ES2416707T3 - Sistema de causar baja de forma segura un UAV - Google Patents

Sistema de causar baja de forma segura un UAV Download PDF

Info

Publication number
ES2416707T3
ES2416707T3 ES08162084T ES08162084T ES2416707T3 ES 2416707 T3 ES2416707 T3 ES 2416707T3 ES 08162084 T ES08162084 T ES 08162084T ES 08162084 T ES08162084 T ES 08162084T ES 2416707 T3 ES2416707 T3 ES 2416707T3
Authority
ES
Spain
Prior art keywords
code
causing
unmanned vehicle
counter value
cause
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
ES08162084T
Other languages
English (en)
Inventor
Rikard Johansson
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Saab AB
Original Assignee
Saab AB
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Saab AB filed Critical Saab AB
Application granted granted Critical
Publication of ES2416707T3 publication Critical patent/ES2416707T3/es
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05DSYSTEMS FOR CONTROLLING OR REGULATING NON-ELECTRIC VARIABLES
    • G05D1/00Control of position, course or altitude of land, water, air, or space vehicles, e.g. automatic pilot
    • G05D1/0011Control of position, course or altitude of land, water, air, or space vehicles, e.g. automatic pilot associated with a remote control arrangement
    • G05D1/0022Control of position, course or altitude of land, water, air, or space vehicles, e.g. automatic pilot associated with a remote control arrangement characterised by the communication link
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B64AIRCRAFT; AVIATION; COSMONAUTICS
    • B64CAEROPLANES; HELICOPTERS
    • B64C39/00Aircraft not otherwise provided for
    • B64C39/02Aircraft not otherwise provided for characterised by special use
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05DSYSTEMS FOR CONTROLLING OR REGULATING NON-ELECTRIC VARIABLES
    • G05D1/00Control of position, course or altitude of land, water, air, or space vehicles, e.g. automatic pilot
    • G05D1/10Simultaneous control of position or course in three dimensions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials

Abstract

Un sistema (1; 1A; 1B) de causar baja a distancia de un vehículo (5) no tripulado conectado de maneracomunicativa con una estación (3) de control de un vehículo no tripulado a través de una interfaz (9) aérea, dichosistema de causar baja comprende una porción de estación de control situada en dicha estación (3) de control y una porción de vehículo situada en dicho vehículo (5) no tripulado, comprendiendo la porción de la estación (3) de controldel sistema de causar baja: - una computadora (7) de la estación de control que comprende un medio (23) adaptado para generar,sobre una base cíclica unos valores de contador diferentes; - un dispositivo (11) de causar baja adaptado para generar, en cada ciclo, un código de estación de control[código de CS ] utilizando un valor de control por medio de un algoritmo (27A) de causar baja; - un medio de transmisión adaptado para transmitir, en cada ciclo, el valor de contador y el código de CSgenerado desde ese valor de contador hasta el vehículo (5) no tripulado bajo la forma de un par valor decontador / código de CS , por medio de dicha interfaz (9) aérea; y - un accionador (13) de causar baja el cual, cuando es accionado, está adaptado para impedir que los paresde valor de contador / código de CS en los cuales el código de CS ha sido generado a partir del valor decontador sean transmitidos hasta el vehículo (5) no tripulado,mientras que la porción de vehículo del sistema de causar baja comprende: - un medio de recepción adaptado para recibir el par valor de contador / código de CS transmitido desdela etapa (3) de control en cada ciclo; y - una computadora (15) del vehículo no tripulado conectada a dicho medio de recepción y adaptada para:generar un código del vehículo no tripulado [código de UV] mediante la ejecución del valor decontador en el par valor de contador / código de CS por medio de un algoritmo (27B) de causarbaja correspondiente al algoritmo (27A) utilizado para generar el código de CS en la estación (3)de control, y comparar el código de CS existente en el par valor de contador / código de CS recibido con dichocódigo de UV generado para establecer que son diferentes entre sí, en cuyo caso se ha producidoun episodio de causar baja del tipo de episodio de causar baja de código, y - un medio (15; 15, 33) de decisión de causar baja para que cause baja el vehículo (5) no tripulado enbase a la aparición de cualquier episodio de causar baja, en el que el medio de decisión de causar bajaestá, así mismo, adaptado para que cause baja el vehículo no tripulado si ningún par valor de contador /código de CS ha sido recibido por el medio de recepción en uno o en una pluralidad de ciclos.

