所述收集装置通信以直接的方式实现。
[0019]这允许航空设备和读取装置以简单和直接的方式各自在收集装置上的其侧运行，而读取装置对航空设备没有任何干扰。
[0020]根据第二个实施例，由所述航空设备或所述读取设备发起的与所述收集装置通信需要认证发起者的步骤。
[0021]这允许航空设备和读取装置在收集装置上以更安全的方式运行。
[0022]有利地，该方法包括认证读取装置上的用户的步骤。
[0023]这使得根据用户的简档来验证访问授权，及可选地，他的访问权利的级别成为可倉泛。
[0024]有利地，航空设备和收集装置之间的通信是单向的，方向从所述航空设备到所述收集装置。
[0025]这使得更进一步保证没有什么能影响或干扰航空设备成为可能。
[0026]有利地，该方法包括读取装置的将航空设备的跟踪数据写在收集装置的存储器中的步骤。
[0027]这些数据使得以精确方式确定维护行为的日志以及航空设备的历史成为可能。具体而言，在维护行为期间，操作者将可能在维护行为之前验证航空设备的初始配置，并接着在维护行为之后验证此设备的最终配置。
[0028]有利地，被所述航空设备或被所述读取装置发送的、被传送到所述收集装置的数据，由发送者加密和/或签名。
[0029]这使得改善数据的保护并保证它们的完整性成为可能。
[0030]有利地，该方法包括由航空设备将与航空设备的生命周期相关的辅助数据写入收集装置的存储器或从收集装置的存储器中读取辅助数据的步骤。
[0031]实际上，除了静态和动态标识(HW部件号、序列号、Sff部件号)和关于航空设备的维护的跟踪信息以外，装备的制造者、飞机的制造者或航空公司可能希望收集关于已经分别分发的、安装在飞机上的、或在操作利用期间且尤其是任何维护行为以外实施的每个设备的生命周期的信息(诸如例如，运行小时数或温度和供电电压的极值)并随后存档在收集装置中。这些数据(诸如温度和供电电压的最大值，或起飞/着陆周期数)使得便于例如在运行异常后调查航空设备(治疗性维护)，或建立预后使得有可能预测设备的未来故障(预防性维护)成为可能。航空设备可读取收集装置的存储器，尤其以便避免它不得不存储必须建立其最小值和最大值的辅助数据，或允许它计算合计的持续时间。
[0032]本发明目的还在于用于写、更新和读包括计算单元的航空设备的静态和动态标识数据的系统，所述系统包括:
[0033]——数据收集装置，该数据收集装置集成到所述航空设备内，并根据主-从通信模型耦合到航空设备的所述计算单元，其中所述计算单元是与所述收集装置通信的主，所述收集装置被配置为收集并存储静态和动态标识数据；以及
[0034]—读取设备，用于远程读取存储在所述收集装置上的所述标识数据的至少一部分。
[0035]本发明目的还在于旨在集成到包括计算单元的航空设备内的数据收集装置，所述装置包括:
[0036]——隔离接口，旨在耦合到航空设备的所述计算单元，以便将航空设备和收集装置之间的任何连接与任何外部入侵隔离，
[0037]——第一发送者-接收者模块，被配置用于远程地与读取装置通信
[0038]——监控单元，被配置用于接收由读取装置通过第一发送者-接收者模块或由航空设备经由隔离接口发送的请求，以便管理读取装置或航空设备对收集装置的访问，并确保收集装置不能访问航空设备，
[0039]——执行单元，被配置用于执行源自监控单元的访问请求，以及
[0040]—存储器，该存储器可由执行单元访问且被配置用于存储所述航空设备的静态和动态标识数据。
[0041]收集装置的架构使得以简单和安全的方式收集航空设备的标识数据而阻止对其的任何入侵成为可能。
[0042]有利地，收集装置包括配置用于将航空设备和收集装置之间的任何连接与任何外部入侵隔离的隔离接口。
[0043]隔离接口提供针对任何意外的或恶意的电气和/或电磁入侵或交互的安全性。这样，航空设备及其运行性能不会被被计算操纵或电气操作降级或篡改。
[0044]有利地，该收集装置包括补充计算单元，被配置用于认证读取装置的用户的请求和/或编码要被读取和/或被写入所述存储器的数据。
[0045]有利地，收集装置包括能量管理模块，被配置用于或基于在收集装置执行访问时由读取装置发送的能量，或基于在航空设备执行访问时由航空设备提供的供电源，来向收集装置的各元件供电。
