用于飞行器上的数据传输管理的系统和方法与流程

本发明涉及飞行器、特别是运输机上的数据传输系统和方法。

背景技术：

更具体地，本发明意在用于航空电子设备类型(就是说被保护为使得遵守数据约束、尤其是遵守完整性和可用性的数据约束的设备)的飞行管理系统FMS与开放世界类型(就是说没有充分保护使其被集成为和飞行器中的设备一样)的便携电子设备之间的数据的传输(或交换)。

更特别地，然而非排他地，此便携电子设备可以为尤其用于准备飞行器的飞行的EFB(电子飞行包)类型的电子飞行设备或者任何其他的便携式计算机或触摸板。

已知的是，EFB设备包含航空公司的应用和/或由该航空公司计算的数据，这些应用和/或数据使得在准备飞行时或者在飞行期间可以将合适的数据输入至飞行器的FMS系统中。

由于作为飞行器的敏感电子系统的FMS系统上加重的安全需求，所以在数据至FMS系统的传输中产生安全约束。特别地，重要的是防止飞行器中心怀恶意的人能够将包括损坏代码的数据输入至FMS系统中，或者防止故障应用能够将可能导致FMS系统的失效的数据发送至该FMS系统。

因此，标准的EFB设备没有被设计成将数据传输至FMS系统。而且，为了准备飞行，飞行器的机组人员经由飞行器的人/机接口将在EFB的屏上显示的数据拷贝到FMS系统中。

这样的数据加载对于机组人员而言代表很大的工作量，从而进一步产生时间损耗和错误风险。

本发明的目的是弥补此缺点。

技术实现要素：

本发明涉及一种用于飞行器的数据传输管理系统，所述数据传输管理系统包括：

-航空电子设备类型的飞行管理系统；以及

-至少一个开放式的便携电子设备。

根据本发明，所述数据传输管理系统还包括：

-数据传输链路，所述数据传输链路被配置成允许所述便携电子设备与所述飞行管理系统之间的数据传输；以及

-数据保护模块，所述数据保护模块被配置成自动地监测要传输的数据并且基于所述监测来自动地管理对在所述飞行管理系统与所述便携电子设备之间传输数据的授权。

从而，根据本发明的系统能够将来自便携电子设备、特别是如上文指出的EFB设备的数据(借助于如下面详述的保护模块)自动地并且安全地传输(或者传送)至飞行器的飞行管理系统。这降低了机组人员的工作量，从而使机组人员能够在准备飞行器时节省时间，同时更有效(尤其通过避免输入错误等)。

优选地，所述数据保护模块包括：

-适于受控制的切换元件，所述切换元件被配置成能够以二选一的方式进入两个不同位置中的一个位置或者另一个位置，所述两个不同位置为第一位置和第二位置，在所述第一位置，所述切换元件阻止经由所述数据传输链路在所述便携电子设备与所述飞行管理系统之间传输数据，在所述第二位置，所述切换元件允许经由所述数据传输链路在所述便携电子设备与所述飞行管理系统之间传输数据；以及

-监测单元，所述监测单元包括至少一个安全应用，所述安全应用被配置成监测数据以便能够检测出不正确数据，将所述切换元件控制成使得其至少在通过所述安全应用检测出不正确数据的情况下进入所述第一位置。

在本发明的上下文中，“不正确数据”应当被理解为指不正确数据流、(例如，在特定飞行阶段)不被预期的数据、和/或在相对应的请求以后太长的时间间隔之后才被传输的数据。

在优选实施方式中，所述飞行管理系统包括核心模块和增补模块，所述监测单元与所述核心模块和所述增补模块二者之中的一者位于相同的装备产品(equipment item)上。

此外，有利地，所述数据传输管理系统包括保护软件实体，所述保护软件实体至少包括所述监测单元的所述安全应用以及至少一个增补安全应用，并且，所述保护软件实体与所述核心模块和所述增补模块二者之中的一者位于相同的装备产品上。