Description

Sistema de causar baja de forma segura un UAV
Campo técnico
La presente invención se refiere al campo de los vehículos no tripulados, como por ejemplo los vehículos aéreos no 5 tripulados (UAV) y, más concretamente, a un procedimiento y a un sistema para hacer posible que un vehículo no tripulado cause baja de una manera segura y rentable.
Antecedentes técnicos
Los vehículos aéreos no tripulados (UAV) a menudo están condicionados a operar en un espacio aéreo vacío donde no existe el riesgo de colisiones en pleno aire con aeronaves tripuladas, y en áreas geográficas en las que un
10 posible aterrizaje violento no provoque ningún tipo de lesiones a las personas y ocasione daños mínimos infraestructurales y medioambientales. Las restricciones del área operativa se establecen normalmente mediante requisitos, reglamentaciones y leyes fronterizas, gubernamentales o internacionales.
Cuando un UAV sale de o está a punto de salirse de su área operativa permitida debido a un funcionamiento incorrecto de los sistemas, o tras la detección de unas condiciones carentes de seguridad dentro del área operativa
15 permitida, es de gran importancia que el UAV pueda ser dado de baja a distancia, por ejemplo, mediante el apagado del motor del UAV. Aunque opera más o menos de forma autónoma, un UAV está típicamente conectado a una estación de control del UAV (UCS) desde la cual un operador puede causar baja a distancia del UAV mediante la anulación de su sistema de control autónomo.
Los requisitos de su sistema de causar baja que permiten que un operador cause baja a distancia un UAV son
20 rigurosos. El sistema de causar la baja debe estar diseñado para evitar que se cause la baja del UAV sin una causa pertinente pero, lo que reviste máxima importancia, es que debe ser extremadamente fiable, de tal manera que la baja del UAV sea siempre posible cuando surja la necesidad.
Así mismo, es importante reducir al mínimo el peso y el tamaño de los componentes que constituyen el sistema para causar baja. Ello es particularmente importante por lo que se refiere a la parte del sistema de detección que está
25 situado en el UAV dado que un incremento del tamaño y del peso del UAV típicamente incrementa el peso del combustible y / o deteriora la capacidad de vuelo del UAV. Así mismo, es de gran importancia que el sistema de causar baja esté equipado para soportar tomas de control hostiles para impedir que terceras partes transmitan comandos que provoquen que el UAV con fines dolosos.
Los sistemas para causar baja convencionales se conocen a partir de los documentos FR 2 912 022 y EP 1 462 898
30 A2. Así mismo, un controlador a distancia convencional que transmite información codificada y no codificada se conoce a partir del documento US 2007/0279184 A1 mientras que un sistema antirrobo convencional que emite señales de acción residual se conoce a partir del documento US 2002/0163418 A1.
Sumario
Constituye un objetivo de la presente invención proporcionar un sistema para causar baja que permita que un 35 vehículo no tripulado cause baja a distancia de una manera segura y rentable.
Este objetivo se consigue mediante un sistema para causar baja mediante un sistema para causar baja a distancia de un vehículo no tripulado conectado de forma comunicativa con una estación de control del vehículo no tripulado a través de una interfaz aérea. El sistema para causar baja comprende dos partes; una porción de estación de control que está situada en la estación de control y una porción de vehículo que está situada en el vehículo no tripulado. La
40 porción de la estación de control del sistema para causar baja comprende:
-
una computadora de la estación de control que comprende un medio adaptado para generar, de forma cíclica diferentes valores de contador;
-
un dispositivo de causar baja adaptado para generar, en cada ciclo, un código de estación de control [código de CS ] mediante la ejecución de un valor de contador por medio de un algoritmo de causar baja;
45 -un medio de transmisión adaptado para transmitir, en cada ciclo, el valor de contador y el código de CS generado desde ese valor de contador hasta el vehículo no tripulado bajo la forma de un par valor de contador / código de CS por medio de dicha interfaz aérea; y
-
un accionador para causar baja el cual, cuando es accionado, está adaptado para impedir que los pares valor de contador / código de CS los cuales el código de CS ha sido generado a partir del valor de contador sean 50 transmitidos hasta el vehículo no tripulado, mientras que la porción del vehículo del sistema para causar baja
comprende:
-
un medio de recepción adaptado para recibir el par valor de contador / código de CS transmitido desde la estación de control en cada ciclo;
-
una computadora del vehículo no tripulado conectada a dicho medio de recepción y adaptada para:
generar un código de vehículo no tripulado [código UV] mediante la ejecución del valor de contador del 5 par valor de contador / código de CS recibido mediante un algoritmo de causar baja correspondiente al algoritmo utilizado para generar el código de CS en la estación de control, y
comparar el código de CS del par valor de contador / código de CS recibido con dicho código UV generado para establecer si difieren entre sí, en cuyo caso se ha producido un episodio de causar baja del tipo del episodio de causar baja de código, y
10 -un medio de decisión de causar bajar para decidir si causar baja del vehículo no tripulado en base a la aparición de cualquier episodio de causar baja, en el que el medio de decisión de causar baja está adaptado para efectuar la causar baja del vehículo no tripulado si no ha sido recibido ningún par valor de contador / código de CS por el medio de recepción en uno o en una pluralidad de ciclos consecutivos.
La presente invención, por tanto, proporciona un sistema para causar baja en base al principio de transmitir, sobre
15 una base cíclica, desde una estación de control hasta un vehículo no tripulado, unos pares de valores de código y de contador dependientes entre sí cuya dependencia se determina por un algoritmo de causar baja. El vehículo tiene conocimiento del algoritmo y puede, por tanto, revalidar un par código / contador recibido utilizando el mismo algoritmo. Si el par código / contador recibido es inválido, el vehículo puede decidir causarse baja de forma autónoma. El accionador para causar baja hace posible que el vehículo cause baja de manera segura a partir de la
20 estación de control mediante invalidación, cuando es accionado por un operador, de los pares código / contador que son transmitidos al vehículo.
La transmisión de los pares código / contador válidos pueden, por tanto, ser considerados como comandos de transmisión de no causar baja hasta el vehículo no tripulado, dando instrucciones al vehículo para que no cause baja de forma autónoma.
25 Una ventaja causar baja del vehículo no tripulado mediante la evitación de comandos de no causar baja que sean transmitidos al vehículo por oposición a la transmisión de manera activa de un comando de causar baja que instruya al vehículo para que cause baja de forma autónoma, consiste en que el vehículo no tripulado causará baja, de forma autónoma, así mismo, en el supuesto de que sea transmitida una función incorrecta de la estación de control que impida la señal transmitida al vehículo. De esta manera, un funcionamiento incorrecto de la estación de control no
30 supondrá una situación en la cual el vehículo no tripulado no pueda ser objeto de causar baja, haciendo posible potencialmente que el vehículo escape de su área operativa permitida. Ello es ventajoso en el sentido de que un escenario en el que un vehículo no tripulado escape de su área operativa no permitida es mucho peor, desde el punto de vista de la seguridad, que un escenario en el que un vehículo no tripulado cause baja dentro de su área operativa permitida.
35 Una ventaja de la utilización de comandos de no causar baja en la forma de unos valores de código y contador dependientes entre sí es que es altamente improbable que la estación de control, debido a un fallo del software o del hardware será capaz de impedir que el vehículo cause baja mediante el envío de manera inadvertida de los pares de contador / código válidos hasta el vehículo.
De modo preferente, la computadora del vehículo no tripulado está, así mismo, adaptada para almacenar, al menos
40 de forma temporal, cualquier parámetro entre el parámetro valor de contador, el parámetro código de CS o el parámetro código de UV, y para comparar cualquiera de dichos parámetros con al menos un parámetro de dicho tipo, almacenado durante al menos un ciclo previo, para ver si difieren entre sí. Si no difieren entre sí, esto es, si el valor del parámetro permanece sin modificar entre los ciclos, se ha producido un episodio de causar baja del tipo “episodio de causar baja de parámetro constante” que indica que el sistema para causar de baja no está
45 funcionando de manera adecuada. En este caso, el medio de decisión de causar baja del vehículo no tripulado decide si el vehículo causa o no baja no solo en base a la aparición de episodios de causar baja de código sino, así mismo, en base a la aparición de episodios de causar baja de parámetro constante.
Esta característica distintiva es ventajosa en el sentido de que hace que el sistema para causar baja sea menos propenso a los bucles infinitos. Así mismo, sin esta característica distintiva, un tercero que sea capaz de apoderarse
50 de un par valor de contador / código de CS válido, por ejemplo llevando a cabo una escucha entre la estación de control y el vehículo, puede ser capaz de prohibir que el vehículo cause baja desde la estación de control mediante la transmisión de manera repetida de este único par valor de contador / código de CS hasta el vehículo. De esta manera, esta característica distintiva hace que el sistema para causar baja sea menos vulnerable a las tentativas de control del vehículo por parte de terceros.
55 De acuerdo con una forma de realización de la invención, la porción del vehículo del sistema para causas baja comprende así mismo un dispositivo para causas baja el vehículo (VTD) el cual es una unidad autónoma conectada por fuera de la computadora del vehículo. En esta forma de realización, la computadora del vehículo está, así mismo, adaptada para, si no se produce ningún episodio de causar baja o de causar baja de un parámetro constante durante un ciclo, generar un comando de no causar baja bajo la forma de una o varias señales que presenten unas características predeterminadas o lleven a cabo un contenido de información predeterminado, y transmitir las señales hasta el VTD. Las características o el contenido de la información de las señales deben ser
5 suficientemente complejas para conseguir que sea improbable que un proceso aleatorio en la computadora del vehículo genere dichas señales por casualidad. El VTD está, a su vez, adaptado para analizar las señales recibidas para apreciar si cumplen ciertas condiciones determinadas de antemano, lo que hacen si tienen las características determinadas de antemano o incorpora el contenido de información determinado de antemano. Si no son recibidas por el VTD las señales que cumplan las condiciones de un ciclo, se produce un episodio de causar baja designado “episodio de causar baja de prueba de la TF”. En este caso, el medio de decisión de causar baja del vehículo no tripulado decide si causar baja al vehículo o no, en base a la aparición de los episodios de causar baja de la prueba de la TF.
El causar baja efectiva del vehículo no tripulado se efectúa mediante un dispositivo de ejecución de causar baja (TED) no inteligente que está adaptado para establecer un componente del sistema del vehículo, como por ejemplo
15 una válvula de combustible o la ignición del motor, en un estado en el que la propulsión del vehículo se hace imposible, por ejemplo deteniendo el suministro de combustible hacia el motor del vehículo o desactivando la ignición del motor. Cuando no se utiliza un VTD, la computadora del vehículo debe enviar un comando de causar baja hacia el TED dando instrucciones para que el vehículo pase causa tras la detección de uno o de varios episodios de causar baja. Ello está asociado con una situación de seguridad -riesgo por cuanto el episodio del funcionamiento incorrecto de la computadora del vehículo podría hacer imposible la transmisión de un comando de causar baja hacia el TED, convirtiendo en imposible que el vehículo causará baja.
Sin embargo, mediante la utilización de un VTD que interconecte la computadora del vehículo y el TED no inteligente, y adaptando el VTD para enviar un comando de causar baja hasta el TED cuando no se reciben comandos de no causar baja desde la computadora del vehículo este problema queda resuelto. De esta manera, el
25 VTD incrementa la seguridad del sistema para causar baja asegurando que el vehículo pueda causar baja, así mismo, si la computadora del vehículo comienza a funcionar de manera incorrecta.
Otra ventaja obtenida por la solución con el VTD descrita con anterioridad es que la computadora del vehículo tiene que estar construida incorporando componentes de software y hardware de seguridad crítica, dado que el vehículo puede causar baja incluso si la computadora se estrella contra el suelo. De esta manera en el sistema para causar baja que utiliza un VTD, tanto la computadora de la estación de control como la computadora del vehículo no tripulado, pueden ser computadoras convencionales disponibles en almacén que ejecuten un software comercial disponible en almacén (COTS), reduciendo con ello en gran medida el coste del sistema para causar baja en comparación con los sistemas de causar baja que utilizan sistemas en los cuales los componentes de hardware y software deben ser clasificados en un nivel de criticidad elevado.
35 Otras formas de realización ventajas del sistema para causar baja se describirán a continuación en la descripción detallada de la invención.
La invención se refiere, así mismo, a una estación de control de un vehículo no tripulado que comprende una porción de la estación de control del sistema para causar baja descrito con anterioridad, y un vehículo no tripulado que comprende una porción del vehículo del sistema para causar baja del sistema descrito con anterioridad.
