本發(fā)明涉及遠程操作系統(tǒng)，例如航空載具或地面載具。

背景技術(shù)：

遠程操作系統(tǒng)配備有數(shù)據(jù)鏈路，這些數(shù)據(jù)鏈路為遠程操作者完全控制的內(nèi)部數(shù)據(jù)鏈路或相對于遠程操作者位于外部的數(shù)據(jù)鏈路(例如，SATCOM)。

在外部數(shù)據(jù)鏈路的情況下，鏈路的完整性不受控制。

到目前為止，僅使用內(nèi)部數(shù)據(jù)鏈路使得遠程操作者能夠保證發(fā)送給遠程操作載具(véhicule)的信息的完整性以及能夠?qū)φ麄€系統(tǒng)進行驗證(certifier)。

然而，此驗證需要部署大量裝置并且結(jié)果會有高昂的成本。

具體地，要求遠程操作系統(tǒng)通過基于多傳感器信息采取不一定為確定性的可能高度擴展的導(dǎo)航算法(或者對于該導(dǎo)航算法收斂性將無法被證明)以越來越自動化的方式完成其任務(wù)。

關(guān)于地面操作者接口，它們是復(fù)雜的并且可能各不相同(在大多數(shù)情況下，無法驗證這些接口/支持)。

本發(fā)明的一般目的是解決這些問題并且提出使得能夠以低成本對監(jiān)視與控制鏈進行驗證的架構(gòu)。

具體地，對操作載具進行實際控制的遠程操作者必須檢查飛行的安全參數(shù)并且具體地：

-控制載具的軌跡(不離開該軌跡的區(qū)域)，

-在引擎故障或“墜毀”的情況下控制墜落區(qū)域(當然，應(yīng)當避免任何不可控的“墜毀”以不會產(chǎn)生在例如人口密集區(qū)域的禁止區(qū)域上的任何事故的風(fēng)險，并且在遇到困難的情況下應(yīng)當使得能夠?qū)υ诟欣膮^(qū)域上著陸進行優(yōu)化)，

-持續(xù)監(jiān)視飛行安全所涉及的不同子組件(能量、機動化、控制鏈路、導(dǎo)航等等)的狀況。

技術(shù)實現(xiàn)要素：

為此，本發(fā)明提出了一種遠程操作系統(tǒng)，該系統(tǒng)包括：

-位于地面上的至少一個接口，操作者可以通過該至少一個接口控制遠程操作載具，

-所述載具中的至少一個任務(wù)組件，

-所述接口與所述任務(wù)組件之間的數(shù)據(jù)鏈路，

其特征在于，該遠程操作系統(tǒng)包括位于地面上以及位于載具中的安全檢查系統(tǒng)，所述安全檢查系統(tǒng)適于對在地面與載具之間交換的關(guān)鍵數(shù)據(jù)和/或關(guān)鍵命令進行簽名和/或認證，以及/或者檢查這些數(shù)據(jù)的完整性，并且其特征在于，位于載具中的安全檢查系統(tǒng)之一適于檢查遠程操作載具是否被保持在由地面預(yù)定義的安全范圍內(nèi)以及適于當不是這種情況時觸發(fā)預(yù)定動作。

對數(shù)據(jù)的認證和簽名使得能夠為遠程操作者提供用于對載具上接收到的命令以及用于做出決定的信息(飛機位置、關(guān)鍵子組件的狀況)進行保障的手段。

檢查完整性使得能夠保證由遠程操作者發(fā)出的指令像他/她接收的信息那樣未被傳輸鏈修改。

因此，可以在地面以及載具二者上同時使用具有低關(guān)鍵水平的接口和任務(wù)組件作為具有較高關(guān)鍵水平的任務(wù)接口和組件。

在本發(fā)明的一種可能替選方案中，提供了獨立的安全數(shù)據(jù)鏈路鏈以使得能夠從地面觸發(fā)預(yù)定安全動作。

還在另一種替選方案中，載具的安全檢查系統(tǒng)適于接收來自空中交通管制的一系列簡單指令。

附圖說明

本發(fā)明的其他特征和優(yōu)點會從下面的描述中進一步顯現(xiàn)出來，下面的描述僅是示意性和非限制性的，并且應(yīng)當參考附圖來理解，在附圖中：

