CN115914026B - 一种微型载人飞行器软件安全系统 - Google Patents
一种微型载人飞行器软件安全系统 Download PDFInfo
- Publication number
- CN115914026B CN115914026B CN202211255864.9A CN202211255864A CN115914026B CN 115914026 B CN115914026 B CN 115914026B CN 202211255864 A CN202211255864 A CN 202211255864A CN 115914026 B CN115914026 B CN 115914026B
- Authority
- CN
- China
- Prior art keywords
- data
- module
- application layer
- hardware interface
- manned aircraft
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000004891 communication Methods 0.000 claims abstract description 47
- 238000012545 processing Methods 0.000 claims abstract description 24
- 238000007405 data analysis Methods 0.000 claims abstract description 19
- 230000002159 abnormal effect Effects 0.000 claims abstract description 12
- 238000000034 method Methods 0.000 claims abstract description 10
- 238000013461 design Methods 0.000 claims abstract description 9
- 230000000737 periodic effect Effects 0.000 claims description 15
- 230000004044 response Effects 0.000 claims description 12
- 238000012544 monitoring process Methods 0.000 claims description 5
- 230000009471 action Effects 0.000 claims description 3
- 238000011161 development Methods 0.000 abstract description 9
- 230000002093 peripheral effect Effects 0.000 abstract description 4
- RZVHIXYEVGDQDX-UHFFFAOYSA-N 9,10-anthraquinone Chemical compound C1=CC=C2C(=O)C3=CC=CC=C3C(=O)C2=C1 RZVHIXYEVGDQDX-UHFFFAOYSA-N 0.000 abstract description 3
- 238000012986 modification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 230000008569 process Effects 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
Landscapes
- Safety Devices In Control Systems (AREA)
Abstract
本发明涉及一种微型载人飞行器软件安全系统,属于微型载人飞行器飞控技术领域;包括硬件接口驱动模块、数据解析模块、应用层数据处理模块、应用层安全模块和备用接口模块;第一层是硬件安全开发,通过检测各种异常与错误中断,硬件安全系统不能完成正常工作时;第二层是驱动层安全开发,通过对所有外设及自身进行周期性自检,当有某个通信通道出现错误时,通过替换到备用通道的方法保障软件处于安全状态;第三层是应用层安全开发,主要是通过软件的逻辑控制,当主控模块控制指令出现异常时,切换到备用安全控制模块进行紧急安全控制;本发明通过对系统架构、功能的设计,保证载人飞行器在任何情况下都处于可控状态,达到安全可靠的目的。
Description
技术领域
本发明属于微型载人飞行器飞控技术领域,涉及一种微型载人飞行器软件安全系统。
背景技术