优选地，所述监测单元包括：

-数据获取单元；以及

-监测分区。

此外，在特定的实施方式中，所述保护软件实体包括以下安全应用中的至少一者：

-不正确数据流检测应用；

-数据一致性和格式检查应用；

-输入检查应用；以及

-数据译码应用。

另外，有利地，所述增补模块包括第一软件实体和第二软件实体，在所述第一软件实体中实现主要增补应用，在所述第二软件实体中实现至少一个辅助增补应用，并且其中，所述数据传输管理系统包括所述第一软件实体和所述第二软件实体中的一个软件实体与所述保护软件实体之间的数据交换接口。

此外，有利地，所述切换元件为以下类型中的一者：

-硬件类型；以及

-软件类型。

本发明还涉及一种用于管理飞行器上的在航空电子设备类型的飞行管理系统与开放式的便携电子设备之间的数据传输的方法。

根据本发明，所述方法包括第一步骤和第二步骤，所述第一步骤包括自动地监测要传输的数据，第二步骤包括基于所述监测自动地管理对经由数据传输链路在所述飞行管理系统与所述便携电子设备之间传输数据的授权。

另外，有利地，所述第一步骤的所述监测包括检查是否满足以下第一条件中的一者：

-要传输的数据流不正确；

-飞行器处于并未预期相关数据的飞行阶段；以及

-自发送请求以来已经过超出预定时间值的时间，

并且，如果满足这些条件中的至少一者，那么所述第二步骤包括阻止所述飞行管理系统与所述便携电子设备之间的数据传输。

此外，所述第一步骤的所述监测包括还检查是否满足至少一个第二条件，并且，如果满足该第二条件，那么所述第二步骤包括发送警报。

此外，有利地，所述方法包括将值呈现给机组成员并且请求确认的步骤，仅在由机组成员确认的情况下执行数据传输。

附图说明

附图将给出对可以如何实现本发明的清楚的理解。在这些图中，相同的附图标记表示相似的元素。

图1是示出了本发明的实施方式的数据传输管理系统的框图。

图2是包括设置有核心模块和双实体增补模块的飞行管理系统在内的数据传输管理系统的特定实施方式的框图。

图3和图4示意性地示出了图1的系统分别用于实现两个不同示例的方法，其中指示了所执行的不同动作。

具体实施方式

图1中示意性地表示的并且使得可以说明本发明的系统1尤其意在用于管理飞行器(未示出)、特别是运输机上的在航空电子设备类型的飞行管理系统2与开放式(open world type)便携电子设备3之间的数据传输。

此便携式电子设备(在下文中称为“便携式设备”)尤其可以为特别是使得能够准备飞行器的飞行的EFB(电子飞行包)类型的电子飞行设备或者任何其他的便携式计算机或触摸板。

根据本发明，除了飞行管理系统2和电子设备3以外，系统1还包括：-数据传输链路4，该数据传输链路4被配置成允许电子设备3与飞行管理系统2之间的数据传输；以及

-数据保护模块5，该数据保护模块5被配置成自动地监测要被传输的数据并且基于所述监测来自动地管理对在飞行管理系统2与电子设备3之间传输数据的授权。

数据保护模块5包括：

-适合于受控的切换元件6，此切换元件6被配置成能够交替地置于两个不同的位置即第一位置和第二位置中的一个位置或者另一个位置，在该第一位置，该切换元件6防止经由所述数据传输链路4在电子设备3与飞行管理系统2之间传输电子数据，以及在第二位置，该切换元件6允许经由所述数据传输链路4来传输数据；以及

-监测单元(或模块)7，该监测单元(或模块)7包括至少一个安全应用A1，此安全应用A1被配置成监测数据使得能够检测出不正确的数据流。

更一般地，监测单元7适用于检测不正确数据，即，不正确数据流、(例如，在飞行器的特定飞行阶段)不被预期的数据、和/或在相对应的请求以后太长的时间间隔之后才被传输的数据。