[0046]本发明目的还在于包括计算单元、以及用于接收符合上述特性的收集装置的机械、电气和通信接口的航空设备。
[0047]本发明目的还在于用于远程读取存储在收集装置上的数据的读取装置，包括:
[0048]——用户接口，根据用户的简档允许用户访问存储在收集装置上的数据的部分，
[0049]——第二发送者-接收者模块，被配置用于远程地与收集装置通信，
[0050]——控制单元，被配置用于经由第二发送者-接收者模块向收集装置发送请求并管理从收集装置接收的数据，
[0051]——存储单元，被配置用于存储从收集装置接收的数据，以及
[0052]——供电和能量管理模块，被配置用于向读取装置的各元件供电并向收集装置发送能量。
[0053]本发明目的还在于包括符合上述特性的航空设备的飞机。

【专利附图】

【附图说明】
[0054]图1以示意性方式示出了根据本发明一实施例的，用于写、更新和读航空设备的静态和动态标识数据的系统；
[0055]图2以示意性方式示出了根据本发明一优选实施例的，用于收集静态和动态标识数据的装置；以及
[0056]图3以示意性方式示出了根据本发明一优选实施例的，用于读取静态和动态标识数据的装置；以及
[0057]图4以示意性方式示出了根据本发明一优选实施例的，用于写、更新和读航空设备的静态和动态标识数据的方法。

【具体实施方式】
[0058]本发明的原理是根据确保航空设备对通信的全部掌控权的架构将电子芯片连接到航空设备的计算单元，以便在芯片上写或更新标识数据，该标识数据随后可被合适的读取器读取。
[0059]图1以示意性方式示出了根据本发明一实施例的，用于写、更新和读航空设备的静态和动态标识数据的系统。航空设备3的标识系统I包括集成到航空设备3中的数据收集装置5，以及读取装置7。
[0060]航空设备3例如是用于无线电通信、地理位置、维护的航空电子工学设备，或包括计算单元9 (诸如计算机)的任何其它机上设备。
[0061 ] 航空设备3包括机械的、电气的和通信接口 11来接收装置5，装置5被配置用于接收、收集和存储航空设备3的静态和动态标识数据。
[0062]机械接口使得收集装置5被例如通过胶粘来固定到航空设备3成为可能，并且因为当作电气接口，它允许收集装置5由航空设备3供给电压。通信接口使得根据主-从通信模型或架构将收集装置5耦合到航空设备3的计算单元9成为可能，其中航空设备3的计算单元9是与收集装置5通信的主，收集装置5本身被配置为由计算单元9来控制。
[0063]航空设备3因此是主设备，它集成或容纳收集装置5，该设备的计算单元9可完全安全地写或更新收集装置5上的标识数据以及可选地其它数据。
[0064]静态标识数据(硬件部件号、序列号)通常与设备3的硬件技术定义相关，可包括它的操作系统以及它的序列号。动态标识数据(软件部件号)通常与设备的软件配置相关，包括航空电子工学应用、它们的数据库和它们的配置表、中间件和操作系统，在从生产单位到报废单位贯穿设备3的整个生命中被更新。
[0065]有利地，收集装置5是以很轻的重量的标签或芯片形式的有源组件，包括用于发送和接收数据、RFID (射频标识)标签类型的装置，还包括，隔离接口 13，该接口被配置用于将航空设备3与源自设备3以外的装置的经由收集装置5的任何电气、电磁或通信连接隔离。这提供了针对任何意外的或恶意的入侵的安全性。因此，系统I的计算或电气操作不能够降级设备的运行性能或篡改与设备相关的数据。
[0066]读取装置7被配置用于通过射频远程读取存储在收集装置5上的标识数据的至少一部分。读取装置7可被用户15用来根据用户(例如，维护操作员、航空公司、计算管理员等)的简档读取数据。
[0067]作为变体，读取装置7被配置用于通过射频远程读取存储在收集装置5上的标识数据，并且在收集装置5被配置为对读取装置7允许以写模式访问的情况下，还将与航空设备相关的信息写到收集装置5上。
[0068]图2以示意性方式示出了根据本发明一优选实施例的收集装置。
