CN117891632A - 一种飞行器机载维护控制装置信息安全交互方法 - Google Patents

Abstract

本申请提供了一种飞行器机载维护控制装置信息安全交互方法，属于航空飞行器机载机电维护技术领域，该信息安全交互方法包括：根据飞行器使用过程及通用化的飞行器基本运行场景划分原则从时间维度对飞行器运行场景及机载维护控制装置的使用时机进行叠加及划分，从而构建出通用化的飞行器基本运行场景。根据通用化的飞行器基本运行场景将飞行器机载维护控制装置信息安全交互过程分为单一运行场景和跨运行场景下的机载维护控制装置的正常工作模式及故障模式信息安全交互过程，并根据机载维护控制装置的类别分别构建机载维护控制装置硬线信息与总线信息安全交互策略、单一运行场景与跨运行场景下的飞行器机载维护控制装置总线信息安全交互策略。

Description

一种飞行器机载维护控制装置信息安全交互方法

技术领域

本申请属于航空飞行器机载机电领域，特别涉及一种飞行器机载维护控制装置信息安全交互方法。

背景技术

当前，航空飞行器机电系统随着航空电子技术的飞速发展，正不断进行综合化，机电系统中各分系统的地面维护工作主要包括飞行器出动前维护检查、飞行后维护检查、飞行器定期维护检查等。

飞行器开展地面维护检查工作通常通过地面机载维护控制装置辅助进行，地面机载维护控制装置一般分为开关盒类产品及显示器类产品两大类。开关盒类产品是一类仅依靠电气元件物理集成的装置，开关盒类产品通过电气开关、电气线路等组合交联实现特定电路接通/断开，进而实现对应功能；显示器类产品通过配有的显示器可提供人机交互界面，一般配套配备按键，可实现信息指令的输入，开关盒类产品仅通过硬线与机电系统交联，而显示器类产品通过硬线和总线与机电系统交联。

随着机电系统的综合化程度不断提高，机电系统开展地面维护工作时对地面机载维护控制装置的依赖程度也越来越高，因此地面机载维护控制装置的通信能力和信息获取与处理能力适应性不断增强，这些能力的提升使得地面机载维护控制装置能够下发的控制指令不断增多，关联到的机电系统功能也不断增多，不免会导致一些系统功能在不同的运行场景中需要进行模态的切换以适应地面维护状态和飞行状态的差异化使用需求，一些重要功能的不同模态差异较大，若错误转换将严重影响飞行器任务完成，甚至影响飞行器飞行安全。

因此，飞行器地面机载维护控制装置信息安全交互是与地面机载维护控制装置交联系统及飞行器任务完成及安全的重要保障。

发明内容

本申请的目的是提供了一种飞行器机载维护控制装置信息安全交互方法，以解决或减轻背景技术中的至少一个问题。

本申请的技术方案是：一种飞行器机载维护控制装置信息安全交互方法，包括：

根据飞行器使用过程及通用化的飞行器基本运行场景划分原则从时间维度对飞行器运行场景及机载维护控制装置的使用时机进行叠加及划分，从而构建出通用化的飞行器基本运行场景；

根据通用化的飞行器基本运行场景将飞行器机载维护控制装置信息安全交互过程分为单一运行场景下机载维护控制装置的正常工作模式及故障模式信息安全交互过程和跨运行场景下机载维护控制装置的正常工作模式及故障模式信息安全交互过程，并根据机载维护控制装置的类别分别构建机载维护控制装置硬线信息安全交互策略、机载维护控制装置总线信息安全交互策略、单一运行场景下飞行器机载维护控制装置总线信息安全交互策略及跨运行场景下飞行器机载维护控制装置信息安全交互策略。

进一步的，所述通用化的飞行器基本运行场景划分原则包括：

原则一：以飞行器发动机开车、停车为切割参照点，将飞行器状态分为发动机开车状态和发动机停车状态两大运行场景；

原则二：以飞行器在起飞与着陆为切割参照点，将地面维护准备工作分为飞行器飞行前准备、飞行后检查、定期维护检查三类大的运行场景；

原则三：以飞行器开展维护检查使用机载维护控制装置时机为切割参照点，将飞行器状态分为使用机载维护控制装置和不使用机载维护控制装置两种状态。

进一步的，所述通用化的飞行器基本运行场景包括：

1)飞行器飞行前准备阶段：T0至T1时间段内，完成飞行器燃料、气、液等填充，各系统状态检查工作，其中，T1时间点发动机开车并达到指定转速N，此时不能继续开展地勤维护工作；