Constituye otro objetivo de la invención proporcionar un procedimiento para causar baja a distancia de un vehículo no tripulado, como por ejemplo un vehículo no tripulado (UAV).
Este objetivo se consigue mediante un procedimiento para causar baja a distancia de un vehículo no tripulado que está conectado de manera comunicante con una estación de control del vehículo no tripulado por medio de una interfaz aérea. El procedimiento incluye la generación de unos valores de código y de contador dependientes entre
45 sí mediante la realización, de forma cíclica mediante, las siguientes etapas de una estación de control:
-
la generación de un valor de contador;
-
la generación de un código de estación de control [código de CS ] mediante la ejecución de dicho valor de contador por medio de un algoritmo de causar baja;
-
la transmisión, sobre la interfaz (9) aérea de dicho valor de contador y dicho código de CS hacia el vehículo no tripulado;
y la realización, para cada ciclo, de las siguientes etapas del vehículo (5) no tripulado:
-
la recepción de dicho valor de contador y de dicho código de CS;
-
la generación de un código de vehículo no tripulado [código UV] mediante la ejecución de dicho valor de contador recibido mediante un algoritmo de causar baja correspondiente al algoritmo de causar baja utilizado para generar 55 código de CS en la estación de control;
-
la comparación de dicho código de CS recibido con dicho código UV generado para establecer si difieren entre sí, en cuyo caso se ha producido un episodio de causar baja del tipo del episodio de causar baja de código;
-
la decisión acerca de si causar baja o no respecto del vehículo no tripulado en base a la producción de cualquier episodio de causar baja;
5 -y, comprendiendo la etapa de causar baja del vehículo no tripulado que si ningún par valor de contador / código de CS haya sido recibido en el vehículo no tripulado en uno o en una pluralidad de ciclos consecutivos.
El procedimiento expuesto asegura que el vehículo no tripulado pueda decidir causar baja por sí mismo en el caso de que los pares de valor de contador / código de CS válidos no se reciban de la estación de control. El procedimiento, por tanto, hace posible que un vehículo no tripulado cause baja a distancia de una manera segura y
10 rentable impidiendo de manera intencionada que los pares valor de contador / código de CS válidos sean transmitidos al vehículo, asegurando al mismo tiempo que el vehículo cause baja por sí mismo en el caso de un funcionamiento incorrecto de la estación de control.
La invención, así mismo, se refiere a un procedimiento para la generación de un código y de un valor de contador dependientes entre sí en una estación de control de vehículo no tripulado, y de un procedimiento para decidir si un
15 vehículo no tripulado que está de forma comunicativa conectado a una estación de control de un vehículo no tripulado a través de una interfaz aérea debe causar baja o no en base a la información recibida por el vehículo a través de la interfaz aérea.
Breve descripción de los dibujos y las tablas
La presente invención se comprenderá de forma más acabada a partir de la descripción detallada ofrecida en las
20 líneas que siguen y en los dibujos que se acompañan, en las cuales las mismas referencias numerales en los diferentes dibujos se refieren a los mismos componentes, en los cuales:
La Fig. 1 ilustra una primera forma de realización de un sistema para causar baja de un UAV para causar baja a distancia de Vehículos Aéreos No Tripulados (UAV) de acuerdo con la invención.
La Fig. 2 muestra un diagrama de flujo de un procedimiento de acuerdo con la invención para la 25 determinación acerca de si un UAV debe causar baja o no.
La Fig. 3 muestra un diagrama de flujo que ilustra un procedimiento perfeccionado de acuerdo con la invención para la determinación acerca de si un UAV puede causar baja o no.
La Fig. 4 ilustra una segunda forma de realización de un sistema para causar baja de un UAV para causar baja a distancia de UAV de acuerdo con la invención.
30 La Fig. 5 muestra un diagrama de flujo que ilustra un procedimiento perfeccionado adicional de acuerdo con la invención para la determinación acerca de si un UAV debe o no causar baja.
La Fig. 6 ilustra una tercera forma de realización de un sistema para causar baja de un UAV para causar baja a distancia de UAV de acuerdo con la invención.
La Fig. 7 muestra un diagrama de secuencia que ilustra la secuencia de acciones llevadas a cabo en un
35 UAV que recibe un par valor de contador / código de CS desde una estación de control UAV (UCS) en el sistema para causar baja ilustrado en la Fig. 6.
Acrónimos y abreviaturas
Acrónimo Definición
APIC Controlador de Interrupciones Programable Avanzado COTS Software Software comercial disponible en almacén CS Estación de Control FPGA Matriz de Puertas Programable sobre el Terreno IMR Registro de Enmascaramiento de Interrupción PIC Controlador de Interrupción Programable TED Dispositivo de Ejecución de Causar Baja TF Función para Causar Baja
TSU cycle
Ciclo de Actualización del Sistema para Causar Baja
UAV
Vehículo Aéreo No Tripulado
CTF UAV
Función para Causar Baja de la Computadora del UAV
UCS
Estación de Control del UAV
UTD
Dispositivo para Causar Baja de la UCS
UV
Vehículo No Tripulado
VCS
Sistema de Control del Vehículo
VTD
Dispositivo de Causar Baja del Vehículo
Descripción detallada
La Fig. 1 ilustra una forma de realización de un sistema 1 para causar baja para causar baja a distancia de vehículos no tripulados de acuerdo con la invención. Aunque el sistema 1 para causar baja puede ser utilizado para causar baja de cualquier tipo de vehículos no tripulados, a continuación se describirá en el contexto de un vehículo aéreo no tripulado (UAV).
El sistema 1 para causar baja comprende dos partes: una porción de estación de control que está situada en una Estación 3 de Control UAV (UCS), y una porción del vehículo que está situada en un UAV 5. La UCS 3 está típicamente situada en tierra pero puede, así mismo, estar situada en, por ejemplo, una aeronave o en una embarcación que escolte el UAV 5 a distancia. La UCS 3 comprende una o varias computadoras 7 interconectadas a través de las cuales uno o varios operadores a distancia pueden vigilar y / o controlar la operación del UAV 5 con el cual la UCS 3 está asociada. La computadora 7 de la UCS es típicamente una computadora convencional disponible en almacén.
La computadora 7 de UCS está conectada de forma comunicativa con el UAV 5 por medio de una interfaz aérea, ilustrada en la presente memoria mediante una línea 9 de puntos que separa los componentes de la UCS 3 de los componentes del UAV 5. La interfaz 9 aérea es típicamente, pero no necesariamente, un enlace de comunicación por radio.
La computadora 7 de la UCS está, así mismo, conectada a un dispositivo de causar baja UCS (UTD) 11 para hacer posible que un operador inutilice a distancia el UAV 5 mediante la activación de un accionador de causar baja, como por ejemplo un botón 13 pulsador.
El UAV 5 incluye al menos una computadora 15 de a bordo que comprende una funcionalidad para controlar la operación del UAV en base a unas instrucciones preprogramadas y / o a unas instrucciones recibidas procedentes de la UCS 3 a través de la interfaz aérea 9. La computadora 15 del UAV comprende un medio 17 de procesamiento, como por ejemplo un microprocesador, para ejecutar las diversas aplicaciones / funciones relacionadas con la operación del UAV 5. Una de las funciones esenciales de máxima seguridad de la computadora 15 de a bordo es la función de causar baja que posibilite que un operador cause baja al UAV 5 desde la UCS 3 remota. La función / aplicación de causar baja se ilustra como un módulo funcional designado mediante la referencia numeral 19 en el dibujo. Esta función será descrita con mayor detalle más adelante. La computadora 15 del UAV comprende así mismo otra funcionalidad, ilustrada en la presente memoria mediante un módulo funcional designado con la referencia numeral 21. Típicamente, este módulo 21 funcional comprende al menos una función de control del UAV para el control de vuelo, y un sensor y una función de control de carga útil para el control de los sensores de a bordo y de la carga útil.
A continuación se describirán con mayor detalle los componentes del sistema 1 para causar baja del UAV y su respectiva funcionalidad durante su uso normal. El término “uso normal” debe interpretarse en el presente contexto como el uso del sistema 1 para causar baja del UAV cuando no se ha iniciado ningún episodio de causar baja intencionado del UAV y cuando el sistema 1 opera con precisión.
La computadora 7 de la UCS comprende un contador 23 el cual, a intervalos de tiempo determinados, genera unos valores de contador los cuales son transmitidos al UTD 11. El UTD 11, a su vez, comprende un medio 25 de procesamiento, como por ejemplo un microprocesador adaptado para ejecutar un algoritmo 27 de causar baja cada vez que un valor de contador es recibido desde la computadora 7 de la UCS. Cada vez que es ejecutado, el algoritmo 27 de causar baja utiliza el valor de contador definido como un parámetro de entrada y genera un código cuyo valor depende del algoritmo concreto utilizado y del valor de contador producido. Este código, que en lo sucesivo será designado como código de estación de control (CS), es a continuación devuelto a la computadora 7 de la UCS. De modo preferente, el algoritmo 27 de causar baja se escoge de manera que cada valor de contador único utilizado como parámetro de entrada al algoritmo se traduzca en un código único. Así mismo, el algoritmo 27 de causar baja es, de modo preferente, lo suficientemente complejo como para hacer imposible que cualquier tercero intercepte el valor de contador y su correspondiente código para averiguar qué algoritmo se utiliza.
Cuando la computadora 7 de la UCS recibe el código de CS , tanto el código de CS como el valor de contador utilizado para calcular ese código de CS concreto son transmitidos a la circuitería del transceptor (no mostrada) de 5 la UCS para su ulterior transmisión al UAV a través de la interfaz 9 aérea, típicamente por medio de señales de radio moduladas.
Cuando un par valor de contador / código DE CS es recibido por la circuitería (no mostrada) del transceptor del UAV, es suministrado a la función 19 de causar baja existente en la computadora 15 del UAV. La función 19 de causar baja incluye un algoritmo 27b de causar baja correspondiente al algoritmo 27A de causar baja existente en el UTD 10 11 de la UCS, y una función 29 de verificación de código. El valor de contador recibido desde la UCS 3 se proporciona como un parámetro de entrada al algoritmo 27B de causar baja mientras que el código recibido desde la UCS 3, esto es, cada código de CS, se suministra a la función 29 de verificación de código. De acuerdo con el algoritmo 27A de causar baja descrito con anterioridad existente en el UTD 11 de la UCS, el algoritmo 27B de causar baja genera un código cuyo valor depende del algoritmo matemático concreto utilizado y del valor de
15 contador de entrada. Los códigos generados por los algoritmos 27B de causar baja existentes en el UAV serán designados a continuación como códigos de vehículo no tripulado (UV). Después de ser generado por el algoritmo 27B de causar baja, el código de UV se proporciona a la función 29 de verificación de código.
La función 29 de verificación de código está adaptada para comparar el código de CS con el código UV para establecer si son iguales entre sí. Dado que el algoritmo 27A de causar baja existente en el UTD 11 de la UCS y que
20 el algoritmo 27B de causar baja existente en el UAV son los mismos y, dado que se utiliza el mismo valor de contador con parámetros de entrada tanto para los algoritmos 27A, 27B, los códigos CS y UV deben, en el uso normal del sistema 1 de causar baja del UAV ser iguales entre sí.
La detección de una no igualdad entre un código de CS y un código UV es un ejemplo de un episodio que en este documento será designado como episodio de causar baja. Un episodio de causar baja debe, en este contexto, ser
25 interpretado como un episodio que, cuando se produce en el sistema 1 para causar baja indica, o bien que el sistema 1 para causar baja no está funcionando adecuadamente, o bien que el operador de la UCS ha accionado el dispositivo 13 para causar baja del UTD 11. El tipo particular de episodio de causar baja correspondiente a una falta de correspondencia entre un código UCS y un código UV se denomina en la presente memoria episodio de causar baja de código.
30 La acción de causar baja del UAV 5 se efectúa mediante el envío de un comando de causar baja hasta un dispositivo de ejecución de causar baja (TED) 31 existente en el sistema del UAV tras la detección de un suceso o de unos sucesos repetidos de un episodio de causar baja, como por ejemplo un episodio de causar baja de código. El TED 31 es un dispositivo no inteligente adaptado para que el UAV cause baja tras la recepción de dicho comando de causar baja, típicamente simplemente apagando el vehículo. Típicamente el TED 31 está conectado a un relé
35 para desactivar la ignición del motor UAV, una válvula de tope para detener el suministro del combustible hacia el motor del UAV, o cualquier otro componente del sistema del vehículo que pueda establecerse en un estado en el que la propulsión del vehículo resulte imposible. Esto es, el causar baja el UAV 5 es, por tanto, típicamente ejecutado por el TED 31 mediante la desconexión de la ignición del motor del UAV o mediante la detención del suministro de combustible del motor del UAV. En la forma de realización del sistema 1 para causar baja ilustrado en
40 la Fig. 1, la función 29 de verificación de código está adaptada para enviar un comando de causar baja hacia el TED 31 si los códigos de la CS y del UV difieren entre sí en una o en una pluralidad de comparaciones consecutivas, y el TED 31 está adaptado para que cause baja el UAV 5 tras la recepción del comando de causar baja.