另外，至少在检测出不正确数据的情况下以将切换元件6控制成使其处于防止电子设备3与飞行管理系统2之间的数据传输的第一位置。

在优选的实施方式中，系统1包括保护软件实体8。此保护软件实体8至少包括监测单元7的应用A1以及至少一个增补安全应用，如在下文中详细说明的。

从而，系统1能够(如下文中详细说明的借助于数据保护模块5)自动地并且完全安全地在飞行器的飞行管理系统2与电子设备3、特别是如上文指出的EFB设备之间传输(或者传送)数据，其中该电子设备3和该飞行管理系统2属于飞行器的两个充分隔离的世界。这(尤其通过防止输入错误等)降低了机组人员的工作量，并且从而使机组人员能够在准备飞行器时节省时间，同时更有效。

在优选的实施方式中，本发明适用于如图2所示包括核心(或标准)模块10和增补(或特殊)模块20的飞行管理系统2。

核心模块10和增补模块20驻存在相同的IMA装备产品上或者驻存在两个不同的IMA装备产品上。如在下文中指出的，增补模块20包括两个软件实体，即，包括主要增补应用的第一实体I和包括辅助增补应用的第二实体II，这两个软件实体I和II位于相同的IMA装备产品上。另外，保护软件实体8与所述核心模块和增补模块二者之中的一者位于相同的装备产品上。

在第一优选实施方式中，系统1包括：

-切换元件6(硬件或者软件)，该切换元件6优选地位于飞行管理系统2之外在单独的装备产品(不同的硬件元件)中，这使得可以在数据到达飞行管理系统2的核心模块10中或者增补模块20中之前阻止该数据；以及

-监测单元(或模块)7。

在次优变型中，可以在增补模块20中设置、实现软件切换元件。还可以设想在飞行管理系统2的核心模块10中实现软件类型的切换元件。

此外，监测单元7包括：

-数据获取功能；以及

-监测分区32。

监测分区32监测保护软件实体8驻存在其上的分区的CPU使用(并且检测在恶意攻击的情况下的CPU超载)。

具有驻存在与增补模块20的两个分区不同的分区上并且与增补模块20的两个软件实体位于相同的IMA装备产品上或者位于不同的IMA装备产品上的功能。在后者的情况下，通过AFDX链路进行的通信设置有其他的IMA装备产品。监测分区32具有有限的内存和CPU资源以降低其对特定模块的影响。

在此第一实施方式的优选变型中，系统1包括与增补模块20的两个软件实体I和II位于相同的IMA装备产品上的保护软件实体8。还可以设想具有与核心模块10位于相同的IMA装备产品上的保护软件实体8。此保护软件实体8包括多个安全应用。

电子设备3与飞行管理系统2之间的链路经由A429的总线或以太网类型的总线通过保护软件实体8。

在图2所示的特定实施方式中，系统1包括保护软件实体8与包含主要增补应用的软件实体I之间的数据交换接口33。此数据交换接口33管理这两个软件实体8与I之间的通信。

此外，切换元件6为：

-或者硬件类型的切换元件。这样的切换元件例如为通过监测单元7来驱动的切换装置(晶体管)和一个或者更多个使得可以隔离两个装备产品的安全应用；

-或者软件类型的切换元件。这样的切换元件为当检测到特定条件——例如不正确数据流、错误格式等——时自动地切断链路的程序。

切换元件6(软件或者硬件)使得可以物理地切断电子设备3与飞行管理系统2之间的信息交换。如下文所指出的，在检测到不正确数据流以后、或者在没有预期有数据的特定飞行阶段中、或者甚至在数据请求以后太长的时间间隔之后致动切换元件6。通过监测单元7来驱动切换元件6。

如上面所表示的，在优选实施方式中，FMS类型的飞行管理系统2如图2所示具有包括下述模块的架构：

-核心模块10(或者标准模块(或部分))，该核心模块10用于实现与飞行器的飞行的管理有关的一般功能；以及

-增补模块20(或者特殊模块(或部分))，该增补模块20用于实现特殊的增补功能。

核心模块10和增补模块20通过数据交换接口30链接在一起。

核心模块10包括称为一般应用的一组应用11。该一般应用中的每个一般应用的执行实现与对飞行器的飞行的管理(例如对飞行计划的管理、对燃料的管理等)有关的一般功能。该一般功能或者是飞行管理系统的一般的基本功能或者是飞行管理系统的同样一般性的功能服务。