2)飞行器飞行中阶段：T1至T2时间段内，该阶段飞行器由地面转至空中按照计划完成飞行任务并返航，其中T2时间点飞行器完成返航着陆；

3)飞行器飞行后检查阶段：T2至T3时间段内，该阶段开展填充、系统状态信息查询及故障排除工作，其中T3时间点飞行器完成飞行后检查；

4)飞行器定期维护检查阶段：T3及其后时间段内，该阶段按照既定维护程序及要求开展飞行器及各系统日常维护检查及周期定检工作。

进一步的，所述机载维护控制装置的正常工作模式及故障模式的定义如下：

a)正常工作模式是指机载维护控制装置硬件及软件工作状态良好，均处于按照设计的功能和性能正常运行的状态；

b)故障模式是指能够导致机载维护控制装置无法发出或接收到信息的机载维护控制装置硬件或软件故障的故障状态。

进一步的，所述机载维护控制装置硬线信息安全交互策略为：

1)对于硬线开关，设置的开关实现电气线路接通、断开，对应功能与机电系统其他信号及功能不交联，物理隔离，使得硬线开关的物理位置状态仅作用单一维护功能，不影响其他功能的正常实现；

2)对于参与控制的硬线信号，设置硬线信号安全态值，信号安全态值的预置应能确保系统对应功能在信号接口故障状态下保证安全运行，不扩大故障影响，不产生次生故障。

进一步的，所述机载维护控制装置总线信息安全交互策略为：

总线通讯是总线为载体，按照通讯协议和任务周期定义进行的数据交互过程，对机载维护控制装置而言，总线通信分为发送和接收两种形式，接收到的内容仅作为显示使用，不参与控制，因此将机载维护控制装置发送的信息按照任务形式分为事件型和持续型两种，事件型消息发送模式按照定义的固定发送时长发送对应指令信息，后将信号置为默认状态，持续型消息发送模式按照制定的信号持续发送给上位机。

进一步的，所述单一运行场景下机载维护控制装置总线信息安全交互策略为：

1)对于发送给上位机的指令能够直接导致对应的功能按照既定逻辑开展运算及执行，使执行机构动作的指令采用事件型消息发送模式；

2)对于发送给上位机的指令不直接影响执行机构工作状态及动作，仅作为特定控制指令的先决状态的指令信息采用持续型消息发送模式；

3)当机载维护控制装置无法接收上位机总线数据信息，则将机载维护控制装置发送数据信息均设置为安全状态值；

4)当上位机无法接收机载维护控制装置总线数据信息，则将上位机收数据信息均设置为上一拍收到值或安全状态值；

5)当机载维护控制装置与上位机通讯正常后，撤销第3项和第4项的策略，恢复正常通讯。

进一步的，跨运行场景下飞行器机载维护控制装置信息安全交互策略，如下：

1)当发动机未开车或开车后，任一发动机转速未达到N，机载维护控制装置与上位机通信故障时，机载维护控制装置将发送的信息数据均设置为安全状态值，上位机将收到的信息数据均设置为上一拍收到值或安全状态值，N为系统设计中的权衡转速值；

2)当任一发动机转速大于N，则上位机将机载维护控制装置发送的信息数据均设置为安全态值；

3)当飞行器任一起落架收上到位信号有效时，机载维护控制装置停止向上位机发送数据；

4)对于涉及飞行器飞行安全的功能分为飞行状态和地面状态两种模式，采用采集的能够直接区分飞行器处于地面、空中状态的信号进行综合判断，当且仅当飞行器处于地面状态时对应的功能响应地面机载维护控制装置的指令。

本申请的飞行器机载维护控制装置信息安全交互方法构建了通用化的飞行器运行场景，基于飞行器不同的运行场景，捕获使用需求，基于不同运行场景中及场景间的切换，开展信息安全交互策略设计，解决了飞行器机载维护控制装置在单一运行场景中及运行场景间切换可能存在的因产品故障、通信故障、不合时宜工作等带来的信息交互安全隐患就问题，提升飞行器机载维护控制装置信息交互安全能力，确保不影响系统及飞行器任务实现及安全；