De acuerdo con lo mencionado con anterioridad, el contador 23 de la computadora 7 de la UCS está dispuesto para generar los valores de contador a intervalos de tiempo determinados. Por ejemplo, el contador 23 puede estar 45 adaptado para generar diez valores de contador por segundo. Esto proporciona al sistema 1 para causar baja del UAV una frecuencia de actualización de 10 Hz, lo que significa que el entero ciclo de actualización del sistema de causar baja que se inicia con la generación del código contador en la computadora 7 de la UCS y que finaliza con la decisión respecto de si UAV debe causar baja o no se repite diez veces cada segundo. En esta forma de realización, la función 29 de verificación de código está típicamente adaptada para enviar un comando de causar baja hacia el
50 TED 31 no solo tras la detección del par valor de contador / código de CS inválido sino, así mismo, cuando no se reciba ningún par valor de contador / código de CS por parte del UAV 5 en uno o en una pluralidad de ciclos TSU consecutivos, indicando que la conexión entre la UCS 3 y el UAV 5 se ha perdido.
A continuación, se describirá con mayor detalle la función del sistema 1 de causar baja del UAV tras el causar baja manual del UAV.
55 El accionador 13 de causar baja del UTD 11 está adaptado, cuando es accionado por un operador situado en la zona de la UCS, para impedir la transmisión de pares código de CS / contador válidos hacia el UAV 5. Tal y como se ilustra en la Fig. 1, esto se puede conseguir desconectando físicamente el UTD 11 de la computadora 7 de la UCS al activar el accionador 13 de causar baja. La desconexión entre el UTD 11 y la computadora 7 de la UCS es, en esta forma de realización ejemplar, llevada a cabo por medio de un conmutador 28 el cual es desconectado al
apretar el botón 13 pulsador. La desconexión del conmutador 28 impide que los códigos CS calculados puedan volver en algún momento a la computadora 7 de la UCS. Esto tiene el efecto de que, dependiendo del código de programa existente en la computadora 7 de la UCS, o bien el código de CS que presenta un valor NULL o bien un código de CS que tenga un valor aleatorio sea transmitido al UAV 5, lo cual, a su vez, tiene el efecto de que el 5 código UV que es a continuación generado por la función 19 de causar baja del UAV diferirá del código de CS . De esta manera, la activación del accionador 13 de causar baja del UTD 11 provoca que se produzca un episodio de causar baja de código en el sistema 1 para causar baja, el episodio de causar baja de código que se producirá en cada ciclo de TSU hasta que el accionador 13 de causar baja sea desactivado. En esta forma de realización, los episodios de causar baja inducidos de la manera expuesta provocarán que la función 29 de verificación de código
10 envíe un comando de causar baja al TED 31, lo cual, a su vez, provoca que el TED 31 inutilice el UAV 5. De modo preferente, el UTD 11 es una unidad independiente que está externamente conectada a la computadora 7 de la UCS. Esto tiene la ventaja de que se impide que los valores de contador y / o de códigos de CS sean enviados entre el UTD 11 y la computadora 7 incluso si el botón 13 pulsador o el conmutador 28 se atasca o funciona de manera incorrecta, por ejemplo tirando del enchufe o incluso cortando el ( los) cables que los conectan.
15 El conmutador 28 puede, así mismo, estar situado en la trayectoria de señalización a través de la cual se transmite el valor de contador al UTD. Así mismo, aunque se ilustra en dos trayectorias de señalización separadas en el dibujo, los valores de contador y de los códigos pueden ser transmitidos entre la computadora 7 de la UCS y el UTD 11 por medio de una trayectoria de señalización única en la cual el conmutador 28 pueda estar dispuesto para interrumpir el intercambio de los valores de contador / de códigos entre la computadora 7 de la UCS y el UTD 11
20 tras la activación del accionador 13 de causar baja. La persona experta en la materia comprenderá que la desconexión entre el UTD 11 y la computadora 7 de la UCS se puede efectuar de otras muchas maneras que por medio de un conmutador eléctrico, por ejemplo simplemente desenchufando los cables entre las dos unidades 7, 11. Cualquiera que sea la forma en que se implemente la posibilidad de desconexión del UTD 11 respecto de la UCS 7 en el sistema 1 para causar baja del UAV, la desconexión debe hacer imposible que la computadora 7 de la UCS
25 obtenga un código válido para un valor de contador concreto, impidiendo de esta manera que un par código de CS / de contador válido sea transmitido desde la UCS 3 hasta el UAV 5.
Una persona experta en la materia comprenderá, así mismo, que los valores utilizados como parámetros de entrada a los algoritmos 27A, 27B de causar baja no tienen necesariamente que ser valores generados por el contador. El contador 23 existente en la computadora 7 de la UCS puede ser cambiado por, por ejemplo, un número aleatorio o 30 un generador de cadena de texto el cual periódicamente genere valores aleatorios los cuales pueden ser utilizados como valores de entrada al algoritmo de la misma manera que los valores generados por el contador son utilizados en la descripción anterior del sistema 1 para causar baja del UAV. Aunque, el término “valor de contador “ será utilizado, así mismo, a continuación, debe por tanto ser interpretado como que cubre cualquier información apropiada para su uso en los parámetros de entrada a los algoritmos 27A y 27B de causar baja, incluyendo, por
35 ejemplo, los valores numéricos aleatorios y los valores de cadena de texto aleatorios.
Una ventaja del sistema 1 para causar baja del UAV es que la situación en la cual es imposible que el UAV 5 cause baja es muy improbable que se produzca convirtiendo con ello en altamente improbable que un operador del UCS sea incapaz de impedir que el UAV 5 escape de su área operativa permitida incluso en el caso de un funcionamiento incorrecto del sistema.
40 Esto se debe al hecho de que el sistema 1 de causar baja del UAV está diseñado de tal manera que cualquier funcionamiento incorrecto de un componente del software o del hardware de la UCS que sea vital para la posibilidad de causar baja manualmente en el UAV 5 provocará un propio causar baja automático del UAV 5. Si, por ejemplo, el UTD 11, la computadora 7 de la UCS o la circuitería del transceptor de radio de la UCS comienza a funcionar de manera errónea, los pares de contador / de código válidos no serán transmitidos a la computadora 15 del UAV lo
45 que provocará que se produzcan episodios de causar baja y, por tanto, provocarán que el TED 31 cause la baja del UAV 5. Debe, así mismo, ser destacado que es altamente improbable que la UCS 3, debido a un fallo del software o del hardware, sea capaz de impedir que cause baja el UAV mediante el envío de forma inadvertida de pares contador / código correctos al UAV 5. Esto es, la presente invención proporciona un sistema 1 para causar baja el UAV provocando que el control de función automática del UAV cause baja por sí mismo en el caso de un
50 funcionamiento incorrecto de la UCS.
La Fig. 2 muestra un diagrama de flujo que ilustra un procedimiento de acuerdo con la invención para la determinación acerca de si un UAV debe causar baja o no. El diagrama de flujo ilustra las etapas del procedimiento llevadas a cabo durante cada ciclo de TSU.
En una primera etapa S1, un valor de contador es generado por una computadora 7 de la UCS. El valor de contador 55 es a continuación enviado a un UTD 11 de la UCS 3, tras lo cual el procedimiento avanza hasta la etapa S2.
En la etapa S2, el UTD 11 genera un primer código (el código de CS) mediante la ejecución del valor de contador recibido de la computadora 7 de la UCS por medio de un algoritmo 27A de causar baja. El código de CS generado es enviado de nuevo a la computadora 15 de la UCS tras lo cual el procedimiento avanza hasta la etapa S3.
En la etapa S3, el valor de contador y el código de CS generados a partir del valor de contador son transmitidos desde la computadora 7 de la UCS hasta el UAV 5 a través de una interfaz 9 aérea, tras lo cual el procedimiento avanza hasta la etapa S4.
En la etapa S4, la función 19 de causar baja de la computadora del UAV genera un segundo código (el código UV)
5 mediante la ejecución del valor de contador recibido de la computadora 7 de la UCS por medio de un algoritmo 27B de causar baja del UAV correspondiente al algoritmo 27A de la UCS. El procedimiento, a continuación, avanza hasta la etapa S5.
En la etapa S5, la función 19 de causar baja de la computadora del UAV compara el código de CS procedente de la computadora 7 de la UCS y el código UV generado por el algoritmo 27B de causar baja del UAV, tras lo cual el
10 procedimiento avanza hasta la etapa S6.
En la etapa S6, la función 19 de causar baja de la computadora del UAV establece si el código de CS recibido de la computadora 7 de la UCS y, por tanto, generado por el algoritmo 27A de causar baja de la UCS en la etapa S2, iguala al código UV generado por el algoritmo 27B de causar baja del UAV en la etapa S4. Si los códigos CS y UV son los mismos, el procedimiento finaliza en la etapa S7. Si, no obstante, los códigos CS y UV difieren entre sí, o si
15 ningún valor de contador y ningún código de CS ha sido recibido de la UCS 3 durante el ciclo TSU, un episodio de causar baja se produce y el procedimiento avanza hasta la etapa S8.
La etapa S8 es una etapa que permite que el sistema 1 de causar baja se ajuste a los distintos grados de sensibilidad. Típicamente no se desea que el UAV 5 cause baja por sí mismo tras la aparición de un episodio de causa de baja único, como por ejemplo una falta de adaptación entre los códigos CS y UV en un único ciclo de 20 TSU. Para impedir que el UAV 5 cause baja debido, por ejemplo, a una interrupción temporal de la comunicación entre la UCS 3 y el UAV 5, una perturbación transitoria que de modo temporal afecte a la comunicación entre la computadora 7 del UAV y el TED 31, etc., una o varias condiciones de causar baja deben ser cumplimentadas en la etapa S8 con el fin de que el UAV 5 cause baja. Un ejemplo de condición de causar baja que tiene que ser cumplimentada con el fin de que el UAV 5 cause baja por sí mismo, puede ser que un episodio de causar baja o el 25 mismo episodio para causar baja, debe haberse producido durante un cierto número de ciclos de TSU consecutivos. Esta funcionalidad puede ser implementada mediante la adaptación o bien de la computadora 15 del UAV o del TED 31 para calcular el número de episodios de causar baja que se producen en ciclos de TSU consecutivos, y diseñar el sistema 1 de causar baja de tal manera que el UAV 5 no cause baja hasta que dicho número sobrepase un valor de umbral determinado de antemano. Por ejemplo, la función 29 de verificación de código puede ser adaptada para 30 enviar un comando de causar baja al TED 31 tan pronto como se produzca un episodio de causar baja, en cuyo caso, el TED puede ser adaptado para contar el número de ciclos de TSU consecutivos en los cuales se ha recibido un comando de causar baja procedente de la computadora 15 de la UAV, y para causar la baja del UAV 5 cuando dicho número sobrepase el valor de umbral. Si bien, la función 29 de verificación de código puede ser adaptada para contar el número de ciclos de TSU consecutivos en los cuales se produzca un episodio de causar baja y enviar un 35 comando de causar baja al TED 31 cuando dicho número sobrepasa el valor de umbral, en cuyo caso el TED 31 puede estar adaptado para causar la baja del UAV 5 inmediatamente tras la recepción de un comando de causar baja. Por ejemplo, el valor de umbral puede establecerse en 50, correspondiendo a un periodo de tiempo de 5 segundos si la frecuencia de actualización del sistema para causar baja puede ser reducido / incrementado con facilidad. Un ejemplo de otra condición de sola o en combinación con la condición anterior tiene que ser
40 cumplimentada con el fin de que el UAV 5 cause baje por sí mismo puede ser que el UAV 5 tiene que ser situado próximo a la frontera de su área operativa permitida. En este caso, por supuesto, la computadora 15 del UAV debe tener conocimiento no solo de la extensión geográfica de su área geográfica permitida, sino, así mismo, de su propia posición. Si la (s) condición (es) de la causar baja es (son) cumplimentada(s) en la etapa S8 el procedimiento avanza hasta la etapa S9. En otro caso, vuelve a la etapa S7 en la cual finaliza.
45 En la etapa S9, el TED 31 causa la baja del UAV 5 mediante, por ejemplo, suprimiendo la ignición del motor del UAV
o deteniendo el suministro del combustible al motor del UAV.
El procedimiento descrito con anterioridad para la toma de decisión de que el UAV cause baja asegura que el UAV 5 causa baja cuando un operador activa manualmente el botón 13 de causar baja, o cuando cualquier componente 7, 11 de la UCS 3, los cuales son vitales para la posibilidad de que el UAV 5 cause baja de forma manual comiencen
50 funcionando de manera incorrecta, traduciéndose ambos escenarios en la incapacidad de que la UCS 3 proporcione al UAV 5 un par valor de contador / código de CS válido en la etapa S3.