此外，增补模块20包括一组主要增补软件应用21和一组辅助增补软件应用22，其中的每个辅助增补软件应用可以被一个或者更多个主要增补应用访问。

增补应用中的每个增补应用——即，主要增补应用或者辅助增补应用——特定于飞行器所属的实体，该实体例如为特定的飞行器模型、飞行器族、航空公司、联盟、或舰队的全部或一部分。辅助增补应用包括一个或者更多个计算算法，并且该辅助增补应用的执行目的仅是向一个或者更多个增补应用提供计算结果。主要增补应用中的每个主要增补应用的执行实现增补模块20的增补功能。增补功能为与核心模块10的功能相比的新功能或者为核心模块10的功能的可替代功能，这些可替代功能给核心模块10的功能提供行为修改，或者增补功能甚至为核心模块10的服务的增补服务，这些增补服务使用这些增补功能中的一个或更多个增补功能。

在第一软件实体I中实现一组主要增补应用21，并且在与第一软件实体I不同的第二软件实体II中实现一组辅助增补应用22。软件实体为软件分区或者软件分区的软件组件。软件组件为一组代码行，该一组代码行从功能或者逻辑的角度来讲是一致的并且可以与相同分区的若干其他组件共享资源。一软件分区可以驻存若干软件组件。

优选地，在驻存于同一IMA装备产品上的两个软件分区I、II中(根据ARINC653)实现增补模块20的主要增补应用和辅助增补应用。这两个分区彼此不同并且和承载与所述组11相关的一般功能的软件分区不同。增补模块20还包括设置在两个分区I和II之间的数据交换接口60。

另外，核心模块10具有一般对接应用16，该一般对接应用16在被执行时实现使核心模块10能够与飞行器的包括至少所谓的一般人/机接口41的嵌入系统40对接的对接功能。嵌入系统40还可以包括嵌入设备42，比如常规安装在飞行器中的设备，比如例如飞行仪表、传感器等。

主要增补应用可以经由一般数据交换接口30并且经由一般对接应用16与一般人/机接口41进行对接。

增补模块20还具有对接功能26，该对接功能26被设置成经由数据交换接口30来访问核心模块10的对接功能以便能够与一般人/机接口41对接。增补模块20的此对接功能26还可以允许与一般人/机接口41直接对接以及与特定于增补模块20的人/机接口50对接。人/机接口41、50或每个人/机接口41、50可以包括屏幕(宽屏，触摸屏等)、键盘、鼠标、跟踪球、抬头显示系统和增强现实系统等，并且尤其是使机组人员能够输入数据。

核心模块10还可以包括一组元素12，例如数据库或维护功能。

由于此具有两个不同模块的结构，增补模块20的增补功能在不需要对核心模块10的软件元素进行任何修改的情况下被结合在飞行管理系统2中，并且因此仅使用核心模块10的由该核心模块所提供的功能和功能服务(在该情况下为飞行管理系统的一般性功能)。而且，可以独立于核心模块10来开发这些增补功能。另外，增补模块20的在两个软件实体I和II上的架构使得可以独立地并且以不同的软件水平来更新这两个软件实体。从而，增补模块的增补功能可以仅通过对辅助增补应用的算法的修改来进行修改。这使增补模块20具有更大的工业灵活性。

此外，在特定的示例性实施方式中，保护软件实体8至少包括如图1所示的以下安全应用：

A/不正确数据流检测应用A1。在系统1的第一实施方式中，使用了专用分区，并且在数据到来时通过存储该数据来获取所有数据，并且按照到达的顺序来处理这些数据，使得如果发送器不遵守两次传输之间分配的延迟，则不考虑第二数据。从而，在“溢流”的情况下，所有的CPU时间将用在这些获取上，从而引起CPU超载，这将能够通过监测分区检测到；

B/数据一致性和格式检查应用A2。此应用A2包括基于有关的数据的种类将预期的格式与测量的格式进行比较。即便具有可变的内容和大小的飞行计划数据和风/温度数据也具有已知的格式和范围并且可以被检测到。数据的预期的格式被编码在应用的软件中以防止心怀恶意的人能够规避保护。应用A2通过在没有处于正确格式下或者没有处于正确范围内的数据被写入到飞行管理系统2中之前拒绝该数据而表现的和滤波器一样；