其次，本申请基于飞行器不同运行场景的实际使用需求，详细设计机载维护控制装置功能架构及各项功能，通过逻辑详细设计识别单一运行场景中及多运行场景间切换可能存在的因产品故障、通信故障、不合时宜工作等带来的信息交互安全隐患就问题，将问题分类并进行特征识别，开展基于特征识别的信息安全交互策略设计，提升飞行器机载维护控制装置信息安全交互能力，确保不影响系统及飞行器任务实现及安全；

另外，策略中的硬线信息安全交互策略通过硬件实现，安全可靠，总线信息安全交互策略综合了信息的源端和终端的收发控制，源端与终端的控制差异化设置条件，可有效避免单一条件失效导致的策略失效，整体策略设计可靠性高、成本低，易于实现。

附图说明

为了更清楚地说明本申请提供的技术方案，下面将对附图作简单地介绍。显而易见地，下面描述的附图仅仅是本申请的一些实施例。

图1为本申请的飞行器机载维护控制装置信息安全交互方法示意图。

图2为本申请中的飞行器运行场景及维护控制装置使用时机对比分析示意图。

图3为本申请中的飞行器机载维护控制装置硬线信息安全交互策略示意图。

图4为本申请中的飞行器机载维护控制装置总线信息安全交互策略示意图。

图5为本申请中的飞行器机载维护控制装置与上位机交联示意图。

具体实施方式

为使本申请实施的目的、技术方案和优点更加清楚，下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行更加详细的描述。

为了提高地面机载维护控制装置对机电系统的信息安全交互能力，解决飞行器机载维护控制装置因产品故障、通信故障、不合时宜工作等带来的信息交互安全隐患就问题，针对机载机电系统地面综合维护使用及飞行安全实际需求，本申请提出一种飞行器机载维护控制装置信息安全交互方法。

如图1所示，本申请提供的飞行器机载维护控制装置信息安全交互方法包括：

步骤一、根据飞行器使用过程及运行场景划分原则从时间维度对飞行器运行场景及机载维护控制装置的使用时机进行叠加及划分，从而构建出通用化的飞行器基本运行场景。

依据经验和飞行器不同阶段的典型特征、所处环境和即将开展的工作，将飞行器运行全过程进行阶段划分，划分为独立的运行场景，各运行场景之间通过有机衔接，可促进飞行器任务划分明确，系统功能界面清晰，功能逻辑定义与设计更加严谨、科学，同时促进飞行器综合管理提升。

在本申请中构建的通用化飞行器基本运行场景旨在良好适应机载维护控制装置的使用需要，与常规飞行器个别运行场景的定义略有差异，所述通用化飞行器运行场景划分原则如下。

原则一：以飞行器发动机开车、停车为切割参照点，将飞行器状态分为发动机开车状态和发动机停车状态两大运行场景；

原则二：以飞行器在起飞与着陆为切割参照点，将地面维护准备工作分为飞行器飞行前准备、飞行后检查、定期维护检查三类大的运行场景；

原则三：以飞行器开展维护检查使用机载维护控制装置时机为切割参照点，将飞行器状态分为使用机载维护控制装置和不使用机载维护控制装置两种状态。

一般的，飞行器使用一般包括飞行前准备、飞行器飞行任务执行、飞行器停机及维护、飞行器定期维护等项目，按照上述过程的运行场景划分原则，从时间维度对飞行器运行场景及机载维护控制装置使用时机进行对比分析，如图2所示。

上图中，将按照原则一、原则二和原则三划分的运行场景在时间维度上进行叠加，按照不同原则划分的运行场景在时间维度存在重叠。依据上述三原则定义，结合飞行器即将开展的工作，构建出通用化的飞行器基本运行场景，如下：

1)飞行器飞行前准备阶段：T0至T1时间段内，主要完成飞行器燃料、气、液等填充，各系统状态检查等工作，其中T1时间点发动机开车并达到指定转速N，此时不能继续开展地勤维护工作；

2)飞行器飞行中阶段：T1至T2时间段内，该阶段飞行器由地面转至空中按照计划完成飞行任务并返航，其中T2时间点飞行器完成返航着陆；

3)飞行器飞行后检查阶段：T2至T3时间段内，该阶段主要开展填充、系统状态信息查询及故障排除等工作，其中T3时间点飞行器完成飞行后检查；

4)飞行器定期维护检查阶段：T3及其后时间段内，该阶段按照既定维护程序及要求开展飞行器及各系统日常维护检查及周期定检等工作。

步骤二、根据通用化的飞行器基本运行场景将飞行器机载维护控制装置信息安全交互过程分为单一运行场景下机载维护控制装置的正常工作模式及故障模式信息安全交互过程和跨运行场景下机载维护控制装置的正常工作模式及故障模式信息安全交互过程，并分别构建单一运行场景下机载维护控制装置的正常工作模式及故障模式信息安全交互过程的交互策略和跨运行场景下机载维护控制装置的正常工作模式及故障模式信息安全交互过程的交互策略。