[0069]根据这个优选实施例，收集装置5采取RFID标签类型的无线电标识电子芯片的形式。收集装置5集成连接到容纳该收集装置的航空设备3 (或主设备)的计算单元9的安全电子连接17。安全连接17可以采取例如数据总线、离散信号或电光或电磁耦合的数据总线的形式。
[0070]收集装置5的硬件构架包括第一发送者-接收者模块19、21、23、能量管理模块25、隔离接口 13、处理模块27和存储器29。
[0071]第一发送者-接收者模块19、21、23遵循与读取装置7远程通信的航空标准。更具体地，这些模块包括能够从读取装置7接收信息/向读取装置7发送信息的RF (射频)天线19、调制解调器21以及编解码器23。调制解调器21按通常的方式包括调制器21a和解调器21b。调制器21a适于将数据流转换成经调制信号，以通过天线19发送到读取装置7。解调器21b适于将从读取装置7接收的信号转换成数据流。编解码器23包括用于编码要发送的数据的编码器23a和用于解码源自调制解调器21的数据流的解码器23b。
[0072]能量管理模块25配置用于基于外部源的通过能量采集过程25a或通过电连接25b来给收集装置5的各元件供电。实际上，收集装置5可或者基于在读取装置7执行访问(读或写)的情况下由读取装置7传输的能量被供电，或者基于在航空设备3执行访问(读或写)的情况下由航空设备3通过电连接25b提供的供电源被供电。
[0073]隔离接口 13 (包括例如光耦合器)要通过安全总线17被耦合到航空设备3的计算单元9，以将航空设备3和收集装置5之间的任何连接与外部入侵隔离。这通过阻止源自收集装置5的任何电气干扰被传播到主设备3，确保了航空设备3的电气保护。
[0074]此外，根据对应于单向通信模式的一特定实施例，隔离接口 13被配置来阻止从收集装置5去往航空设备3的方向的任何通信。
[0075]隔离接口 13被连接到处理模块27，处理模块27包括监控单元27a、执行单元27b，以及可选地，补充计算单元27c。将注意到，处理模块27及其经由隔离接口 13和安全总线17到航空设备3的计算单元9的连接，按主-从构架实现，其中计算单元9是主。
[0076]监控单元(或监视单元)27a被配置来监控收集装置5的元件，并且接收并管理由读取装置7经由第一发送者-接收者模块19、21、23或由航空设备3经由隔离接口 13发送的请求。这些请求采取请求在收集装置5的存储器29中读或写的形式。每个请求可以伴随认证的不能证伪的指示。响应于每个请求,有利地发送确认,尤其是来确认认证。
[0077]监控单元27a通过监控链接(虚线连接)来在收集装置5的全部元件上实行监控以便，例如，激活或停用特定功能以允许或禁止对收集装置5的写访问和/或读访问。
[0078]例如，根据第一实施例，监控单元27a被配置来允许读取单元7仅读取记录在收集装置5上的至少一部分数据。根据该第一模式，收集装置5被称为是“只读”类型。
[0079]根据第二实施例，监控单元27a被配置用于允许读取装置7读取记录在收集装置5上的至少一部分数据并且还在收集装置上写信息。根据该第二模式，收集装置5被称为是“读和写”类型。
[0080]具体地，监控单元27a被配置来管理读取装置7或航空设备3对收集装置5的访问。例如，监控单元27a管理一方面由读取装置7进行另一方面由航空设备3的计算单元9进行的对收集装置5的同时访问企图之间可能的冲突。在这些冲突期间的访问优先级可通过有利地给予航空设备优先级来进行配置。监控单元27a可因此在航空设备3的优先级访问期间，停用能量收集功能25a和第一发送者-接收者装置19、21、23。类似地，监控单元27a控制隔离接口 13以便在对收集装置5的访问或企图访问期间彻底地将航空设备3与任何入侵隔离。此外，在航空设备3的软件配置通过经由飞机的通信网络或经由特定加载槽的下载来更新期间，监控单元27a有利地被配置来禁止或阻止读取装置7以读模式或写模式下对收集装置5的访问，以针对收集装置5的存储器29中的数据不一致性的任何可能性进行保护。该禁止可以表征为收集装置5为读取装置7的利益而发送的确认。
[0081]监控单元27a也被配置来确保收集装置5既不能读访问也不能写访问航空设备3的存储器或寄存器。这样，收集装置5不能改变航空设备3的任意状态。