C/用于在传输的开始和结束之间检查输入数据的一致性的应用A3；以及

D/数据译码应用A4。该数据译码应用A4实现根据所考虑的数据计算值的标准方法(CRC)。发送器和接收器应用相同的算法来计算此值，并且如果该数据用其CRC代码来发送，则接收器可以对该数据进行解码、重新计算其CRC代码并且将所计算的值与从发送器接收到的值进行比较。译码使得可以检查出数据在信息传递的过程中没有被破坏，然而译码并没有使得可以检查数据在源处是有效的。

在下文中在与两个示例性实现有关的特定示例中描述系统1的一般操作(“示例性实现”应当被理解为指特定应用)：

-第一示例性实现(或者第一应用)，其与以低速对性能计算结果的传输有关，参照图3；以及

-第二示例性实现(或第二应用)，其与对飞行计划的传输有关，参照图4。

在以上参照图1详细说明的本发明的第一实施方式1的基础上提出这些示例。

切换元件6为硬件类型的切换元件，并且该切换元件6位于飞行管理系统2的外部。

尽管这不是图3和图4的示例中的情况，但是在优选的实施方式中，实体8与应用A2(针对图3和图4的示例)、A3和A5(针对图3的示例)在单独的分区中，如图2中那样经由接口33与模块20链接。

图1示出这两个示例性实现的详细架构，其特别是示出了所使用的安全应用。这些安全应用是以下应用：

-不正确数据流检测应用A1；

-一致性和格式检查应用A2；

-用于在传输的开始和结束之间检查输入数据的一致性的应用A3；以及

-数据译码应用A4。

应用A1和A2是通用的，而该应用A3专用于第一示例性实现。

另外，数据译码应用A4可以应用于该两个示例性实现，或者不应用于其中任何一个。

第一示例性实现涉及飞行器管理系统目前不考虑的低速性能计算(起飞，着陆)。这些计算通过航空公司的和/或地勤人员的驻存在电子设备3中的应用来执行。在准备飞行时基于由飞行员输入到电子设备3中的比如风和飞行器的重量等参数来执行这些计算。然后，在通常情形中，与本发明相反，这些计算的结果由飞行员在飞行准备期间经由人/机接口输入到飞行管理系统中。

在此第一示例性实现中，电子设备3包括计算模块M1(意在执行低速性能计算)。

应用A3的功能是将发送至电子设备3的所述计算模块M1的数据与由计算模块M1在计算之后返回的这些相同数据进行比较，以检查该数据在飞行管理系统2与电子设备3之间没有被破坏并且检查实际上以正确数据执行了计算。

增补模块20还包括下面详述的计算应用A5，该计算应用A5为辅助增补应用。由与人/机接口有关的主要应用A6发起的请求(至RAM或者存储器共享端口的消息)被定址到应用A5和模块M1二者。对其执行确认的人/机接口为特定人/机接口50或者通用人/机接口41(其页面P通过图1中的图示来表示)。

在此第一示例性实现中，在增补模块20中以及在电子设备3(其被认为是外部计算机)中执行计算。要被传输的数据为电子设备3的模块M1的计算结果。这些数据包括起飞数据和着陆数据。

更具体地，起飞数据包括：

-要被加载到飞行管理系统2中的数据(起飞速度、引擎配置、空气动力配置、加速度、高度)；

-来自机组人员的二级信息结果，即由模块M1提供并且没有被飞行管理系统2使用的增补数据。这些数据可以显示在尤其是特定的人/机接口50上；以及

-用于验证的计算输入。

另外，着陆数据包括：

-必须被加载到飞行管理系统2中的结果(接近速度、空气动力配置)；

-来自机组人员的二级信息结果；以及

-用于验证的计算输入。

通常，这些数据：

-在飞行准备期间被传输两次至四次(起飞数据、可能的话和着陆数据)；以及

-在飞行期间被传输一次或两次(着陆数据)。

监测单元(或模块)7在经由特定的人/机接口50接收到来自机组人员的计算请求时启用切换元件6(以允许数据的传输)，并且将该请求传输至电子设备3中的模块M1。切换元件6以给定的持续时间保持启用，只要没有接收到对该请求的响应并且飞行器不在飞行中(着陆数据除外)即可，否则则不然。相似地，如果监测单元7检测到不正确数据格式或相对于预期异常的数据流，则监测单元7可以通过控制切换元件6来阻止传输。