按照上述过程得到的通用化飞行器基本运行场景，正常状态下，机载维护控制装置仅在发动机不工作时使用，使用场景不包括飞行器飞行中运行场景。但在实际使用过程中，在单一运行场景中机载维护控制装置存在使用过程中硬件故障、通信故障等故障模式影响正常功能实现，此外，一旦在发动机开车前忘记将机载维护控制装置产品断电，则产品在飞行器飞行中运行场景下将处于正常工作状态，存在误输出指令的风险。

基于上述过程，本申请中将飞行器机载维护控制装置信息安全交互策略划分为单一运行场景下机载维护控制装置(或简称产品)的正常工作模式及故障模式信息安全交互策略以及跨运行场景下产品的正常工作模式及故障模式信息安全交互策略。

其中，机载维护控制装置正常工作模式及故障模式的定义如下：

a)正常工作模式是指机载维护控制装置硬件及软件工作状态良好，均处于按照设计的功能和性能正常运行的状态；

b)故障模式是指能够导致机载维护控制装置无法发出或接收到信息的产品硬件或软件故障的故障状态。

单一运行场景下使用包括了飞行前准备、飞行后检查、定期维护检查，跨运行场景是指图1中的四个运行场景中相邻的两个运行场景的跨场景使用——即飞行前准备与飞行中两个运行场景的跨运行场景、飞行中与飞行后检查两个运行场景的跨运行场景、飞行后检查与定期维护检查两个运行场景的跨运行场景。

如前文所述，机载维护控制装置一般分为开关盒类产品及显示器类产品两大类，机载维护控制装置与上位机通信方式包括硬线(含开关)及总线，因此，本申请中构建了机载维护控制装置硬线信息安全交互策略及机载维护控制装置总线信息安全交互策略。

如图3所示，飞行器机载维护控制装置硬线信息安全交互策略如下：

1)对于硬线开关，设置的开关实现电气线路接通、断开，对应功能与机电系统其他信号及功能不交联，物理隔离，使得硬线开关的物理位置状态仅作用单一维护功能(例如维护照明灯的点亮和熄灭)，不影响其他功能的正常实现；

2)对于参与控制的硬线信号，设置硬线信号安全态值，信号安全态值的预置应能确保系统对应功能在信号接口故障状态下保证安全运行，不扩大故障影响，不产生次生故障。

如图4所示，飞行器机载维护控制装置总线信息安全交互策略如下：

总线通讯是以RS422总线、GJB289A总线等为载体，按照通讯协议和任务周期定义进行的数据交互过程，对机载维护控制装置而言，总线通信分为发送和接收两种形式，接收到的内容仅作为显示使用，不参与控制，因此需要考虑产品故障时对发送信息的影响。一般地，将机载维护控制装置发送的信息按照任务形式分为事件型和持续型两种，事件型消息发送模式按照定义的固定发送时长(比如200毫秒钟)发送对应指令信息，后将信号置为默认状态，持续型消息发送模式按照制定的信号持续发送给上位机。

单一运行场景下飞行器机载维护控制装置总线信息安全交互策略，如下：

1)对于发送给上位机的指令能够直接导致对应的功能按照既定逻辑开展运算及执行，使执行机构动作的指令采用事件型消息发送模式；

2)对于发送给上位机的指令不直接影响执行机构工作状态及动作，仅作为特定控制指令的先决状态的指令信息采用持续型消息发送模式；

3)当机载维护控制装置无法接收上位机总线数据信息，则将产品发送数据信息均设置为安全状态值；

4)当上位机无法接收机载维护控制装置总线数据信息，则将上位机收数据信息均设置为上一拍收到值或安全状态值；

5)当机载维护控制装置与上位机通讯正常后，撤销第3项和第4项的策略，恢复正常通讯。

跨运行场景下飞行器机载维护控制装置信息安全交互策略，如下：

1)当发动机未开车或开车后，任一发动机转速未达到N(N为系统设计中的权衡转速值，依据系统状态确认)，产品与上位机通信故障时，机载维护控制装置将发送的信息数据均设置为安全状态值，上位机将收到的信息数据均设置为上一拍收到值或安全状态值；