飞行器领域中,飞控系统是关键组成部分,当前飞行器的控制软件可以分为有人和无人两种,无人的飞控程序较为简单,多采用单核的嵌入式硬件环境开发,系统一般为裸运行,系统功能较为简单,一般不具有冗余能力。传统载人飞行器,比如飞机等其系统庞大复杂,功能复杂,自身各种软硬件系统都有着多重备份,保证软件的可靠运行。
目前新兴的一类微型载人飞行器,其运行环境与无人的飞行器一致,硬件环境简单、冗余度不够,无法采用全系统备份的方法保证安全。但因为是载人飞行,其系统的可靠性要求可以认为与运行在飞机上等大型系统一致。因此,需要对简单的嵌入式系统开发出一套全新的能够满足安全性可靠性的软件架构,通过软件保证系统的安全性。
发明内容
本发明解决的技术问题是:克服现有技术的不足,提出一种微型载人飞行器软件安全系统,通过对系统架构、功能的设计,保证载人飞行器在任何情况下都处于可控状态,达到安全可靠的目的。
本发明解决技术的方案是:
一种微型载人飞行器软件安全系统,包括硬件接口驱动模块、数据解析模块、应用层数据处理模块、应用层安全模块和备用接口模块;
硬件接口驱动模块:接收外部设备传来的通信数据;检测通信数据是否为周期数据;当通信数据为周期数据时,继续判断通信数据的周期是否符合预期周期,当符合预期周期时,将通信数据生成数据包,并发送至数据解析模块;当不符合预期周期时,启动备用接口模块代替硬件接口驱动模块;当通信数据为非周期数据时,继续判断通信数据的来源是否为已知来源,当为已知来源时,将通信数据生成数据包,并发送至数据解析模块;当来源为非已知来源时,启用备用接口模块代替硬件接口驱动模块;接收应用层数据处理模块传来的控制外部设备的指令,并发送至外部设备,实现对外部设备的控制;
数据解析模块:接收硬件接口驱动模块传来的数据包,按照协议规范对数据包进行解帧处理,生成解析后的数据,并发送至应用层数据处理模块;
应用层数据处理模块:接收数据解析模块传来的解析后的数据,判断解析后的数据是否为响应指令数据;当为响应指令数据时,应用层数据处理模块对应执行响应动作,并生成控制外部设备的指令,并将控制外部设备的指令发送至硬件接口驱动模块;当为非响应指令数据时,对该数据进行记录并按数据中的要求进行相应处理,生成控制外部设备的指令,并将控制外部设备的指令发送至硬件接口驱动模块;实时监测自身全部状态,当任意状态处于异常时,启动应用层安全模块。
在上述的一种微型载人飞行器软件安全系统,所述通信数据包括串口数据、CAN口数据和IO数据。
在上述的一种微型载人飞行器软件安全系统,硬件接口驱动模块检测通信数据是否为周期数据的方法为:
记录前期通信数据的接收时间,当在规定周期内再次接受通信数据时,判断为周期数据;否则判断为非周期数据。
在上述的一种微型载人飞行器软件安全系统,硬件接口驱动模块采用实时监测自身错误的方式,判断是否自身出现错误,自身出现的错误包括数据中断、与硬件接口驱动模块相关驱动寄存器报错。
在上述的一种微型载人飞行器软件安全系统,当硬件接口驱动模块出现数据中断、与硬件接口驱动模块相关驱动寄存器检测报错的情况时,启用备用接口模块代替硬件接口驱动模块,保证安全系统正常运行。
在上述的一种微型载人飞行器软件安全系统,硬件接口驱动模块为多通道冗余设计,采用通信数据与通道解耦设计,当其中1个通道发生故障后,实现切换备用通道。
在上述的一种微型载人飞行器软件安全系统,数据解析模块解析的数据为符合物理意义或是满足相关规范的数据。
在上述的一种微型载人飞行器软件安全系统,所述应用层数据处理模块的全部状态包括飞行器的姿态、位置、当前飞行阶段。
在上述的一种微型载人飞行器软件安全系统,启用应用层安全模块后,仅执行紧急降落和关机功能,屏蔽其他不需要的外部设备和逻辑控制。
在上述的一种微型载人飞行器软件安全系统,当安全系统的任意模块发生错误或定时器发生损坏,则进入内核异常状态,安全系统停止使用。
本发明与现有技术相比的有益效果是:
(1)本发明提供了硬件安全开发的方案,主要是通过检测和硬件所有有关的信息,尤其是各种异常与错误中断,当发生严重问题,硬件系统不能完成正常工作时,通过安全信号启用另一个备份硬件;
(2)本发明实现了驱动层安全开发,通过对所有外设及自身进行周期性自检,当有某个通信通道出现错误时,通过替换到备用通道的方法保障软件处于安全状态;
(3)本发明应用层安全开发,主要是通过软件的逻辑控制,当主控模块控制指令出现异常时,切换到备用安全控制模块进行紧急安全控制。
附图说明
图1为本发明飞行器软件安全系统示意图。
具体实施方式
下面结合实施例对本发明作进一步阐述。
本发明提供了一种微型载人飞行器软件安全系统,分为三个安全层,第一层提供了硬件安全开发的方案,主要是通过检测和硬件所有有关的信息,尤其是各种异常与错误中断,当发生严重问题,硬件系统不能完成正常工作时,通过安全信号启用另一个备份硬件;第二层实现了驱动层安全开发,通过对所有外设及自身进行周期性自检,当有某个通信通道出现错误时,通过替换到备用通道的方法保障软件处于安全状态;第三层实现了应用层安全开发,主要是通过软件的逻辑控制,当主控模块控制指令出现异常时,切换到备用安全控制模块进行紧急安全控制。