应用A5实现了简化的计算算法，从而使得可以检查由模块M1所提供的计算的一致性。此计算在精确度上比模块M1的计算差，然而此计算仅用于在显著差异的情况下生成警报。

另外：

-应用A2对照预期(整数、字符等)来检查数据的量和格式；以及

-应用A1监测数据速率(CPU的使用率)。

在特定实现中，第一示例性实现(或第一应用)可以具有如图3所示的以下连续的步骤E1至E10：

E1/如作用在接口元件35上的手指34所示，机组人员使用(与应用A7相关联的)标准的人/机接口41来请求特定模块20的应用A6显示相对应的特定页面P1；

E2/在特定人/机接口50上显示页面P1；

E3/机组人员检查且如果必要的话调整将被用于计算的数据，并且机组人员在特定人/机接口50上发起计算；

E4/应用A6向驻存在电子设备3中的计算模块M1发送请求并且闭合切换元件(或者让监测单元7闭合切换元件)。此请求包含由机组人员审查并且可能经过调整的对于计算是必需的所有数据。电子设备3中的计算模块M1接收这些数据并且(通常)执行相对应的低速性能计算；

E5/经由切换元件和监测单元7将计算的结果以及输入数据发送至应用A6，

在这种情况下，如果满足以下条件中之一，则监测单元7拒绝该数据或命令切换元件阻止传输，作为回复可以向电子设备3提供消息以要求重复传输，

这些条件是：

-在分配的时间内没有接收到响应；或者

-飞行器起飞(仅用于起飞数据)；或者

-数据格式/范围或流量不符合预期，

另外：

-如果格式/量或流量是正确的，然而由模块M1返回的输入数据与和请求一起发送的输入数据不对应，则发出警报以向机组人员指示由于传输错误因而该结果不一定与预期结果相对应；以及

-如果该结果与由应用A5执行的计算不一致，则也发出警报以警告机组人员；

E6/在特定人/机接口50上的页面P2上显示结果以用于由飞行员进行的确认；

E7/一旦这些值经过确认，飞行员就使用特定人/机接口50来要求将这些值发送到飞行管理系统2；

E8/飞行计划应用A8考虑这些值；

E9/将新的数据显示在标准人/机接口41上的页面P3上；以及

E10/飞行员使用标准人/机接口41来证实该新的数据。此步骤E10是可选的。

此外，第二示例性实现(或第二应用)涉及飞行计划的传输。该第二示例性实现(或第二应用)涉及计算机化的飞行计划CFP。

在此第二示例性实现中，电子设备3被认为是数据库。

通常，航空公司向在飞行之前准备飞行器的飞行员和/或地勤人员提供飞行计划。在飞行之前(例如经由磁盘、USB密钥或通过wifi)将飞行计划加载到电子设备3中，然后在飞行准备期间经由人/机接口将该飞行计划输入到飞行管理系统中(与本发明中不一样)。因为所有的数据被存储在电子设备3的存储器M2中，所以不进行计算。

在本发明的第二实现中，要被传输的数据尤其是包含在电子设备3中的以下数据：

-初始的飞行数据(起飞机场、航班号、日期、估计起飞时间)；

-飞行器的重量和燃料计划表；

-飞行计划(包括一系列过程、航道(corridors)、航点等)；以及

-飞行计划沿途的风和温度。

通常，这些数据在飞行准备期间被输入一次或两次。

在特定的实现中，此第二示例性实现可以如图4所示具有以下连续的步骤F1至F9：

F1/航空公司的操作员或飞行器的机组成员在飞行准备期间将至少其中一些上面提到的数据输入到电子设备3中；

F2/机组成员使用标准人/机接口41(页面P4)来要求飞行管理系统2的增补模块20的应用A9(用于加载计算机化的飞行计划CFP)向电子设备3发送请求；

F3/应用A9向电子设备3发送简单的请求并且闭合切换元件(或者要求监测单元7闭合切换元件)以允许传输；

F4/电子设备3经由切换元件和监测单元7将来自存储器M2的数据发送至应用A9，在这种情况下，如果满足以下条件之一，则监测单元7拒绝数据或命令切换元件阻止传输，作为回复可以向电子设备3提供消息以要求重复传输，