[0082]此外，监控单元27a被配置来使用另一个可选的计算资源，使得它能够例如，认证用户的请求和/或编码要被读和/或要被写的数据。实际上，处理模块27可包括补充计算单元27c，补充计算单元27c可在对收集装置5的数据的任何访问期间被配置并激活。这个补充计算单元27c对应于协处理器，该协处理器适于执行认证和/或加密操作以认证读取装置7的用户15的请求和/或编码要被从存储器29读取和/或写入存储器29的数据。优选地，假如补充计算单元27c被包括在收集装置5中，则它被激活。
[0083]根据变体实施例，监控单元27a还被配置来将可能可选地包括完整性要素(或签名)的数据发送到执行单元27b。
[0084]执行单元27b被配置来接收并执行来自监控单元27a的对存储器29的经授权的访问请求。
[0085]最后，存储器(R0M/RAM) 29被配置来可被执行单元27b访问并存储标识数据以及航空设备3的其它类型的数据。
[0086]收集装置5的实现可在各种阶段或步骤中起效。在对应于航空设备3的设计的起始步骤期间，设想用于接收收集装置的机械、电气和计算机接口 11，并且全部的安全电气、电磁和计算机连接被设计并自设计开始被验证为正确，以便禁止经由这些安全连接的意外的或蓄意的任何电气的和/或电磁的和/或计算机入侵。
[0087]此外，在航空设备的制造期间，收集装置5被连接到这个主设备3的计算单元9，并且专用于这个设备3的静态标识数据(部件/号和序列/号)被写在收集装置5的存储器中。
[0088]随后，在航空设备3中软件元件(包括操作系统、中间件、应用、配置表格、数据库)的初始集成或更新期间，无论接收这些元件的手段如何，由航空设备3以自动的且不易腐败的方式将动态标识数据(SWP/N)写入收集装置5或在其中更新。
[0089]在航空设备3的操作使用期间，以及在维护阶段期间，航空设备3的生命周期的辅助数据可由航空设备3写入收集装置5。实际上，与航空设备3的计算单元9通信的协议被配置来允许收集装置5来接收主设备3软件配置标识数据，以及对于收集装置5来说不可访问的辅助数据。
[0090]作为指示而非限制，辅助数据可包括以下数据:通电的小时数、飞行小时数、起飞/降落周期数、最小/最大运行温度、最小/最大供电电压和电流、热交换次数、写入只读存储器的周期数、下载次数、由设备的异常导致的重启(重置)次数、飞行员或维护操作员请求的重启(重置)次数、航空设备专用运行数据(通信总线的缺陷、施加到输入/输出上的过电压、内部监视结果等)以及与航空设备相关的第一次和最后一次异常消息。
[0091]有利地，收集装置可计算这些辅助数据的最小和最大值或运行的合计的持续时间或航空设备的服务所需的任何其它变量并存储在其存储器中。
[0092]有利地，航空设备3由收集装置5授权以在收集装置5的存储器29中读取。这样，辅助数据不存储在收集装置中，并且后者的性能得到改善。
[0093]图3以示意性方式示出了根据本发明一优选实施例的读取装置。读取装置7的能量分布和基本协议遵循航空标准。
[0094]读取装置7的硬件构架包括用户接口 31、第二发送者-接收者模块33、35、37、电源和能量管理模块39、41、控制模块43和数据存储单元(或存储器)45。
[0095]用户接口 31配置用于允许用户15根据用户简档并且尤其是他访问和/或读和/或写权利来访问存储在收集装置5上的数据的部分。
[0096]第二发送者-接收者模块33、35、37遵循用于根据图2与收集装置通过射频远程通信的航空标准。这些模块包括能够从收集装置5接收信息/向收集装置5发送信息的RF天线33、调制解调器35以及编解码器37。
[0097]供电和能量管理模块39和41遵循航空标准，并配置用于向读取装置7的各元件供电，并通过天线33向收集装置5发送能量。
[0098]控制模块43被配置来通过第二发送者-接收者模块33、35、37向收集装置5发送请求并管理从收集装置5收到的数据。
[0099]更具体地，控制模块43包括监控装置43a，以及执行装置43b，以及可选地补充计算装置43c。这些装置具有与收集装置5的单元27a、27b、27c相等的功能。