微型载人飞行器软件安全系统,如图1所示,具体包括硬件接口驱动模块、数据解析模块、应用层数据处理模块、应用层安全模块和备用接口模块;
硬件接口驱动模块:接收外部设备传来的通信数据;检测通信数据是否为周期数据;当通信数据为周期数据时,继续判断通信数据的周期是否符合预期周期,当符合预期周期时,将通信数据生成数据包,并发送至数据解析模块;当不符合预期周期时,启动备用接口模块代替硬件接口驱动模块;当通信数据为非周期数据时,继续判断通信数据的来源是否为已知来源,当为已知来源时,将通信数据生成数据包,并发送至数据解析模块;当来源为非已知来源时,启用备用接口模块代替硬件接口驱动模块;接收应用层数据处理模块传来的控制外部设备的指令,并发送至外部设备,实现对外部设备的控制。
其中,通信数据包括串口数据、CAN口数据和IO数据。硬件接口驱动模块检测通信数据是否为周期数据的方法为:记录前期通信数据的接收时间,当在规定周期内再次接受通信数据时,判断为周期数据;否则判断为非周期数据。
硬件接口驱动模块采用实时监测自身错误的方式,判断是否自身出现错误,自身出现的错误包括数据中断、与硬件接口驱动模块相关驱动寄存器报错。当硬件接口驱动模块出现数据中断、与硬件接口驱动模块相关驱动寄存器检测报错的情况时,启用备用接口模块代替硬件接口驱动模块,保证安全系统正常运行。
硬件接口驱动模块为多通道冗余设计,采用通信数据与通道解耦设计,当其中1个通道发生故障后,实现切换备用通道。
数据解析模块:接收硬件接口驱动模块传来的数据包,按照协议规范对数据包进行解帧处理,生成解析后的数据,并发送至应用层数据处理模块;数据解析模块解析的数据为符合物理意义或是满足相关规范的数据。
应用层数据处理模块:接收数据解析模块传来的解析后的数据,判断解析后的数据是否为响应指令数据;当为响应指令数据时,应用层数据处理模块对应执行响应动作,并生成控制外部设备的指令,并将控制外部设备的指令发送至硬件接口驱动模块;当为非响应指令数据时,对该数据进行记录并按数据中的要求进行相应处理,生成控制外部设备的指令,并将控制外部设备的指令发送至硬件接口驱动模块;实时监测自身全部状态,当任意状态处于异常时,启动应用层安全模块。
应用层数据处理模块的全部状态包括飞行器的姿态、位置、当前飞行阶段。启用应用层安全模块后,仅执行紧急降落和关机功能,屏蔽其他不需要的外部设备和逻辑控制。
当安全系统的任意模块发生错误或定时器发生损坏,则进入内核异常状态,安全系统停止使用。
为了保证在简单的嵌入式系统中实现控制程序的安全性与可靠性,软件安全系统实时监控自身的运行状态
硬件接口驱动模块将关键通信数据使用多个独立的通道进行同步通信,通过数据的通信周期是否符合预期以及数据内容是否在正常范围内判断每个通道的正确性。为了实现该功能,软件通过采用中断检查加DMA收数的方式,确保数据的准确性与检测的实时性。
应用层数据处理模块异常情况安保设计是指在飞行器载人飞行时,如果主飞控程序出现异常情况,需要切换到应用层安全模块,传统嵌入式软件会采取看门狗等方式监控状态,但看门狗复位后会导致整个飞控程序重新开始,需要经历初始化等过程,消耗大量时间。在载人飞行过程中,需要保证主飞控程序出现了异常,第一时间切换到应用层安全模块,不能等待过长时间,使系统处于无控状态。因此,软件采取状态监控方法,持续不断地监控输出指令序列号的变化情况,确定主控程序能够按照正常时序输出指令,同时增加指令判断机制,如果主控程序不能按照预期时序输出正确范围内的指令,则关闭应用层数据处理模块,启动应用层安全模块,应用层安全模块直接执行降落程序,确保飞行器能够安稳降落,保证人员安全。
本发明虽然已以较佳实施例公开如上,但其并不是用来限定本发明,任何本领域技术人员在不脱离本发明的精神和范围内,都可以利用上述揭示的方法和技术内容对本发明技术方案做出可能的变动和修改,因此,凡是未脱离本发明技术方案的内容,依据本发明的技术实质对以上实施例所作的任何简单修改、等同变化及修饰,均属于本发明技术方案的保护范围。
Claims (9)
1.一种微型载人飞行器软件安全系统,其特征在于:包括硬件接口驱动模块、数据解析模块、应用层数据处理模块、应用层安全模块和备用接口模块;
硬件接口驱动模块:接收外部设备传来的通信数据;检测通信数据是否为周期数据;当通信数据为周期数据时,继续判断通信数据的周期是否符合预期周期,当符合预期周期时,将通信数据生成数据包,并发送至数据解析模块;当不符合预期周期时,启动备用接口模块代替硬件接口驱动模块;当通信数据为非周期数据时,继续判断通信数据的来源是否为已知来源,当为已知来源时,将通信数据生成数据包,并发送至数据解析模块;当来源为非已知来源时,启用备用接口模块代替硬件接口驱动模块;接收应用层数据处理模块传来的控制外部设备的指令,并发送至外部设备,实现对外部设备的控制;
数据解析模块:接收硬件接口驱动模块传来的数据包,按照协议规范对数据包进行解帧处理,生成解析后的数据,并发送至应用层数据处理模块;