De modo preferente, con el fin de añadir un primer nivel de seguridad suplementario al sistema 1 para causar la baja del UAV, la función 19 para causar la baja del UAV puede, así mismo, estar adaptada para asegurar que el UAV está dado de baja a menos que haya un cambio continuo en los valores de contador y / o en los códigos de CS 55 recibidos desde la computadora 7 de la UCS. Esto es ventajoso en el sentido de que permite que el sistema 1 sea menos propenso a los bucles infinitos y a las tentativas de terceros por tomar el control del UAV. Si la función 19 para causar baja del UAV debe quedar adherida en un bucle infinito que proporcione los mismos códigos de CS y UV como parámetros de entrada en la función 19 de verificación de códigos, una y otra vez existe el riesgo de que el causar baja manual del UAV 5 a partir de la UCS 3 no sería posible. Así mismo, si un tercero efectúa una escucha 60 no autorizada en el enlace de comunicación entre la UCS 3 y el UAV 5 con intención dolosa fuera capaz de apoderarse de un par valor de contador / código de CS válido, el tercero puede ser capaz de prohibir que el UAV 5 cause baja respecto de la UCS 3 mediante la transmisión repetida de este único par valor de contador / código de CS hacia el UAV 5. Esta funcionalidad puede ser implementada mediante, al menos de forma temporal, el almacenamiento de los valores de contador existentes en una memoria de la memoria 15 del UAV, y adaptar la 5 función 29 de verificación de código para, después de haber establecido que el código de CS actualmente recibido es igual al código UV generado a partir del código de contador actualmente recibido, comparar el valor de contador actualmente recibido con el valor o los valores de contador anteriormente recibidos. Dado que un valor de contador concreto siempre debe traducirse en el mismo código cuando se ejecuta mediante los algoritmos 27A, 27B de causar baja de la UCS y el UAV, un cambio en, o bien el parámetro de valor de contador o bien el parámetro de código de CS de un par valor de contador / código de CS recibido implica que hay un cambio de ambos parámetros si el sistema 1 opera de forma correcta. Si hay un cambio en uno solo de los parámetros entre dos pares valor de contador / código de CS recibidos de manera consecutiva, al menos uno de los pares es inválido y provocará que el UAV cause baja tal y como se describió con anterioridad. De esta manera, al implementar esta funcionalidad, es suficiente adaptar la función 19 de causar baja el UAV para verificar si hay un cambio continuo en,
15 o bien los valores de contador o bien en los códigos CS recibidos, (o en los códigos UV generados).
La Fig. 3 muestra un diagrama de flujo que ilustra un procedimiento perfeccionado de acuerdo con la invención para determinar si se debe o no causar baja de un UAV. El procedimiento ilustrado en la Fig. 3 difiere del ilustrado en la Fig. 2 solo en que se añade una etapa S6A suplementaria después de la etapa S6, etapa suplementaria que proporciona el primer nivel de seguridad suplementario descrito con anterioridad.
Si en la etapa S6, la función 19 de causar baja el UAV establece que el código de CS recibido generado a partir de un valor de contador concreto es igual a un código UV generado a partir del mismo valor de contador, el procedimiento avanza hasta la misma etapa S6A. Si el código de CS difiere del código UV, el valor de contador / código de CS recibido es considerado inválido y el procedimiento avanza hasta la etapa S8 de acuerdo con lo descrito con anterioridad.
25 En la etapa S6A, la función 19 de causar baja el UAV compara cualquier parámetro de valor de contador, el parámetro de código de CS , o el parámetro de código UV con varios parámetros recibidos del mismo tipo para asegurar que hay un cambio continuo en el valor del parámetro. Si hay un cambio en el valor del parámetro, el procedimiento termina en la etapa S7. Si no hay ningún cambio en el valor del parámetro, esto es, si el parámetro aparece no modificado entre los ciclos, el sistema 1 para causar baja del UAV no funciona correctamente y el procedimiento avanza hasta la etapa S8 para ver si el episodio en el causar baja detectado actualmente de un valor de parámetro no modificado debe o no traducirse en que el UAV 5 cause baja de acuerdo con la (s) condición (es) de causar baja. El tipo de episodio de causar baja correspondiente a una no modificación en el parámetro del valor de contador, en el parámetro de código de CS, o en el parámetro de código UV entre los ciclos de TSU consecutivos se denomina en la presente memoria episodio de causar baja de parámetro constante. Tal y como se mencionó con
35 anterioridad, este primer nivel de seguridad suplementario puede ser implementado almacenando, al menos de manera temporal, los valores de contador recibidos en una memoria de la computadora del UAV. Cuando un par valor de contador / de código de CS subsecuente es recibido, el valor de contador recibido con anterioridad es vuelto a recordar a partir de la memoria y comparado con el valor de contador recibido con posterioridad.
La Fig. 4 ilustra una forma de realización de un sistema 1A de causar baja el UAV para que los UAVs causen baja a distancia de acuerdo con la invención, en la cual el UAV 5 comprende un medio para añadir un segundo nivel de seguridad suplementario al sistema 1A para causar baja el UAV.
El sistema 1A de causar baja el UAV de la Fig. 4 difiere del ilustrado en la Fig. 1 en el sentido de que el UAV 5 comprende un dispositivo para causar baja el vehículo (VTD) 33 y en el que la función 19 de causar baja el UAV además del algoritmo 27B de causar baja y de la función 29 de verificación de código, incluye así mismo una función
45 35 de prueba de la función de causar baja (TF). El VTD 33 es una unidad autónoma, exterior a la computadora 15 del UAV que interconecta la computadora 15 del UAV y la TF 31. Son el VTD 33 y la función 35 de prueba de la TF los que conjuntamente proporcionan el segundo nivel de seguridad suplementario de un sistema 1A para causar baja del UAV.
La función 35 de prueba de la TF es ejecutada cada vez que la función 29 de verificación de código ha verificado que el par valor de contador / código de CS es válido, esto es que un código de CS y un código UV generado a partir del mismo valor de contador son iguales y, así mismo, que se produce un cambio en los valores de contador y / o de código en comparación con los valores de contador y de código recibidos / generados con anterioridad. Cuando se ejecuta la función 35 de prueba de la TF, está adaptada para generar dos señales de onda cuadrada síncronas que tienen la misma frecuencia pero desplazada para situarse en un ángulo de 180 grados fuera de fase 55 entre sí, y transmitir las dos ondas cuadradas al VTD 33 por medio de dos trayectorias 37A, 37B de señalización separadas e independientes. El VTD 33 está, a su vez, adaptado para comparar las ondas cuadradas recibidas y determinar si cumplen ciertas condiciones de prueba de la función de causar baja (TF). En esta forma de realización ejemplar, las condiciones de prueba de la TF son que las señales recibidas a lo largo de las dos trayectorias 37A, 37B de señalización serán dos ondas cuadradas recibidas de manera simultánea que tienen la misma frecuencia pero que están desplazadas de fase 180 grados en relación una y otra, anulándose de esta manera una con otra. Si las condiciones de prueba de la TF se cumplimentan, no se adoptan medidas adicionales por el VTD 33. Si las
condiciones de prueba de la TF no son cumplimentadas durante uno o en una pluralidad de ciclos de TSU consecutivos, el VTD 33 envía un comando de causar baja el UAV al TED 31. Que las condiciones de prueba de la TF no son cumplimentadas durante un clico de TSU indica que no se ha transmitido ninguna señal o se han transmitido señales erróneas desde la función 35 de función de prueba de la TF hacia el VTD 33 durante ese ciclo,
5 lo cual a su vez indica que o bien la función 19 de causar baja no recibió ningún par valor de contador / código de CS de la UCS 3 durante ese ciclo, o bien que la función 19 de causar baja funciona de manera incorrecta. Las señales válidas, señales que cumplimentan las condiciones de prueba de la TF, generadas por la función 35 de la TF y transmitidas desde la computadora 15 del UAV hacia el VTD 33, de cada ciclo del TSU sirven como “comando de no causar baja” lo que impide que el VTD 33 envíe comandos de causar baja al TD 31.
10 Una ventaja de la segunda capa de seguridad suplementaria suministrada por la función 35 de la prueba de la TF y por el VTD 33 es que el UAV 5 causa baja, así mismo, en el caso de un comportamiento erróneo de la computadora del UAV. Si la computadora 15 del UAV o al menos la función 19 de causar baja de la computadora del UAV comienza el funcionamiento incorrecto, el VTD 33 no recibirá las señales de prueba que cumplimentan la TF provocando que el UAV cause baja automáticamente. De esta manera, la segunda capa de seguridad suplementaria
15 asegura que no hay riesgo de que un operador del UAV finalice en una situación en la cual el causar baja manual del UAV 5 es imposible debido al funcionamiento incorrecto de la computadora del UAV.
Se debe entender que la generación de dos señales de onda cuadrada síncronas es meramente un ejemplo de un resultado apropiado de la ejecución de la función 35 de prueba de la TF. La función 35 de prueba de la TF puede, tras su ejecución, ser adaptada para generar cualquier señal o señales cuyas características o contenido de 20 información no sea trivial y verificable por el VTD 33. No “trivial” significa aquí que la(s) señal(es) debe(n) presentar características o acarrear información que sea suficientemente compleja como para que sea extremadamente improbable que un proceso aleatorio en la computadora 15 del UAV genere dicha señal o señales por casualidad. De esta forma, una señal que cumplimenta las condiciones de prueba de la TF, en la VTD 33 es realmente indicativa de que al menos la función 35 de prueba de la TF de la función 19 de causar baja ha sido satisfactoriamente
25 ejecutada por la computadora 15 del UAV.
Otra ventaja obtenida mediante la introducción del VTD 33 es que ningún componente del sistema 1A de causar baja del propio VTD 33 necesita ser clasificado en un nivel de criticalidad muy alto. Al desarrollar un software de equipamientos de sistemas aerotransportados es habitual practicar un estándar conocido como RTCA / DO -178B. El estándar requiere que los sistemas sean clasificados respecto de un nivel de criticalidad. El estándar requiere que 30 un sistema que pueda provocar o contribuir a un funcionamiento incorrecto de un cierto grado de seriedad debe ser desarrollado de acuerdo con determinadas reglas. El software se clasifica en cinco niveles, A a E, donde A se corresponde con el más crítico, y E el nivel menos crítico. El software debe ser desarrollado de acuerdo con la clase A si un error de software puede producir un aterrizaje violento con bajas, de acuerdo con la clase B si el error puede conducir a lesiones personales extensas o niveles de seguridad prácticamente reducidos, y los niveles ulteriores C, 35 D, E se corresponden con efectos menos severos de un error. El software clasificado como tipo A, B o C es costoso de desarrollar y no se autoriza en principio que quede integrado o ejecutado en una computadora comercial que utilice un software comercial disponible en almacén (software COTS), como por ejemplo los sistemas operativos Windows o Linux. Dado que el escenario de un UAV tratándose de sus áreas operativas permitidas (escenario de “escape UAV”) puede conducir a un aterrizaje violento con bajas y / o a lesiones personales extensas, todos los 40 componentes software dentro de una cadena de información que permiten que un UAV cause baja a distancia han tradicionalmente sido desarrollados para la clase A o la B. Otro estándar denominado RTCA / DO -254 requiere que unos circuitos electrónicos complejos sean clasificados en cuanto a su nivel de criticalidad de una manera similar. Lo mismo que el RTCA / DO -178B, el RTCA / DO -254 utiliza 5 niveles, A a E, donde A se corresponde con el nivel más crítico, y E con el nivel menos crítico. Como es el caso con componentes de software, los componentes de 45 circuito electrónico en sistemas de seguridad crítica, dichos sistemas para evitar escenarios de escape del UAV, han sido desarrollados tradicionalmente con los niveles de criticalidad más elevados, determinando con ello que dichos sistemas sean extremadamente costosos de desarrollar en cuanto hay una clara correspondencia entre un nivel de criticalidad de un circuito electrónico y su coste. La solución propuesta, sin embargo, solo requiere unos componentes de software y / o de circuito electrónico de VCD 33 que sean clasificados con los niveles de criticalidad
50 más elevados dado que es solo el funcionamiento incorrecto del VCD 33 lo que conduciría a una situación en la que el UAV 5 no puede causar baja. El diseño del sistema de causar baja propuesto hace posible, por tanto, que tanto la computadora 7 de la UCS como la computadora 15 del UAV sean computadoras tradicionales disponibles en almacén que ejecutan el software COTS reduciendo en gran medida el coste del sistema 1A de causar baja.
El VTD 33 puede ser implementado en hardware, software o cualquier combinación de estos. Por ejemplo el VTD 33
55 puede ser realizado como una matriz de puertas programable sobre el terreno (FPGA), un microprocesador que ejecute el software desarrollado de acuerdo con un nivel de criticalidad muy alto o mediante la utilización de sistemas electrónicos discretos.
La Fig. 5 muestra un diagrama de flujo que ilustra un procedimiento perfeccionado adicional de acuerdo con la invención para determinar si un UAV debe causar baja o no. El procedimiento ilustrado en la Fig. 5 difiere del
60 ilustrado en la Fig. 3 en el sentido de que dos etapas S6B y S6C suplementarias son añadidas después de la etapa S6A, etapas suplementarias que proporcionan el segundo nivel de seguridad implementado descrito con anterioridad.
Si en la etapa S6, la función 19 de causar baja el UAV establece que un código de CS recibido generado a partir de un valor de contador concreto es igual a un código UV generado a partir del mismo valor de contador, el procedimiento avanza, ya sea directamente o bien, de manera opcional, a través de la etapa S6A anteriormente descrita en las líneas anteriores con referencia a la Fig. 3, hasta la etapa S6B si el código de CS difiere del código
5 UV, un episodio de causar baja de código se ha producido tras lo cual el procedimiento avanza hasta la etapa S8.