2)当任一发动机转速大于N，则上位机将机载维护控制装置发送的信息数据均设置为安全态值；

3)当飞行器任一起落架收上到位信号有效时，机载维护控制装置停止向上位机发送数据。

4)对于涉及飞行器飞行安全的关键、重要等功能设计分为飞行状态和地面状态两种模式，采用采集的能够直接区分飞行器处于地面、空中状态的信号进行综合判断(例如轮载信号等)，当且仅当飞行器处于地面状态时对应的功能响应地面机载维护控制装置的指令。

如图5所示的机载维护控制装置与上位机交联方案示意，机载维护控制装置与上位机通过总线和硬线两种形式交联，总线交联按照定义的数据信息及任务形式进行通信，机载维护控制装置发送给上位机控制请求指令，上位机回复对应的信息，上位机将搜集到的机电系统状态信息发送给机载维护控制装置，机载维护控制装置将一些特定的状态信息通过硬线接口的形式发送给上位机。同时，机载维护控制装置和上位机均与其他相关的系统、设备存在交联关系。

本申请的飞行器机载维护控制装置信息安全交互方法构建了通用化的飞行器运行场景，基于飞行器不同的运行场景，捕获使用需求，基于不同运行场景中及场景间的切换，开展信息安全交互策略设计，解决了飞行器机载维护控制装置在单一运行场景中及运行场景间切换可能存在的因产品故障、通信故障、不合时宜工作等带来的信息交互安全隐患就问题，提升飞行器机载维护控制装置信息交互安全能力，确保不影响系统及飞行器任务实现及安全；其次，本申请基于飞行器不同运行场景的实际使用需求，详细设计机载维护控制装置功能架构及各项功能，通过逻辑详细设计识别单一运行场景中及多运行场景间切换可能存在的因产品故障、通信故障、不合时宜工作等带来的信息交互安全隐患就问题，将问题分类并进行特征识别，开展基于特征识别的信息安全交互策略设计，提升飞行器机载维护控制装置信息安全交互能力，确保不影响系统及飞行器任务实现及安全。其中，策略中的硬线信息安全交互策略通过硬件实现，安全可靠，总线信息安全交互策略综合了信息的源端和终端的收发控制，源端与终端的控制差异化设置条件，可有效避免单一条件失效导致的策略失效，整体策略设计可靠性高、成本低，易于实现。

以上所述，仅为本申请的具体实施方式，但本申请的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本申请揭露的技术范围内，可轻易想到的变化或替换，都应涵盖在本申请的保护范围之内。因此，本申请的保护范围应以所述权利要求的保护范围为准。

Claims (8)

1.一种飞行器机载维护控制装置信息安全交互方法，其特征在于，包括：

根据飞行器使用过程及通用化的飞行器基本运行场景划分原则从时间维度对飞行器运行场景及机载维护控制装置的使用时机进行叠加及划分，从而构建出通用化的飞行器基本运行场景；

根据通用化的飞行器基本运行场景将飞行器机载维护控制装置信息安全交互过程分为单一运行场景下机载维护控制装置的正常工作模式及故障模式信息安全交互过程和跨运行场景下机载维护控制装置的正常工作模式及故障模式信息安全交互过程，并根据机载维护控制装置的类别分别构建机载维护控制装置硬线信息安全交互策略、机载维护控制装置总线信息安全交互策略、单一运行场景下飞行器机载维护控制装置总线信息安全交互策略及跨运行场景下飞行器机载维护控制装置信息安全交互策略。

2.如权利要求1所述的飞行器机载维护控制装置信息安全交互方法，其特征在于，所述通用化的飞行器基本运行场景划分原则包括：

原则一：以飞行器发动机开车、停车为切割参照点，将飞行器状态分为发动机开车状态和发动机停车状态两大运行场景；

原则二：以飞行器在起飞与着陆为切割参照点，将地面维护准备工作分为飞行器飞行前准备、飞行后检查、定期维护检查三类大的运行场景；

原则三：以飞行器开展维护检查使用机载维护控制装置时机为切割参照点，将飞行器状态分为使用机载维护控制装置和不使用机载维护控制装置两种状态。

3.如权利要求2所述的飞行器机载维护控制装置信息安全交互方法，其特征在于，所述通用化的飞行器基本运行场景包括：

1)飞行器飞行前准备阶段：T0至T1时间段内，完成飞行器燃料、气、液等填充，各系统状态检查工作，其中，T1时间点发动机开车并达到指定转速N，此时不能继续开展地勤维护工作；