[0100]补充计算装置43c被配置来例如验证用户的身份以认证用户。
[0101]此外，补充计算装置43c被配置用来向收集装置5发送由用户15提供的身份用于权利的认证/验证，因此使得授权与收集装置5的通信成为可能。
[0102]根据另一选项，补充计算装置43c被配置用来通过使用用户15的身份或读取装置7专用的身份来计算完整性要素。
[0103]补充计算装置43c还可以被配置来验证在收集装置5中读取的完整性要素。将会注意，在收集装置5中读取的完整性要素不一定与读取设备7所计算出的完整性要素一样。
[0104]根据又一个选项，补充计算装置43c配置用于采用用户15的身份或采用读取装置7专用的身份来对分发到收集装置5的数据加密或解密。
[0105]此外，控制模块43被配置用于根据分配给读取装置7的用户15的特权，并且可选地根据当收集装置5是读和写类型时写入收集装置5的存储器29的能力，监控并管理对收集装置5的数据访问的安全性。
[0106]控制模块43是工厂可配置的，并且特别是关于用于识别和认证读取装置7的用户15的功能可配置的。因此，对收集装置5的存储器29的访问的特定权利可根据用户的简档来被分配。作为示例，作为指示，用户的简档可以包括以下简档:航空设备供应商、航空电子设备舱或柜的集成商、航空制造商、航空公司(购买或维护部门)、线路维护技师、维修车间以及主设备。
[0107]对于每个用户简档，并且如果需要，是对于给定简档每个预先标识的用户，分配了以读和/或写模式访问收集装置5的存储器29的特定部分的权利。例如，只有航空设备的供应商具有在航空设备交付之前仅写一次序列号(HW序列部件号)的特权。所有的用户随后将能够读取该号，但是没有用户，甚至设备3的供应商都不能够修改它或破坏它。
[0108]此外，读取装置7可根据几种使用模式来配置。根据第一使用模式，读取装置7对于全部用户是标准和通用的。在这种情况下，在每次使用之前，每个用户向读取装置提供他专用的并且给予他对读和/或写访问收集装置5的存储器29的特定特权的代码。
[0109]根据第二使用模式，读取装置7是基础，且没有对读取装置对收集装置的访问的授权的验证。因此，读取装置7总是可以读取包含在收集装置5中的数据。根据变体实施例，当收集装置5是读-写类型时，读取装置总是能够写入所述收集装置5。
[0110]根据第三使用模式，读取装置7为给定用户15特别配置，用户15然后可使用它而无没有对他的访问和/或写和/或读权利的认证和/或验证的约束。
[0111]有利地，读取装置7由PC工作站上的软件应用或等同类型补充，使得能够将由这个读取器获得的数据分发到公司计算架构。对收集装置5的数据的访问的权利可在收集装置5和读取装置7之间的射频连接期间被验证；于是数据分发软件不需要是安全的或为它考虑数据访问授权。对收集装置5的数据的访问的权利也可被工作站上的软件应用管理。
[0112]图4以示意性方式示出了根据本发明一优选实施例的，用于标识航空设备的方法。
[0113]该方法示出了一方面在收集装置5和航空设备3之间，以及另一方面在收集装置5和读取装置7之间的交互。如前面指出的，收集装置5被集成到航空设备3中，并按照计算单元9主管的通信模型耦合到该设备的计算单元9。
[0114]根据第一步骤，收集装置5通过安全接口 17从航空设备3接收标识数据(HW部件号、序列号、SW部件号)以及尤其是用于更新这些标识数据的信息。源自航空设备3的数据还可以包括关于设备3的生命周期的信息。
[0115]源自航空设备3的数据可能或可能没有全部被认证。此外，航空设备3可包括随数据一起写入的完整性要素。该完整性要素基于用于标识航空设备3的、使其因此能够确信其身份的要素。此外，在分发到收集装置5之前，数据可被航空设备3加密。
[0116]第二步骤涉及将标识数据在它们被认证的情况下连同数据源的鉴定一起，存储或写入包括在收集装置5中的存储器29中。存储在存储器29中的数据可被编码和/或加密，以改善对这些数据的保护，并且可被签名以保证它们的完整性。
[0117]第三步骤涉及由读取装置7对存储在收集装置5中的存储器29中的标识数据的至少一部分的读取。这个步骤可包括用户15的认证并且可选地，(由收集装置5或读取装置7)对他的读权利的验证。该步骤还可包括通过使用完整性要素的对最初作者的写权利的验证。此外，该步骤还可包括对数据的带解码/解密的读取。