En la etapa S6B, una función 35 de prueba de la TF de la computadora 15 del UAV genera una o varias señales las cuales son transmitidas hasta el VTD 33 del UAV, el cual, a su vez, analiza las señales recibidas para ver si cumplen una o varias de prueba de la TF no triviales predefinidas. De acuerdo con lo mencionado con anterioridad, un ejemplo de condiciones de prueba de la TF no triviales las cuales deben ser cumplimentadas por la función 35 de 10 prueba de la TF puede ser generar dos ondas cuadradas síncronas que tengan la misma frecuencia pero desplazada en 180 grados fuera de fase, y transmitir las dos ondas cuadradas hasta el UTV 33 por medio de dos trayectorias 37A, 37B de señalización separadas e independientes. Otro ejemplo de condiciones de prueba de la TF no triviales para la función 35 de prueba de la TF para cumplimentar podría ser generar una señal de ondas sinusoidal, una señal triangular y una señal cuadrada que tenga ciertas frecuencias y las transmita al VTD 33 a 15 través de una o varias trayectorias de señal. Si el VTD 33 puede establecer que las condiciones de prueba de la TF son cumplimentadas por la función 35 de prueba de la TF, el procedimiento termina en la etapa S7. Si las condiciones de prueba de la TF no se cumplimentan debido a un incorrecto funcionamiento del sistema de causar baja o por el causar baja del UAV iniciado por el operador, un episodio de causar baja se ha producido y el procedimiento avanza hasta la etapa S8. El tipo de procedimiento de causar baja que se produce cuando el VTD 33
20 no ha recibido la (s) señal (es) que cumplimenta(n) las condiciones de prueba de la TF durante un ciclo TSU se denomina en la presente memoria un episodio de causar baja de la prueba de la TF.
De acuerdo con el diagrama de flujo mostrado en la Fig. 2, la etapa S8 es una etapa que permite que el sistema 1A de causar baja sea ajustado a diversos grados de sensibilidad estableciendo una o varias condiciones de causar baja que deben ser satisfechas antes de permitir que el UAV 5 cause baja por sí mismo. Un ejemplo típico de dicha 25 condición puede ser que un episodio de causar baja o que el mismo episodio de causar baja se deba producir durante al menos un cierto número de ciclos de TSU consecutivos. De esta manera se evita que el UAV 5 cause baja debido a, por ejemplo, una interrupción temporal entre la comunicación entre la UCS 3 y el UAV 5, o una perturbación transitoria que interrumpa de forma temporal la comunicación entre la computadora 15 del UAV y el VTD 33, o entre el VTD 33 y el TED 31. Esta funcionalidad puede, en esta forma de realización, ser implementada 30 mediante la adaptación del VTD 33 para calcular el número de ciclos de TSU consecutivos en el cual se ha producido un episodio de causar baja de prueba de la TF (esto es, ciclos en los cuales el VTD no recibe señales que cumplimentan las condiciones de prueba de la TF procedentes de la computadora 15 del UAV), y para enviar un comando de causar baja al TED 31 cuando dicho número sobrepasa un valor de umbral determinado de antemano. Otra forma de implementar la misma funcionalidad es adaptar el VTD 33 para enviar un comando de causar baja
35 hacia el TED 31 cada vez que se produce un episodio de causar baja con la TF y para adaptar el TED 31 para contar el número de ciclos de TSU consecutivos los cuales ha recibido un comando de causar baja desde el VTD, y para que el UAV 5 cause baja cuando dicho número sobrepasa el valor de umbral.
Se debe destacar que en la forma de realización del sistema 1A de causar baja ilustrado en la Fig. 4, no se envía ningún comando de causar baja al TED 31 tras la detección de un episodio de causar baja de un parámetro 40 constante o de un código. Por el contrario, la aparición de cualquier episodio de causar baja del tipo indicado se traducirá en que no se ejecute la función 35 de prueba de la TF y, por tanto, no se genera ninguna señal que cumplimente las condiciones de prueba de la TF en el VTD 31. Esto es, cualquier suceso de un episodio de terminación de un parámetro constante o de código se traducirá en un episodio de causar baja de la prueba de la TF, lo que, a su vez, se puede traducir en la transmisión de un comando de causar baja hacia el TED 31 en el caso
45 de que se cumplimenten las condiciones de causar baja.
La Fig. 6 ilustra una forma de realización de un sistema 1B de causar baja del UAV para que los UAVs causen baja a distancia de acuerdo con la invención, en el que el UAV 5 comprende un medio para añadir un tercer nivel de seguridad suplementario al sistema 1B de causar baja el UAV.
El sistema 1B de causar baja el UAV de la Fig. 6 difiere del ilustrado en la Fig. 4 en el sentido de que la función 19
50 de causar baja de la computadora 15 del UAV, además del algoritmo 27B de causar baja, la función 29 de verificación de código y de la función 35 de prueba de la TF incluye, así mismo, una función 39 de evitación de la interrupción, una función 41 de control de la ejecución completa y una función 43 de integridad de los datos.
La función 39 de evitación de las interrupciones, la función 41 de control de la ejecución completa y la función 43 de integridad de los datos se describirán a continuación con referencia a la Fig. 7, la cual muestra un diagrama en
55 secuencia que ilustra la secuencia de las acciones llevadas a cabo en el UAV 5 cada ciclo de TSU.
Cuando la función 19 de causar baja en la computadora 15 del UAV recibe un par valor de contador / código de CS como parámetros de entrada procedentes de la UCS 3, se ejecuta la función 39 de evitación de las interrupciones. Esto se produce en la etapa S71. La función 39 de evitación de las interrupciones sirve para establecer el procesador 17 de la computadora 15 del UAV en un modo en el que ignora las llamadas entrantes, esto es las 60 solicitudes de interrupción, hasta que ha provocado que la función 19 de causar baja lleve a cabo todas las etapas
S72 a S79. De esta manera, se impide que el procesador interrumpa la función 19 de causar baja hasta que esté completamente ejecutada, evitando de esta manera que el UAV 5 cause baja de manera accidental debido a la interrupción del establecimiento de datos. Incluso es más importante que se impida que otros procesos de software interrumpa la función de causa de causar baja y, de esta manera, impidan potencialmente que el UAV 5 cause baja
5 si se solicita desde la UCS 3. Como el experto en la materia comprenderá, la función 39 de evitación de las interrupciones puede, por ejemplo, ser implementada como un código de programa que dé instrucciones a una máscara de interrupciones interna del procesador 17 o a un registro de enmascaramiento de interrupción (IMR) o de un controlador de interrupciones programable (PIC) o un controlador de interrupciones programable avanzado (APIC) para ignorar todas las solicitudes de interrupción entrantes, haciendo con ello que la ejecución de la función 19 de causar baja un modo de operación protegido.
En la etapa S72, la función 41 de control de la ejecución completa se conecta con una ejecución de función de causar baja registran que esa entrada dentro de la función 19 de causar baja ha sido efectuada a través del correcto punto de entrada de esta función. La secuencia, a continuación, avanza hasta la etapa S73.
Las etapas S73, S74, S75 y S76 se corresponden con las etapas S4, S5, S6, S6A de las Figs. 2, 3 y 5 y no
15 necesitan ser descritas de nuevo. Si no se ha producido ningún causar baja manual del UAV ni tampoco un funcionamiento erróneo del sistema, la función 29 de verificación de código de la función 19 de causar baja establecerá, en estas etapas, que el código UV generado a partir del valor de contador recibido iguala el código de CS recibido y, así mismo que hay un cambio del valor de código o de contador en comparación con los bucles anteriores, tras lo cual el proceso avanzará hasta la etapa S77.
En la etapa S77, la función 41 de control de ejecución completa vuelve al registro de ejecución para ver si hay un registro de ejecución que indique que se ha efectuado la entrada en la función 19 de causar baja a través del punto de entrada correcto, esto es, si la etapa S72 ha sido o no llevada a cabo. Si no se ha encontrado ningún registro diario que indique que esa entrada se ha efectuado en la función de causar baja a través del punto de entrada correcto, un episodio de causar baja del tipo denominado en la presente memoria episodio de causar baja de 25 entrada de la TF, y la secuencia continua a la etapa S82 (correspondiente a la etapa S8 en las figuras 2,3 y 5) si, por otra parte, un registro diario que indique que se ha encontrado que la entrada en la función de causar baja se ha llevado a cabo a través del punto de entrada correcto, la secuencia avanza hasta la etapa S78. El hecho de que se encuentre un registro en diario, indica que la función de causar baja ha sido adecuadamente ejecutada desde el principio y, por tanto, el par valor de contador / código de CS recibido desde la UCS 3 ha sido validada satisfactoriamente por la función 29 de verificación de código mediante las etapas S73 a S76. El que no se haya encontrado ningún registro en diario indica que la función 19 de causar baja no ha sido ejecutada desde el principio y que existe un riesgo de que parte o todas las etapas críticas anteriores a la etapa S77 no han sido llevadas a cabo.
En la etapa S78, la función 43 de integridad de los datos lleva a cabo una verificación de redundancia de las variables de los datos utilizadas por la función 19 de causar baja con el fin de establecer si los datos han sido 35 sometidos a una modificación inadvertida. Típicamente, la verificación de redundancia se lleva a cabo utilizando una suma de control la cual es una forma sobradamente conocida y simple de proteger la integridad de los datos. Cuando es implementada la función 43 de integridad de los datos como una función de suma de control, la suma de control de las variables de los datos utilizada por la función 19 de causar baja es, para cada ciclo de TSU, computada de acuerdo con el algoritmo de suma de control, y almacenada, al menos de manera temporal, en un almacenamiento de datos. Para cada ciclo de TSU, la función 43 de integridad de los datos compara la suma de control computada actualmente con la suma de control almacenada que fue computada durante el anterior ciclo de TSU para ver si los datos procesados actualmente han sido modificados de manera inadvertida por otro proceso en la computadora 15 del UAV. Si la verificación de redundancia es satisfactoria, lo que significa que la suma de control computada en el ciclo actual de TSU se corresponde con la suma de control computada en el ciclo de TSU anterior, 45 se supone que los datos no han sido mistificados y la secuencia avanza hasta la etapa S79. Si la verificación de redundancia no es satisfactoria, lo que significa que las sumas de control difieren entre sí, se ha producido un episodio de un tipo denominado en la presente memoria como episodio de causar baja por mistificación de datos, y la secuencia avanza hasta la etapa S82. Debe ser destacado que el tipo de verificación de la redundancia utilizado por la función 43 de integridad de los datos puede ser cualquier verificación de redundancia de los datos conocido en la técnica. Por ejemplo, puede ser una suma de control de Fletcher, una verificación de redundancia cíclica o un Adler -32, que son todos ejemplos de verificaciones de redundancia que están perfectamente indicadas para la detección de modificaciones accidentales de datos. Sin embargo, puede tratarse, así mismo de un tipo más avanzado de verificación de la redundancia, como por ejemplo una verificación de la redundancia que lee una función hash criptográfica, para obtener seguridad, así mismo, contra tentativas dolosas más sofisticadas para
55 utilizar los datos más utilizados de la función 19 de causar baja. Como alternativa, puede ser utilizada una función de corrección de errores, la cual permita que la función de causar baja restaure cualquier dato mistificado, en cuyo caso el causar baja del UAV se utiliza solo como último recurso si resulta que la restauración de los datos es imposible.
Las etapas S79 a S83 se corresponden con las etapas S6B, S6C, S7, S8 y S9 de las Figs. 2, 3 y 5 y no necesitan de nuevo ser descritas.
La interrupción de la función 39 de evitación, la función 41 de control de ejecución completa y la función 43 de integridad de los datos proporciona así un tercer nivel de seguridad suplementario al sistema 1B de causar baja del UAV lo cual asegura que la función 19 de causar baja no se interrumpe durante la ejecución, que la función 19 de causar baja siempre se ejecuta en su totalidad, y que la integridad de los datos utilizados por la función 19 de causar baja está protegida de una mistificación no detectada. Una señal generada por la función de prueba de la TF en la etapa 79 y detectada para cumplimentar las condiciones de prueba de la TF en la etapa S80 es, por tanto, realmente
5 indicativa de que la entera función 19 de causar baja ha sido completa y satisfactoriamente ejecutada por la computadora 15 del UAV. La función 39 de evitación de las interrupciones, la función 41 de control de ejecución completa y la función 43 de integridad de los datos sirven para conseguir que la función 19 de causar baja sea un módulo de software fácilmente realizable y dividido con seguridad, ahorrando de esta manera un coste en comparación con la realización de la función 19 de causar baja en un software y un hardware de seguridad crítica.
10 Aunque la función 39 de evitación de las interrupciones, la función 41 de control de ejecución completa y la función 43 de integridad de los datos han sido descritas como un grupo de funciones que proporcionan la funcionalidad designada en la presente memoria como el tercer nivel de seguridad suplementario, se debe entender que las diferentes funciones 39, 41, 43 pueden ser utilizadas por separado o en cualquier combinación con el fin de incrementar la seguridad de los sistemas 1, 1A de causar baja ilustrados en las Figs. 1 y 4.
15 Así mismo, se debe destacar que la funcionalidad que incorporan los primero, segundo y tercer niveles de seguridad suplementarios descritos con anterioridad pueden ser combinados de cualquier manera. Por ejemplo, las formas de realización ilustradas en la Fig. 1 y en la Fig. 6 pueden ser combinadas de tal manera que un sistema de causar baja del UAV de acuerdo con la presente invención comprenda una función 19 de causar baja la cual incluya una función 39 de evitación de interrupción y una función 43 de integridad de los datos, pero no la función 35 o de prueba de la
20 TF o el VTD 33.