-圖1示出了本發(fā)明的可能應(yīng)用的框圖；以及

-圖2和圖3示出了本發(fā)明的兩種其他可能的實施方式。

具體實施方式

圖1所示的架構(gòu)包括地面部分1以及位于遠程操作載具上的部分2。

在地面上，該架構(gòu)包括：至少一個接口3，操作者可以通過該至少一個接口3控制遠程操作載具；集中器4，集中器4使得能夠確保與載具的數(shù)據(jù)鏈路；以及接口5，接口5與接口3和集中器4相比具有更高的關(guān)鍵水平(DAL或“研制保證等級(Development Assurance Level)”)。

在地面上設(shè)置有安全控制系統(tǒng)6。此系統(tǒng)也具有高關(guān)鍵水平并且具有以下功能：

-其對由接口3和接口5中的任一接口發(fā)往載具上的關(guān)鍵命令進行簽名(加密應(yīng)用)；

-其對定期從載具上接收的狀態(tài)數(shù)據(jù)(位置、設(shè)備的狀態(tài)等等)的完整性進行檢查。在空間和時間上完成完整性檢查。然后系統(tǒng)根據(jù)工作、退化、不工作這三種狀態(tài)對從載具上接收的狀況進行分類。

-其對朝向載具上發(fā)出的命令與通過載具上的關(guān)鍵組件從載具上發(fā)送的命令返回之間的一致性進行檢查；

-其定期發(fā)送載具上請求以用于認證(應(yīng)用挑戰(zhàn)(challenge)功能)；

-其復(fù)制由任務(wù)接口5發(fā)往載具上的指令以控制載具(短安全回路)。

在載具上也設(shè)置有類似的架構(gòu)。載具為此集成了具有低關(guān)鍵水平的一個或若干任務(wù)組件7、具有高關(guān)鍵水平的一個或若干任務(wù)組件8、使得能夠確保與地面的鏈路的集中器9、以及安全系統(tǒng)10。

此安全檢查系統(tǒng)10還具有高關(guān)鍵水平并且應(yīng)用以下控制：

-其向關(guān)鍵組件8廣播來自地面的解碼后的命令；

-其在向關(guān)鍵組件8廣播之前檢查此命令的完整性；

-其定期將認證請求(挑戰(zhàn))發(fā)往地面上的接口3和5；

-其檢查來自地面的命令的時間有效性(時效)；

-其向地面發(fā)出來自遠程操作關(guān)鍵組件8的指令確認；

-其對從遠程操作關(guān)鍵組件8發(fā)布的控制和狀態(tài)進行簽名。

此處應(yīng)當注意，對來自地面的命令進行簽名的部件和算法與對來自載具上的控制進行簽名的部件和算法是相同的。

使用高度安全的密鑰和穩(wěn)健的數(shù)學(xué)算法，以確保在未能檢測出錯誤指令/狀態(tài)的情況下接收錯誤指令/狀態(tài)的概率非常低(小于相當于其起到的作用的水平)。

所使用的不同處理單元的外殼以同一時間基準重置準確的內(nèi)部時鐘。這些外殼的時鐘被選擇成對于基準損失是穩(wěn)健的。

此外，載具的安全系統(tǒng)10能夠檢查載具是否被保持在由地面預(yù)定義的安全范圍內(nèi)(三維區(qū)域、關(guān)鍵狀態(tài)等等)。

遠程操作載具包括導(dǎo)航系統(tǒng)，該導(dǎo)航系統(tǒng)包括(例如，GPS類型的)衛(wèi)星定位接收器和慣性中央單元。

遠程操作載具還包括配置的處理模塊，該處理模塊用于根據(jù)由導(dǎo)航系統(tǒng)和慣性中央單元生成的位置信號來確定載具的瞬時位置數(shù)據(jù)。載具的位置數(shù)據(jù)包括表示載具的瞬時空間坐標(緯度、經(jīng)度和高度)的數(shù)據(jù)以及可能還包括保護半徑。保護半徑在考慮了與測量有關(guān)的不確定性的情況下限定由瞬時坐標限定的位置周圍的容積，其中載具在該容積中被發(fā)現(xiàn)。