[0118]可选地，该方法可包括在收集装置5为读-写类型时，由读取装置7 (在这种情况下也是写入装置)在收集装置5中写数据的步骤。该步骤可包括对用户15的认证。它也可包括(由收集装置5或读取装置7)对用户15的写权利的验证，根据这样被验证的权利，并且随后收集装置5将或将不执行在其存储器中的写。该可选步骤还可包括构建与要被写的数据相关联的完整性要素的构建。此外，它可以包括对要被写的数据的加密，密钥能够被绑定到用户15的身份或读取装置7。最后，数据(可选地连同它们的完整性要素)被写入收集装置5的存储器29中。
[0119]根据两个实施例连同对于每个实施例的多个选项，与收集装置5的通信可被影响。
[0120]实际上，根据第一实施例，由航空设备3或由读取装置7发起的与收集装置5的通信以直接的方式实现，也就是说，不需要通信的发起者认证其本身和/或它的读和/或写权利被验证以建立与收集装置的通信。
[0121]根据第二实施例，由航空设备3或由读取装置7发起的与收集装置5的通信需要在收集装置5上认证发起者的步骤。在第二实施例中，收集装置5包括补充计算单元27c(图2)，其认证或鉴定设法与收集装置5通信的发起者(航空设备3或读取装置7)的权利。权利的鉴定例如通过与数据库的比较以及验证数据项的源(航空设备3、读取装置7或用户15)和收集装置5的存储器之间的连接的授权来实现。
[0122]根据第一个有利的选项，方法包括在读取装置7上通过补充计算装置43b (图3)对用户15的认证的步骤。
[0123]根据第二个有利的选项，由航空设备3或由读取装置7发送到收集装置5的数据，由发送者(航空设备或读取装置)加密。
[0124]根据第三个有利的选项，存在由读取装置7和由航空设备3提供的完整性要素(或签名)以确认与收集装置5的通信。例如，如果用户15已经认证了他本身则读取装置7的签名可基于用户15来计算，或者如果还没有对用户15的任何认证则读取装置7的签名可基于读取装置7来计算。发送到收集装置5的数据的签名在第一实施例的框架内尤其有利，其中数据的传输作为明文来进行。
[0125]根据第四个有利的选项，航空设备3和收集装置5之间的通信是在从航空设备3到收集装置5的方向上单向的。
[0126]根据第五个有利的选项，该方法包括由读取装置7将与航空设备的维护相关的跟踪数据写入收集装置5的存储器29中的步骤。
[0127]实际上，收集装置5可以是“读和写”类型，且在此情况中，用户15可使用读取装置7来读取被记录在收集装置5上的数据，但也将主要与航空设备3上进行的维护行为相关的信息写在收集装置5上。有利地，与由航空设备3经历的维护行为相关的信息以安全方式记录在收集装置5上以使得它们不可能篡改。
[0128]收集装置5可以是“只读”类型的变体，且在这个情况下，用户15可单独使用读取装置来读取记录在收集装置5上的数据。
[0129]在收集装置5中读取的数据可被不同用户(诸如维护操作员、航空公司等)利用。数据的分发有利地受到分配给这些用户的权利的约束，并且可用经计算化的签名手段补充，使得有可能确保这些数据的完整性和完全性。
[0130]数据的使用使得用户，按照他的权利，拥有对特定信息或全部该信息的读访问权以及，在特定条件下，写访问权。因此，该方法尤其可以授权或禁止收集装置5的存储器的更新，以遵循操作安全约束或计算安全约束。
【权利要求】
1.用于写、更新和读包括计算单元(9)的航空设备的静态和动态标识数据的方法，其特征在于所述方法包括以下步骤: 一一由航空设备(3)将所述航空设备的静态和动态标识数据发送到收集装置(5)，所述收集装置被集成到所述航空设备内并根据主-从通信模型耦合到航空设备的所述计算单元(9)，其中所述计算单元(9)是与收集装置通信(5)的主， —将所述静态和动态标识数据存储在所述收集装置(5)的存储器(29)中，以及 ——由读取装置(7 )远程地读取存储在所述收集装置(5 )的存储器(29 )中的所述静态和动态标识数据的至少一部分。