Claims (11)

  1. REIVINDICACIONES
    1.-Un sistema (1; 1A; 1B) de causar baja a distancia de un vehículo (5) no tripulado conectado de manera comunicativa con una estación (3) de control de un vehículo no tripulado a través de una interfaz (9) aérea, dicho sistema de causar baja comprende una porción de estación de control situada en dicha estación (3) de control y una
    5 porción de vehículo situada en dicho vehículo (5) no tripulado, comprendiendo la porción de la estación (3) de control del sistema de causar baja:
    -
    una computadora (7) de la estación de control que comprende un medio (23) adaptado para generar, sobre una base cíclica unos valores de contador diferentes;
    -
    un dispositivo (11) de causar baja adaptado para generar, en cada ciclo, un código de estación de control 10 [código de CS ] utilizando un valor de control por medio de un algoritmo (27A) de causar baja;
    -
    un medio de transmisión adaptado para transmitir, en cada ciclo, el valor de contador y el código de CS generado desde ese valor de contador hasta el vehículo (5) no tripulado bajo la forma de un par valor de contador / código de CS , por medio de dicha interfaz (9) aérea; y
    -
    un accionador (13) de causar baja el cual, cuando es accionado, está adaptado para impedir que los pares 15 de valor de contador / código de CS en los cuales el código de CS ha sido generado a partir del valor de contador sean transmitidos hasta el vehículo (5) no tripulado,
    mientras que la porción de vehículo del sistema de causar baja comprende:
    -
    un medio de recepción adaptado para recibir el par valor de contador / código de CS transmitido desde la etapa (3) de control en cada ciclo; y
    20 -una computadora (15) del vehículo no tripulado conectada a dicho medio de recepción y adaptada para:
    generar un código del vehículo no tripulado [código de UV] mediante la ejecución del valor de contador en el par valor de contador / código de CS por medio de un algoritmo (27B) de causar baja correspondiente al algoritmo (27A) utilizado para generar el código de CS en la estación (3) de control, y
    25 comparar el código de CS existente en el par valor de contador / código de CS recibido con dicho código de UV generado para establecer que son diferentes entre sí, en cuyo caso se ha producido un episodio de causar baja del tipo de episodio de causar baja de código, y
    -
    un medio (15; 15, 33) de decisión de causar baja para que cause baja el vehículo (5) no tripulado en base a la aparición de cualquier episodio de causar baja, en el que el medio de decisión de causar baja 30 está, así mismo, adaptado para que cause baja el vehículo no tripulado si ningún par valor de contador / código de CS ha sido recibido por el medio de recepción en uno o en una pluralidad de ciclos.
  2. 2.-Un sistema (1; 1A; 1B) de causar baja de acuerdo con la reivindicación 1, en el que el dispositivo (11) de causar baja es una unidad autónoma conectada exteriormente con la computadora (7) de la estación de control, estando dicho dispositivo de causar baja adaptado para recibir los valores de contador procedentes de la computadora de la 35 estación de control, ejecutarlos por medio de algoritmo (27A) de causar baja, y devolver un código de CS para cada valor de contador a la computadora de la estación de control, estando dicho accionador (13) de causar baja adaptado para, cuando es accionado, desconectar el dispositivo (11) de causar baja de la computadora (7) de la estación de control, de tal manera que los valores de contador no pueden ser recibidos por el dispositivo (11) de causar baja y / o los códigos de CS no puedan ser devueltos a la computadora (7) de la estación de control del
    40 dispositivo (11) de causar baja, impidiendo con ello que los pares valor de contador / código de CS los cuales el código de CS ha sido generado a partir del valor de contador sean transmitidos al vehículo (5) no tripulado.
  3. 3.-Un sistema (1; 1A; 1B) de causar baja de acuerdo con las reivindicaciones 1 o 2, en el que la computadora (15) del vehículo no tripulado está así mismo adaptada para, en cada ciclo:
    almacenar, al menos de manera temporal, cualquiera de los parámetros entre el parámetro de valor de 45 contador, el parámetro de código de CS, o el parámetro de código de CS, o el parámetro de código de UV; y
    comparar cualquiera de dichos parámetros con al menos un parámetro del mismo tipo, almacenado durante al menos un ciclo anterior, para ver si el parámetro permanece sin modificar entre los ciclos, en cuyo caso se ha producido un episodio de causar baja del episodio de causar baja del parámetro constante.
    50 4.-Un sistema (1; 1A; 1B) de causar baja de acuerdo con cualquiera de las reivindicaciones precedentes, en el que la porción de vehículo del sistema para causar baja comprende así mismo un dispositivo para causar baja del [VTD]
    (33) que está exteriormente conectado con la computadora (15) del vehículo no tripulado, estando así mismo dicha computadora (15) del vehículo no tripulado adaptada para, en cada ciclo en el cual se ha producido el episodio de causar baja:
    generar un comando de no causar baja bajo la forma de una o varias señales que presenten unas características predeterminadas o que incorporen un contenido de información predeterminado, 5 características o contenido de información que sean complejos con el fin de conseguir que sea improbable que un proceso aleatorio en la computadora (15) del UAV genere dicha señal o señales por casualidad, y
    transmitir dicha(s) señal(es) hacia dicho UVT (33),
    estando, a su vez, el VTD (33) adaptado para, en cada ciclo:
    establecer si ha recibido o no la(s) señal(es) procedente(s) de la computadora (15) del vehículo no tripulado
    10 que presente dichas características predeterminadas o incorpore dicho contenido de información predeterminado, en cuyo caso se ha producido un episodio de causar baja del tipo del episodio de causar baja de la prueba de la TF.
  4. 5.-Un sistema (1; 1A; 1B) de causar baja de acuerdo con cualquiera de las reivindicaciones precedentes, en el que la secuencia de cualquiera de las acciones a realizar por la computadora (15) del vehículo no tripulado se lleva a
    15 cabo mediante la ejecución de una función (19) de causar baja, incluyendo dicha función (19) de causar baja:
    una función (39) de evitación de las interrupciones, adaptada para establecer la responsabilidad del procesador (17) de la computadora para la ejecución de la función (19) de causar baja en un modo en el que ignora las solicitudes de interrupción entrantes procedentes de otro software / hardware mientras se ejecuta la función (19) de causar baja;
    20 una función (41) de control de ejecución completa adaptada para detectar si la entrada en la función (19) de causar baja no ha sido llevada a cabo a través del punto de entrada correcto, en cuyo caso se ha producido un episodio de causar baja del tipo del episodio de causar baja de entrada de la TF, y
    una función (43) de integridad de los datos adaptada para detectar si los datos procesados por la función
    (19) de causar baja ha sido modificada de manera inadvertida por cualquier otro proceso en la computadora
    25 (15) del UAV, en cuyo caso un episodio de causar baja del tipo del episodio de causar baja de mistificación de los datos se ha producido.
  5. 6.-Un sistema (1; 1A; 1B) de causar baja de acuerdo con cualquiera de las reivindicaciones precedentes, en el que dicho medio (15; 15, 33) de decisión de causar baja está adaptado para determinar el número de ciclos consecutivos en los cuales cualquier tipo de episodio de causar baja se ha producido y, si dicho número excede un valor de
    30 umbral predeterminado, dar instrucciones a un dispositivo [TED] (31) de ejecución de causar baja del vehículo (5) no tripulado para que el vehículo cause baja, por ejemplo, apagando el encendido del vehículo (5) o deteniendo el suministro de combustible hacia el motor del vehículo.
  6. 7.-Una estación (3) de control de un vehículo no tripulado a partir de la cual se puede causar baja a distancia de un vehículo (5) no tripulado conectado de manera comunicativa con dicha estación (3) de control a través de una
    35 interfaz (9) aérea, comprendiendo dicha estación (3) de control:
    -
    una computadora (7) de la estación de control que comprende un medio (23) adaptado para generar, de forma cíclica, diferentes valores de contador;
    -
    un dispositivo (11) de causar baja adaptado para generar, en cada ciclo, un código de estación de control [código de CS] mediante la ejecución de un valor de contador por medio de un algoritmo (27A) de causar
    40 baja;
    -
    un medio de transmisión adaptado para transmitir, en cada ciclo, el valor de contador y el código de CS generado desde ese valor de contador hasta el vehículo (5) no tripulado bajo la forma de un par valor de contador / código de CS, por medio de dicha interfaz (9) aérea, y
    -
    un accionador (13) de causar baja el cual, cuando es accionado, está adaptado para impedir que los pares
    45 valor de contador / código de CS en los cuales el código de CS ha sido generado a partir del valor de contador sean transmitidos hasta el vehículo (5) no tripulado,
    en la que el vehículo no tripulado está adaptado para causar baja de forma autónoma si ningún par valor de contador / código de CS válido es recibido en uno o en una pluralidad de ciclos consecutivos, y la transmisión cíclica de los pares valor de contador / código de CS por la estación (3) de control sirve como
    50 transmisión de comandos de no causar baja hacia el vehículo no tripulado, dando instrucciones al vehículo no tripulado para que cause baja por sí mismo.
  7. 8.-Un vehículo (5) no tripulado conectado de manera comunicativa con una estación (3) de control del vehículo no tripulado por medio de una interfaz (9) aérea a partir de la cual se puede causar baja a distancia del vehículo, comprendiendo dicho vehículo (5) no tripulado:
    -
    un medio de recepción adaptado para recibir unos valores de contador y unos códigos de estación de
    5 control [códigos CS] transmitidos de manera cíclica bajo la forma de pares valor de contador / código de CS a partir de dicha estación (3) de control, siendo el código de CS de cada par generado mediante la ejecución del valor de contador en ese par a través de un algoritmo (27A) de causar baja; y
    -
    una computadora (15) de un vehículo no tripulado conectada a dicho medio de recepción y conectada para, en cada ciclo:
    10 generar un código de vehículo no tripulado [código de UV] mediante la ejecución del valor de contador por medio de un algoritmo (27B) de causar baja correspondiente al algoritmo (27A) de causar baja a través del cual el valor de contador fue ejecutado para generar el código de CS ;
    comparar dicho código de CS con dicho código de UV generado para establecer si difieren entre sí, en cuyo caso se ha producido un episodio de causar baja del tipo de episodio de causar baja de
    15 código, y
    -
    un medio (15; 15, 33) de decisión de causar baja para decidir si causar la baja o no del vehículo (5) no tripulado en base a la aparición de cualquier episodio de causar baja, en el que el medio de decisión de causar baja está así mismo adaptado para causar la baja del vehículo no tripulado si ningún par valor de contador / código de CS ha sido recibido por el medio de recepción en uno o en una pluralidad de ciclos
    20 consecutivos.
  8. 9.-Un procedimiento de causar baja a distancia de un vehículo (5) no tripulado que está conectado de manera comunicativa con una estación (3) de control de vehículo por medio de una interfaz (9) aérea, incluyendo el procedimiento la generación de un código y de unos valores de contador dependientes entre sí mediante la realización, de forma cíclica, de las siguientes etapas en la estación de control:
    25 -la generación (S1) de un valor de contador;
    -
    la generación (S2) de un código de estación de control [código de CS] mediante la ejecución de dicho valor de contador por medio de un algoritmo (27A) de causar baja; y
    -
    la transmisión (S3), a través de la interfaz (9) aérea, de dicho valor de contador y de dicho código de CS hasta el vehículo (5) no tripulado;
    30 y la realización, en cada ciclo, de las siguientes etapas, en el vehículo (5) no tripulado:
    -
    la recepción de dicho valor de contador y de dicho código de CS;
    -
    la generación (S4; S73) de un código de vehículo no tripulado [código de UV] mediante la ejecución de dicho valor de contador recibido por medio de un algoritmo (27B) de causar baja correspondiente del algoritmo (27A) de causar baja utilizado para generar el código de CS en la estación de control;
    35 -la comparación (S5; S74) de dicho código de CS recibido con dicho código de UV generado para establecer (S6; S75) si difieren entre sí, en cuyo caso, se ha producido un episodio de causar baja del tipo de causar baja de código;
    -
    la decisión (S7 -S9; S81 -S83) acerca de si causar baja o no al vehículo (5) no tripulado en base a la aparición de cualquier episodio de causar baja,
    40 y comprendiendo, así mismo, la etapa de causar baja el vehículo no tripulado si no se ha recibido ningún par valor de contador / código de CS en el vehículo (5) no tripulado en uno o una pluralidad de ciclos consecutivos.
  9. 10.-Un procedimiento de acuerdo con la reivindicación 9, en el que el procedimiento incluye así mismo la realización, para cada ciclo de las siguientes etapas en el vehículo (5) no tripulado:
    -
    el almacenamiento, al menos de manera temporal, de cualquier parámetro entre el parámetro de valor de 45 contador, el parámetro de código de CS o el parámetro de código UV;
    -
    la comparación de cualquiera de dichos parámetros con al menos un parámetro del mismo tipo, almacenado durante al menos un ciclo previo, para establecer (S6A; S76) si no difieren entre sí, en cuyo caso, se ha producido un episodio del tipo del episodio de causar baja de un parámetro constante.
  10. 11.-Un procedimiento de acuerdo con las reivindicaciones 9 o 10, en el que todas las etapas llevadas a cabo en el 50 vehículo (5) no tripulado con excepción de la etapa de decisión se llevan a cabo en una computadora (15) del vehículo no tripulado, y en el que el procedimiento incluye así mismo, la realización, para cada ciclo en el que se ha producido el episodio de no causar baja, la etapa siguiente en dicha computadora (15):
    -
    la generación (S6B; S79) de un comando de no causar baja bajo la forma de una o varias señales que presentan unas características predeterminadas, características o contenido de información que son 5 complejas con el fin de hacer improbable que un proceso aleatorio en la computadora (15) del UAV genere dicha señal o señales por casualidad;
    -
    la transmisión de dicha(s) señal(es) a un dispositivo de causar baja de un vehículo [VTD] (33) conectado exteriormente a la computadora (15) del vehículo no tripulado,
    el procedimiento incluye así mismo, la realización, para cada ciclo, de la siguiente etapa en dicho VTD (33);
    10 -el establecimiento (S6C; S80) de si dicho VTD (33) no ha recibido la(s) señal(es) procedentes de la computadora (15) del vehículo no tripulado que presenta dichas características predeterminadas o que incorpora dicho contenido de información predeterminado, en cuyo caso se ha producido un episodio de causar baja del tipo de episodio de causar baja de prueba de la TF.
  11. 12.-Un procedimiento de acuerdo con cualquiera de las reivindicaciones 9 a 11, en el que el procedimiento incluye 15 la etapa de:
    -
    si es accionado un accionador (13) de causar baja activado de manera manual en la estación (3) de control, la evitación de que los pares valor de contador / código de CS los cuales el código de CS ha sido generado a partir del valor de contador sean transmitidos hasta el vehículo (5) no tripulado, ocasionando con ello de manera intencionada que se produzcan uno o varios episodios de causar baja.
    20 13.-Un procedimiento de acuerdo con cualquiera de las reivindicaciones 9 a 12, en el que la etapa de decidir (S8; S82) si causar baja o no el vehículo (5) no tripulado en base a la aparición de cualquier episodio de causar baja implica las etapas de:
    -
    la determinación del número de ciclos consecutivos en los cuales se ha producido cualquier episodio de causar baja; y
    25 -la decisión de causar baja (S9; S83) del vehículo (5) no tripulado si dicho número excede un valor de umbral predeterminado.
ES08162084T 2008-08-08 2008-08-08 Sistema de causar baja de forma segura un UAV Active ES2416707T3 (es)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
EP08162084.1A EP2151729B1 (en) 2008-08-08 2008-08-08 Safe termination of UAV