2)飞行器飞行中阶段：T1至T2时间段内，该阶段飞行器由地面转至空中按照计划完成飞行任务并返航，其中T2时间点飞行器完成返航着陆；

3)飞行器飞行后检查阶段：T2至T3时间段内，该阶段开展填充、系统状态信息查询及故障排除工作，其中T3时间点飞行器完成飞行后检查；

4)飞行器定期维护检查阶段：T3及其后时间段内，该阶段按照既定维护程序及要求开展飞行器及各系统日常维护检查及周期定检工作。

4.如权利要求1所述的飞行器机载维护控制装置信息安全交互方法，其特征在于，所述机载维护控制装置的正常工作模式及故障模式的定义如下：

a)正常工作模式是指机载维护控制装置硬件及软件工作状态良好，均处于按照设计的功能和性能正常运行的状态；

b)故障模式是指能够导致机载维护控制装置无法发出或接收到信息的机载维护控制装置硬件或软件故障的故障状态。

5.如权利要求4所述的飞行器机载维护控制装置信息安全交互方法，其特征在于，所述机载维护控制装置硬线信息安全交互策略为：

1)对于硬线开关，设置的开关实现电气线路接通、断开，对应功能与机电系统其他信号及功能不交联，物理隔离，使得硬线开关的物理位置状态仅作用单一维护功能，不影响其他功能的正常实现；

2)对于参与控制的硬线信号，设置硬线信号安全态值，信号安全态值的预置应能确保系统对应功能在信号接口故障状态下保证安全运行，不扩大故障影响，不产生次生故障。

6.如权利要求4所述的飞行器机载维护控制装置信息安全交互方法，其特征在于，所述机载维护控制装置总线信息安全交互策略为：

总线通讯是总线为载体，按照通讯协议和任务周期定义进行的数据交互过程，对机载维护控制装置而言，总线通信分为发送和接收两种形式，接收到的内容仅作为显示使用，不参与控制，因此将机载维护控制装置发送的信息按照任务形式分为事件型和持续型两种，事件型消息发送模式按照定义的固定发送时长发送对应指令信息，后将信号置为默认状态，持续型消息发送模式按照制定的信号持续发送给上位机。

7.如权利要求4所述的飞行器机载维护控制装置信息安全交互方法，其特征在于，所述单一运行场景下机载维护控制装置总线信息安全交互策略为：

1)对于发送给上位机的指令能够直接导致对应的功能按照既定逻辑开展运算及执行，使执行机构动作的指令采用事件型消息发送模式；

2)对于发送给上位机的指令不直接影响执行机构工作状态及动作，仅作为特定控制指令的先决状态的指令信息采用持续型消息发送模式；

3)当机载维护控制装置无法接收上位机总线数据信息，则将机载维护控制装置发送数据信息均设置为安全状态值；

4)当上位机无法接收机载维护控制装置总线数据信息，则将上位机收数据信息均设置为上一拍收到值或安全状态值；

5)当机载维护控制装置与上位机通讯正常后，撤销第3项和第4项的策略，恢复正常通讯。

8.如权利要求4所述的飞行器机载维护控制装置信息安全交互方法，其特征在于，跨运行场景下飞行器机载维护控制装置信息安全交互策略，如下：

1)当发动机未开车或开车后，任一发动机转速未达到N，机载维护控制装置与上位机通信故障时，机载维护控制装置将发送的信息数据均设置为安全状态值，上位机将收到的信息数据均设置为上一拍收到值或安全状态值，N为系统设计中的权衡转速值；

2)当任一发动机转速大于N，则上位机将机载维护控制装置发送的信息数据均设置为安全态值；

3)当飞行器任一起落架收上到位信号有效时，机载维护控制装置停止向上位机发送数据；

4)对于涉及飞行器飞行安全的功能分为飞行状态和地面状态两种模式，采用采集的能够直接区分飞行器处于地面、空中状态的信号进行综合判断，当且仅当飞行器处于地面状态时对应的功能响应地面机载维护控制装置的指令。