这些条件是：

-在分配的时间内没有接收到响应；或者

-飞机正在起飞；或者

-数据格式/范围或流量不符合预期；

F5/将结果显示在特定人/机接口50(页面P5)上以用于由飞行员进行确认；

F6/一旦值被确认则飞行员决定向飞行管理系统2发送该值以便该值被考虑并且被显示在标准部分中；

F7/该值被传输至飞行计划应用A8以便将该值结合在例如二级飞行计划中；

F8/将二级飞行计划的数据显示在标准人/机接口41(页面P6)上；以及

F9/飞行员使用该标准人/机接口41来证实该新的数据以便启用二级飞行计划。

此外，在变型实施方式中，特别地，应用A2、A3和A4可以代替实体8实现增补模块20或核心模块10。

另外，在特定的变型实施方式中，在飞行管理系统2与电子设备3之间的链路上实现手动切换装置，以便飞行员能够在检测到特殊条件时手动切断链路。

此外，在本发明的第二实施方式中，系统1包括：

-切换元件，该切换元件优选地位于飞行管理系统的外部在单独的装备产品中，这使得可以在数据到达特定模块之前阻止该数据，若不然，在次优变型中，在特定的部分中实现软件切换元件；以及

-监测单元(或模块)，该监测单元至少包括不正确数据流检测应用(即主要增补应用)。如果系统包括保护软件实体，此应用驻存在这样的保护软件实体中，并且其功能是限制数据获取的深度和控制数据流，使得不理会与所预期数据流不对应的数据。

在此第二实施方式的特定变型中，系统1还包括保护软件实体。此保护软件实体包括如上文所指出的作为软件实体I的主要增补应用的多个安全应用。

此外，在系统1的此第二实施方式中，关于与飞行管理系统2的其他功能位于相同分区上的不正确数据流检测应用，以应用级别将接收端口的深度限制于1并且控制数据获取时段。这会由于对获取仅投入有限的时间而导致太频繁的数据被忽略。

如上所述，系统1尤其提供下面所示的优点。

在与增补模块20的其他的两个软件实体I和II不同的软件实体中实现保护软件实体8，从而对软件实体I和II的功能没有影响，同时CPU/内存资源被限制和被监测。因此，安全应用与飞行管理系统2的其他应用的分离有效地保护了飞行管理系统2免于将恶意的代码引入到所述飞行管理系统2中或免于引入不正确数据。

如果不正确数据流检测应用A1检测到问题或如果监测单元7检测到过激活分区，则可以(通过切换元件6)在飞行管理系统2的上游阻止数据流传输。

在保护软件实体8中，其他的安全应用使得可以阻止向特定模块20传输不正确数据，即，(在功能上)无效的或不一致的数据。这涉及这些数据的仅一部分，而其他部分在由飞行员进行确认后进行检测。

系统1使得可以在不提供数据传输的情况下避免“溢流”或切断链路，这使得可以保护飞行管理系统2免于任何攻击或者不期望的数据传送。实际上，电子设备3与飞行管理系统2之间的数据传输链路仅在需要时可用，而在其余时间不可用，从而避免在飞行期间向飞行管理系统2进行不期望的数据传输。

此外，切换元件6使得可以在短时段内对数据传输进行授权。切换元件6使得可以：

-在此短时段之后或者在接收到预期来自电子设备3的响应时阻止数据传输(该数据不再能够被传输，并且更不在缓冲存储器中)；以及

-在接收到来自电子设备3的不正确的帧的情况下或者在监测单元检测到异常的CPU使用(这可以与接收到非预期的大量数据相对应)时阻止该传输。

经由用作缓冲区的保护软件实体8来进行电子设备3与飞行管理系统2之间的链接。