Publications (1)

Publication Number Publication Date
ES2416707T3 true ES2416707T3 (es) 2013-08-02

Family

ID=40219264

Family Applications (1)

Application Number Title Priority Date Filing Date
ES08162084T Active ES2416707T3 (es) 2008-08-08 2008-08-08 Sistema de causar baja de forma segura un UAV

Country Status (5)

Country Link
US (1) US8755950B2 (es)
EP (1) EP2151729B1 (es)
BR (1) BRPI0917483B1 (es)
ES (1) ES2416707T3 (es)
WO (1) WO2010016796A1 (es)

Families Citing this family (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1942054B1 (en) * 2007-01-08 2013-05-29 Saab Ab A method, an electrical system, a digital control module, and an actuator control module in a vehicle
GB201110820D0 (en) * 2011-06-24 2012-05-23 Bae Systems Plc Apparatus for use on unmanned vehicles
EP2778598A1 (en) * 2013-03-14 2014-09-17 BAE Systems PLC Apparatus for use on unmanned vehicles
US9948614B1 (en) * 2013-05-23 2018-04-17 Rockwell Collins, Inc. Remote device initialization using asymmetric cryptography
US9676472B2 (en) * 2013-08-30 2017-06-13 Insitu, Inc. Systems and methods for configurable user interfaces
EP3060479A4 (en) * 2013-10-21 2017-05-17 Kespry Inc. System and methods for execution of recovery actions on an unmanned aerial vehicle
JP6133506B2 (ja) 2014-04-17 2017-05-24 エスゼット ディージェイアイ テクノロジー カンパニー リミテッドSz Dji Technology Co.,Ltd 飛行制限区域に対する飛行制御
US9524648B1 (en) * 2014-11-17 2016-12-20 Amazon Technologies, Inc. Countermeasures for threats to an uncrewed autonomous vehicle
WO2016083870A1 (en) * 2014-11-26 2016-06-02 Husqvarna Ab Remote interaction with a robotic vehicle
WO2016154943A1 (en) 2015-03-31 2016-10-06 SZ DJI Technology Co., Ltd. Systems and methods for geo-fencing device communications
EP4198672A1 (en) 2015-03-31 2023-06-21 SZ DJI Technology Co., Ltd. Open platform for restricted region
CN107409051B (zh) 2015-03-31 2021-02-26 深圳市大疆创新科技有限公司 用于生成飞行管制的认证系统和方法
CN104991563B (zh) * 2015-05-12 2023-10-03 零度智控(北京)智能科技有限公司 一种无人机分级操作的方法及系统
US10291764B2 (en) 2016-06-27 2019-05-14 At&T Intellectual Property I, L.P. Method and system to dynamically and intelligently enable access to UAVs in any location
CN108513560B (zh) * 2016-12-23 2019-07-05 瑞典爱立信有限公司 管制空域中的无人飞行载具
US10560844B2 (en) * 2017-03-15 2020-02-11 International Business Machines Corporation Authentication of users for securing remote controlled devices
US11237552B2 (en) 2017-10-26 2022-02-01 9013733 Canada Inc. Flight termination system for unmanned aircraft systems
CN112512037B (zh) * 2020-12-01 2023-12-15 华侨大学 一种联合轨迹和干扰功率优化的无人机主动窃听方法
FR3134062A1 (fr) * 2022-03-31 2023-10-06 Transdev Group Innovation Dispositif de génération d’un signal de limitation de mouvement d’un véhicule automobile autonome, système de contrôle, ensemble et procédé associés

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
ATE136975T1 (de) 1990-05-29 1996-05-15 Microchip Tech Inc Integrierte schaltungen, insbesondere zum gebrauch in fernsteuersystemen
US6232884B1 (en) * 1997-01-02 2001-05-15 Charles H. Gabbard Remotely operable vehicle disabling system
DE19849857C2 (de) * 1998-10-29 2003-08-21 Eads Deutschland Gmbh Fernlenkverfahren für ein unbemanntes Luftfahrzeug
JP3672244B2 (ja) * 2001-05-01 2005-07-20 インターナショナル・ビジネス・マシーンズ・コーポレーション 制御方法、受信システム、制御システムおよびプログラム
US7050947B2 (en) * 2002-01-04 2006-05-23 Siemens Vdo Automotive Corporation Remote control communication including secure synchronization
EP1339189A3 (en) 2002-02-21 2004-08-11 Matsushita Electric Industrial Co., Ltd. Method for authentication between apparatus using challenge and response system
SE0300871D0 (sv) * 2003-03-27 2003-03-27 Saab Ab Waypoint navigation
JP2009538255A (ja) * 2006-05-22 2009-11-05 コンティネンタル オートモーティブ システムズ ユーエス, インコーポレイティッド 設定されたグループからのいずれかのトランスミッタを用いた、複数の車両の操作方法
FR2912022B1 (fr) * 2007-01-31 2009-04-10 Sagem Defense Securite Procede et systeme pour l'autorisation securisee de l'activation d'une fonction critique sur un drone
IL183024A0 (en) 2007-05-06 2008-03-20 Gita Technologies Ltd Safe self-destruction of data

Also Published As

Publication number Publication date
US20110202203A1 (en) 2011-08-18
BRPI0917483B1 (pt) 2021-06-08
WO2010016796A1 (en) 2010-02-11
EP2151729B1 (en) 2013-05-01
US8755950B2 (en) 2014-06-17
EP2151729A1 (en) 2010-02-10
BRPI0917483A2 (pt) 2015-12-01

Similar Documents

Publication Publication Date Title
ES2416707T3 (es) Sistema de causar baja de forma segura un UAV
US9854442B2 (en) Electronic control unit network security
US20200186988A1 (en) Alert device system and method
US20170063996A1 (en) Security monitor for a vehicle
MX2016004627A (es) Metodo y dispositivo para controlar un vehiculo aereo no tripulado.
US10721241B2 (en) Method for protecting a vehicle network against manipulated data transmission
US9767664B2 (en) Fire and gas detection system having bidirectional communication function to be installed in dangerous region
US20130178151A1 (en) Safe mobile cellular phone primarily for children
WO2020005722A1 (en) Security architecture for a real-time remote vehicle monitoring system
WO2019078137A1 (ja) 車載通信装置、車載通信システム及び車載通信方法
US11237552B2 (en) Flight termination system for unmanned aircraft systems
CN102929275B (zh) 汽车控制器的安全监控方法及系统
US20080034248A1 (en) Method And Device For A Safety-Orientated Wireless Signal Transmission
CN106778370B (zh) 一种能够自主移动的设备的自毁方法及设备
US10496089B2 (en) Aircraft control device and remote control aircraft
KR20160053541A (ko) 단말 및 그것의 긴급 호 전송 방법, 긴급 호 관리 시스템
US11679894B1 (en) System and method for enabling the emergency remote override of a hijacked operation of a vehicle, a device or a facility
RU2673692C1 (ru) Система для дистанционно управляемых систем
ES2372301T3 (es) Transmisión segura utilizando equipo de seguridad no aprobada.
CN104462958A (zh) 一种终端的系统间切换方法及装置
EP3764261A1 (en) Embedded threat detector
US11164458B2 (en) Device for monitoring an occupancy status of a parking space of a parking area, and a system and a parking area that include such a device
CN110933058A (zh) 物联网系统及其安全控制方法
CN105607966A (zh) 一种用于SiP芯片上电程序加载冗余备份方法
WO2022238765A1 (en) Disruption to an operation of an unmanned aerial vehicle