应用层数据处理模块:接收数据解析模块传来的解析后的数据,判断解析后的数据是否为响应指令数据;当为响应指令数据时,应用层数据处理模块对应执行响应动作,并生成控制外部设备的指令,并将控制外部设备的指令发送至硬件接口驱动模块;当为非响应指令数据时,对该数据进行记录并按数据中的要求进行相应处理,生成控制外部设备的指令,并将控制外部设备的指令发送至硬件接口驱动模块;实时监测自身全部状态,当任意状态处于异常时,启动应用层安全模块;
启用应用层安全模块后,仅执行紧急降落和关机功能,屏蔽其他不需要的外部设备和逻辑控制。
2.根据权利要求1所述的一种微型载人飞行器软件安全系统,其特征在于:所述通信数据包括串口数据、CAN口数据和IO数据。
3.根据权利要求1所述的一种微型载人飞行器软件安全系统,其特征在于:硬件接口驱动模块检测通信数据是否为周期数据的方法为:
记录前期通信数据的接收时间,当在规定周期内再次接受通信数据时,判断为周期数据;否则判断为非周期数据。
4.根据权利要求3所述的一种微型载人飞行器软件安全系统,其特征在于:硬件接口驱动模块采用实时监测自身错误的方式,判断是否自身出现错误,自身出现的错误包括数据中断、与硬件接口驱动模块相关驱动寄存器报错。
5.根据权利要求4所述的一种微型载人飞行器软件安全系统,其特征在于:当硬件接口驱动模块出现数据中断、与硬件接口驱动模块相关驱动寄存器检测报错的情况时,启用备用接口模块代替硬件接口驱动模块,保证安全系统正常运行。
6.根据权利要求5所述的一种微型载人飞行器软件安全系统,其特征在于:硬件接口驱动模块为多通道冗余设计,采用通信数据与通道解耦设计,当其中1个通道发生故障后,实现切换备用通道。
7.根据权利要求1所述的一种微型载人飞行器软件安全系统,其特征在于:数据解析模块解析的数据为符合物理意义或是满足相关规范的数据。
8.根据权利要求1所述的一种微型载人飞行器软件安全系统,其特征在于:所述应用层数据处理模块的全部状态包括飞行器的姿态、位置、当前飞行阶段。
9.根据权利要求1所述的一种微型载人飞行器软件安全系统,其特征在于:当安全系统的任意模块发生错误或定时器发生损坏,则进入内核异常状态,安全系统停止使用。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211255864.9A CN115914026B (zh) | 2022-10-13 | 2022-10-13 | 一种微型载人飞行器软件安全系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211255864.9A CN115914026B (zh) | 2022-10-13 | 2022-10-13 | 一种微型载人飞行器软件安全系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN115914026A CN115914026A (zh) | 2023-04-04 |
CN115914026B true CN115914026B (zh) | 2024-05-03 |
Family
ID=86477354
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202211255864.9A Active CN115914026B (zh) | 2022-10-13 | 2022-10-13 | 一种微型载人飞行器软件安全系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115914026B (zh) |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102915038A (zh) * | 2012-11-16 | 2013-02-06 | 北京航空航天大学 | 一种微小型无人直升机双余度自主飞行控制系统 |
KR20170130134A (ko) * | 2016-05-18 | 2017-11-28 | 인텔릭스(주) | 비행제어컴퓨터의 채널간 통신 프로토콜 유효성 판단 검증방법 |
CN109698775A (zh) * | 2018-11-21 | 2019-04-30 | 中国航空工业集团公司洛阳电光设备研究所 | 一种基于实时状态检测的双机冗余备份系统 |
WO2021212325A1 (zh) * | 2020-04-21 | 2021-10-28 | 深圳市大疆创新科技有限公司 | 双飞控切换方法、飞控系统和飞行器 |
-
2022
- 2022-10-13 CN CN202211255864.9A patent/CN115914026B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102915038A (zh) * | 2012-11-16 | 2013-02-06 | 北京航空航天大学 | 一种微小型无人直升机双余度自主飞行控制系统 |