2.如权利要求1所述的方法，其特征在于，由所述航空设备(3)或由所述读取装置7)发起的与所述收集装置(5)的通信以直接方式实现。
3.如权利要求1所述的方法，其特征在于，由所述航空设备(3)或由所述读取装置(7)发起的与所述收集装置(5)的通信，需要认证发起者的步骤。
4.如前述任一项权利要求，其特征在于，所述方法包括在读取装置上认证用户的步骤。
5.如前述任一项权利要求，其特征在于，航空设备(3)和收集装置(5)之间的通信是在从所述航空设备到所述收集装置的方向上单向的。
6.如前述任一项权利要求，其特征在于，所述方法包括由读取装置(7)将航空设备(3)的跟踪数据写入收集装置(5)的存储器(29)中的步骤。
7.如权利要求6所述的方法，其特征在于，由所述航空设备(3)或由所述读取装置(7)发送到所述收集装置(5)的静态和动态标识数据由发送者加密和/或签名。
8.如前述任一项权利要求，其特征在于，所述方法包括由航空设备(3)将航空设备的生命周期的辅助数据写入收集装置(5)的存储器(29)中或从收集装置(5)的存储器(29)中读取。
9.用于写、更新和读包括计算单元(9)的航空设备(3)的静态和动态标识数据的系统，其特征在于所述系统包括: ——数据收集装置(5)，该数据收集装置被集成到所述航空设备(3)内，并按照主-从通信模型耦合到航空设备(3)的所述计算单元(9)，其中所述计算单元是与所述收集装置通信的主，所述收集装置(5)被配置为存储静态和动态标识数据；以及 ——读取装置(7)，用于远程地读取存储在所述收集装置上的所述标识数据的至少一部分。
10.如权利要求9所述的系统，其特征在于，收集装置包括被配置用于将航空设备和收集装置之间的任何连接与任何外部入侵隔离的隔离接口(13)。
11.旨在被集成到包括计算单元的航空设备的数据收集装置，其特征在于，所述装置包括: —隔离接口(13)，该隔离接口旨在被耦合到航空设备(3)的所述计算单元(9)，以便将航空设备和收集装置之间的任何连接与任何外部入侵隔离， ——第一发送者-接收者模块(19、21、23)，配置用于远程地与读取装置(7)通信， ——监控单元(27a)，配置用于接收由读取装置经由第一发送者-接收者模块或由航空设备经由隔离接口发送的请求，以便管理读取装置或航空设备对收集装置的访问，并确保收集装置不能访问航空设备， ——执行单元(27b )，配置用于执行源自监控单元的访问请求，以及——存储器(29)，该存储器能够由执行单元访问并被配置用于存储所述航空设备的静态和动态标识数据。
12.如权利要求11所述的收集装置，其特征在于，所述收集装置包括补充计算单元(27c)，所述补充计算单元被配置用于在使用时认证读取装置的用户的请求和/或编码要被读取和/或被写入所述存储器的数据。
13.如权利要求11或12所述的收集装置，其特征在于，所述收集装置包括能量管理模块(25)，所述能量管理模块被配置用于基于在读取装置执行访问时由读取装置发送的能量，或基于在航空设备执行访问时由航空设备提供的供电源，来向收集装置的各元件供电。
14.包括计算单元的航空设备，其特征在于，所述航空设备包括机械、电气和通信接口(11)来接收根据权利要求11到13之一的收集装置。
15.用于远程地读取存储在收集装置上的数据的读取装置，其特征在于，所述读取装置包括: ——用户接口(31)，以根据用户的简档允许用户访问存储在收集装置上的数据的部分， ——第二发送者-接收者模块(33、35、37)，配置用于远程地与收集装置通信， ——控制单元(43)，配置用于经由第二发送者-接收者模块向收集装置发送请求并管理从收集装置接收的数据， ——存储单元(45)，配置用于存储从收集装置接收的数据，以及——供电和能量管理模块(39、41)，配置用于向读取装置的各元件供电并向收集装置发送能量。
16.包括如权利要求14所述的航空设备的飞机。
【文档编号】G06F3/06GK104238958SQ201410144083
【公开日】2014年12月24日 申请日期:2014年4月11日 优先权日:2013年4月11日
【发明者】B·勒康特, T·普兰切, B·德勒里斯 申请人:空中客车运营简化股份公司