處理模塊將載具的位置數(shù)據(jù)發(fā)送給安全檢查系統(tǒng)10。

安全檢查系統(tǒng)10將其從處理模塊接收的位置數(shù)據(jù)與表示所限定的安全范圍且通過地面發(fā)送的數(shù)據(jù)進行比較。

在來自載具上的命令或關(guān)鍵子組件8的狀態(tài)不符合此安全范圍的情況下，系統(tǒng)10觸發(fā)預(yù)定動作(例如，隔離外部命令和/或應(yīng)用安全規(guī)則)。

表示安全范圍的數(shù)據(jù)可以包括遠程操作載具必須位于的緯度、經(jīng)度和高度的范圍。

根據(jù)第一種可能性，由位于載具上的處理模塊來計算保護半徑。

在此情況下，由處理模塊將保護半徑與位置數(shù)據(jù)一起發(fā)送給載具上的安全檢查系統(tǒng)10。

位于載具上的安全檢查系統(tǒng)10將包括保護半徑的位置數(shù)據(jù)發(fā)送給位于地面的安全檢查系統(tǒng)6。

作為回應(yīng)，位于地面上的安全檢查系統(tǒng)6將表示安全范圍的數(shù)據(jù)發(fā)送給位于載具上的安全檢查系統(tǒng)10，以使得位于載具上的安全檢查系統(tǒng)10能夠檢查遠程控制載具是否被保持在安全范圍內(nèi)。

可以在地面上根據(jù)由位于載具上的安全檢查系統(tǒng)10發(fā)送的位置數(shù)據(jù)來確定安全范圍。載具的位置數(shù)據(jù)以及在地面與載具之間交換的安全范圍的表示數(shù)據(jù)由發(fā)出控制系統(tǒng)來簽名并且由接收控制系統(tǒng)來認證。

根據(jù)第二種可能性，由位于地面上的處理模塊來計算保護半徑。

如果保護半徑的計算必須考慮一個或兩個GNSS衛(wèi)星可能出現(xiàn)故障的事實，則此第二種可能性會特別有用。此計算需要使用復(fù)雜的處理系統(tǒng)，包括可有利地移動至地面的大型濾波器組，其中可用裝置不會有與載具上的可用裝置相同的限制，并且這可以允許同時處理若干載具。

在此情況下，位于載具上的安全檢查系統(tǒng)10將載具的空間坐標發(fā)送給位于地面上的安全檢查系統(tǒng)6。

位于地面上的處理模塊根據(jù)載具的瞬時空間坐標(緯度、經(jīng)度和高度、距不同可見衛(wèi)星的GNSS距離數(shù)據(jù))以及保護范圍的表示數(shù)據(jù)來計算保護半徑。

位于地面上的安全檢查系統(tǒng)6向位于載具上的安全檢查系統(tǒng)10發(fā)送保護半徑和安全范圍的表示數(shù)據(jù)，以使得位于載具上的安全檢查系統(tǒng)10能夠檢查遠程控制載具是否能夠被保持在安全范圍內(nèi)。

載具的位置數(shù)據(jù)以及在地面與載具之間交換的安全范圍和保護半徑的表示數(shù)據(jù)由發(fā)出控制系統(tǒng)來簽名并且由接收控制系統(tǒng)來認證。

在另一種替選方案中(圖2-系統(tǒng)的專用應(yīng)急鏈)，系統(tǒng)10能夠接收簡單的指令(來自用于鏈接獨立安全數(shù)據(jù)的鏈11的離散類型)。在此情況下，系統(tǒng)觸發(fā)預(yù)定動作(例如，隔離外部命令和/或應(yīng)用安全規(guī)則)。

此外在第三替選方案中(圖3-空中交通管制采取的控制)，在控制站(有意或無意)失去控制的情況下，載具的安全系統(tǒng)能夠經(jīng)由“VHF”鏈路(站12)從空中交通管制(站ATC 13)接收一系列簡單指令。

簽名機制基于事先在ATC與遠程操作者之間交換的密鑰來檢查這些命令的真實性。