KR20170130134A (ko) * | 2016-05-18 | 2017-11-28 | 인텔릭스(주) | 비행제어컴퓨터의 채널간 통신 프로토콜 유효성 판단 검증방법 |
CN109698775A (zh) * | 2018-11-21 | 2019-04-30 | 中国航空工业集团公司洛阳电光设备研究所 | 一种基于实时状态检测的双机冗余备份系统 |
WO2021212325A1 (zh) * | 2020-04-21 | 2021-10-28 | 深圳市大疆创新科技有限公司 | 双飞控切换方法、飞控系统和飞行器 |
Non-Patent Citations (2)
Title |
---|
一种模块化可配置采编器的设计与实现;王洪凯;李宝;葛立;高枫;李北国;;遥测遥控;20190915(第05期);全文 * |
容错飞控计算机体系结构研究;高丽娜;杨宝奎;;战术导弹技术;20130915(第05期);全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN115914026A (zh) | 2023-04-04 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111352338B (zh) | 一种双余度飞控计算机及余度管理方法 | |
KR100566339B1 (ko) | 폴트 톨러런트 컴퓨터 시스템, 그 재동기화 방법, 및 그 재동기화 프로그램을 갖는 컴퓨터 판독가능 저장매체 | |
KR20160096035A (ko) | 독립적으로 동작가능한 프로세서들 간에 에러 정보의 제어된 복구를 위한 방법들 및 장치들 | |
EP3699764B1 (en) | Redundant ethernet-based secure computer system | |
CN101116058B (zh) | 用于飞行测试的机载处理的系统和方法 | |
US10162314B2 (en) | Two-way architecture | |
EP3422125A1 (en) | Fault coverage for multiple failures in redundant systems | |
CN111831488B (zh) | 具有安全等级设计的tcms-mpu控制单元 | |
CN112714173B (zh) | 一种站台门控制器云平台系统及控制方法 | |
EP1843247A1 (en) | Information processing system and information processing method | |
CN110427283A (zh) | 一种双余度的燃油管理计算机系统 | |
CN112099412B (zh) | 一种微控制单元的安全冗余架构 | |
CN115914026B (zh) | 一种微型载人飞行器软件安全系统 | |
CN113806290B (zh) | 一种用于综合模块化航空电子系统的高完整性片上系统 | |
CN108600235B (zh) | 一种用于进行数据交换的接口设备及方法 | |
CN112540918A (zh) | 一种基于arinc659总线的多余度飞管计算机同步调试方法 | |
CN114355802A (zh) | 一种多核并起的处理器同步调试方法 | |
MX2015001900A (es) | Metodos y aparatos para reducir las fallas de modo comun en los sistemas de control de software relacionados con la seguridad nuclear. | |
CN108616591B (zh) | 一种用于进行数据交换的接口设备及方法 | |
US20120137092A1 (en) | Remote copy system | |
CN114114894B (zh) | 一种电传飞行备份控制系统和方法 | |
JP6089766B2 (ja) | 情報処理システム、及び情報処理装置の障害処理方法 | |
US11537481B2 (en) | Hardware validation of safety critical scheduling | |
CN115118335B (zh) | 时频基准设备的主备切换方法及应用其的时频基准设备 | |
US11687398B2 (en) | Method for controlling a technical apparatus |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |