FR3110754A1 - Procédé de certification, programme d'ordinateur et système de certification associé - Google Patents

Procédé de certification, programme d'ordinateur et système de certification associé Download PDF

Info

Publication number
FR3110754A1
FR3110754A1 FR2005238A FR2005238A FR3110754A1 FR 3110754 A1 FR3110754 A1 FR 3110754A1 FR 2005238 A FR2005238 A FR 2005238A FR 2005238 A FR2005238 A FR 2005238A FR 3110754 A1 FR3110754 A1 FR 3110754A1
Authority
FR
France
Prior art keywords
trajectory
certification
signal
certified
aircraft
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
FR2005238A
Other languages
English (en)
Other versions
FR3110754B1 (fr
Inventor
Gilles BLANC
Ronan DEMONENT
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Thales SA
Original Assignee
Thales SA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Thales SA filed Critical Thales SA
Priority to FR2005238A priority Critical patent/FR3110754B1/fr
Publication of FR3110754A1 publication Critical patent/FR3110754A1/fr
Application granted granted Critical
Publication of FR3110754B1 publication Critical patent/FR3110754B1/fr
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G08SIGNALLING
    • G08GTRAFFIC CONTROL SYSTEMS
    • G08G5/00Traffic control systems for aircraft, e.g. air-traffic control [ATC]
    • G08G5/003Flight plan management
    • G08G5/0034Assembly of a flight plan
    • GPHYSICS
    • G08SIGNALLING
    • G08GTRAFFIC CONTROL SYSTEMS
    • G08G5/00Traffic control systems for aircraft, e.g. air-traffic control [ATC]
    • G08G5/0004Transmission of traffic-related information to or from an aircraft
    • G08G5/0013Transmission of traffic-related information to or from an aircraft with a ground station
    • GPHYSICS
    • G08SIGNALLING
    • G08GTRAFFIC CONTROL SYSTEMS
    • G08G5/00Traffic control systems for aircraft, e.g. air-traffic control [ATC]
    • G08G5/0017Arrangements for implementing traffic-related aircraft activities, e.g. arrangements for generating, displaying, acquiring or managing traffic information
    • G08G5/0026Arrangements for implementing traffic-related aircraft activities, e.g. arrangements for generating, displaying, acquiring or managing traffic information located on the ground
    • GPHYSICS
    • G08SIGNALLING
    • G08GTRAFFIC CONTROL SYSTEMS
    • G08G5/00Traffic control systems for aircraft, e.g. air-traffic control [ATC]
    • G08G5/0047Navigation or guidance aids for a single aircraft
    • G08G5/0069Navigation or guidance aids for a single aircraft specially adapted for an unmanned aircraft
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/10Integrity
    • H04W12/106Packet or message integrity

Landscapes

  • Engineering & Computer Science (AREA)
  • Aviation & Aerospace Engineering (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Radar, Positioning & Navigation (AREA)
  • Remote Sensing (AREA)
  • Traffic Control Systems (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

Procédé de certification, programme d’ordinateur et système de certification associés Procédé de certification (100) d’une trajectoire planifiée d’un aéronef, le procédé étant mis en œuvre par un système de certification distant de l’aéronef, et comprenant une étape de : - réception (110) de la trajectoire planifiée ; - certification (120) de la trajectoire planifiée selon au moins une règle de certification, pour obtenir une trajectoire certifiée ; - détermination (130) d’une information de certification relative à la certification de la trajectoire planifiée, l’information de certification comprenant au moins une donnée de sécurisation déterminée par une technique de contrôle de redondance cyclique de la trajectoire certifiée ; - émission vers l’aéronef d’un premier signal comprenant l’information de certification, et d’un deuxième signal comprenant la trajectoire certifiée, l’intégrité de la trajectoire certifiée comprise dans le deuxième signal étant vérifiable en utilisant la donnée de sécurisation comprise dans l’information de certification du premier signal. Figure pour l'abrégé : 2

Description

Procédé de certification, programme d’ordinateur et système de certification associés
La présente invention concerne un procédé de certification d’une trajectoire planifiée d’un aéronef.
La présente invention concerne également un programme d’ordinateur et un système de certification associés.
L’invention concerne le domaine des aéronefs autonomes comme par exemple les drones. Ces aéronefs sont par exemple configurés pour suivre une trajectoire en l’absence d’une intervention humaine.
Pour obtenir le droit de voler dans certains espaces aériens, une certification de la trajectoire suivie par l’aéronef est requise.
Des aéronefs comprennent par exemple des systèmes embarqués qui sont certifiés pour le contrôle et l’adaptation de façon tactique de la trajectoire à suivre par l’aéronef. De tels systèmes sont par exemple configurés pour éviter des obstacles par modification de la trajectoire pendant le vol. La trajectoire est ainsi certifiée à bord par de tels systèmes embarqués.
Cependant, de tels systèmes embarqués à bord sont complexes et peu flexibles car ils sont généralement embarqués de manière permanente dans l’aéronef et contraints par exemple par la place disponible, le poids des équipements et leur performance.
Un but de la présente invention est ainsi d’obtenir un procédé de certification de la trajectoire plus flexible, tout en garantissant l’obtention de la trajectoire certifiée conforme.
À cet effet, l’invention a pour objet un procédé de certification d’une trajectoire planifiée d’un aéronef, le procédé étant mis en œuvre par un système de certification distant de l’aéronef, et comprenant une étape de :
- réception de la trajectoire planifiée ;
- certification de la trajectoire planifiée selon au moins une règle de certification, pour obtenir une trajectoire certifiée ;
- détermination d’une information de certification relative à la certification de la trajectoire planifiée, l’information de certification comprenant au moins une donnée de sécurisation déterminée par une technique de contrôle de redondance cyclique de la trajectoire certifiée ;
- émission vers l’aéronef d’un premier signal comprenant l’information de certification, et d’un deuxième signal comprenant la trajectoire certifiée, l’intégrité de la trajectoire certifiée comprise dans le deuxième signal étant vérifiable en utilisant la donnée de sécurisation comprise dans l’information de certification du premier signal.
Le procédé de certification permet d’obtenir une certification de la trajectoire plus flexible, car le système de certification distant de l’aéronef est facilement adaptable. La technique de contrôle de redondance cyclique de la trajectoire certifiée permet de garantir que la trajectoire certifiée reçue par l’aéronef est effectivement la trajectoire certifiée conforme par le système de certification.
Suivant d’autres aspects avantageux de l’invention, le procédé de certification comprend une ou plusieurs des caractéristiques suivantes, prise(s) isolément ou suivant toutes les combinaisons techniquement possibles :
- lors de l’étape de l’émission, le premier signal et/ou le deuxième signal est (sont) transmis par au moins une liaison cryptée, comprenant de préférence un chiffrement asymétrique.
- une clef privée est enregistrée dans le système de certification pour crypter le premier signal et/ou le deuxième signal, le premier signal et/ou deuxième signal étant décryptable par une clef publique enregistrée à bord de l’aéronef.
- la trajectoire certifiée comprend une pluralité de blocs de données, et lors de l’étape de détermination de l’information de certification, la donnée de sécurisation est déterminée par détermination, pour chaque bloc de données, d’une valeur de test en fonction de ce bloc de données, la donnée de sécurisation étant une fonction des valeurs de test.
- les valeurs de test sont des valeurs déterministes.
- le procédé comprend en outre une étape de détection d’erreur, lors de laquelle le système de certification reçoit un troisième signal comprenant un message d’erreur, le troisième signal étant émis par l’aéronef lorsque la trajectoire certifiée comprise dans le deuxième signal diffère de la trajectoire certifiée conforment à l’information de certification.
- les étapes de certification, de détermination et d’émission sont mises en œuvre de nouveau suite à l’étape de détection d’erreur.
- le procédé comprend en outre une étape de sélection d’un ou plusieurs modules de traitement, dits modules actifs, à utiliser pour certifier la trajectoire planifiée, parmi une pluralité de modules de traitement, chaque module de traitement étant configuré pour certifier une trajectoire donnée selon au moins une règle de certification spécifique à ce module de traitement, l’étape de certification étant mise en œuvre par le ou les modules actifs.
L’invention a également pour objet un programme d’ordinateur comprenant des instructions logicielles qui, lorsqu'elles sont exécutées par un processeur, mettent en œuvre un procédé tel que décrit ci-dessus.
L’invention a en outre pour objet un système de certification d’une trajectoire planifiée d’un aéronef, comprenant :
- un dispositif de réception configuré pour recevoir la trajectoire planifiée ;
- un dispositif de traitement configuré pour certifier la trajectoire planifiée selon au moins une règle de certification, pour obtenir une trajectoire certifiée, et configuré pour déterminer une information de certification relative à la certification de la trajectoire planifiée, l’information de certification comprenant au moins une donnée de sécurisation déterminée par une technique de contrôle de redondance cyclique de la trajectoire certifiée ;
- un dispositif d’émission configuré pour émettre vers l’aéronef un premier signal comprenant l’information de certification, et un deuxième signal comprenant la trajectoire certifiée, l’intégrité de la trajectoire certifiée comprise dans le deuxième signal étant vérifiable en utilisant la donnée de sécurisation comprise dans l’information de certification du premier signal.
Ces caractéristiques et avantages de l’invention apparaitront à la lecture de la description qui va suivre, donnée uniquement à titre d’exemple non limitatif, et faite en référence aux dessins annexés, sur lesquels :
- la figure 1 est une vue schématique d’un aéronef et d’une installation de certification comprenant un système de certification selon l’invention, et
- la figure 2 est un organigramme d’un procédé de certification mis en œuvre par le système de certification de la figure 1.
Sur la figure 1, un aéronef 2 et une installation de certification 4 pour la certification d’une trajectoire planifiée de l’aéronef 2 sont représentés.
L’aéronef 2 est par exemple un aéronef autonome, configuré pour suivre une trajectoire en l’absence d’une intervention humaine.
L’aéronef 2 est par exemple non-habité, c’est-à-dire aucun passager ou pilote n’est susceptible d’être à bord. Cela est notamment le cas d’un drone. Selon un autre exemple, l’aéronef 2 est habité, mais par des passagers qui n’ont aucune qualification de pilote.
Selon une variante, l’aéronef 2 est configuré pour être piloté ou supervisé par un pilote à distance.
Par exemple, l’aéronef 2 comprend un système d’évitement de collision à court terme, par exemple un système d’avertissement et d’alarme d’impact, également appelé système TAWS (de l’anglais « Terrain Awareness and Warning System »). Selon un autre exemple, le système d’évitement de collision à court terme est un système du type « Détecter et éviter » également appelé DAA (de l’anglais « Detect And Avoid »). Le système d’évitement de collision à court terme est configuré pour extrapoler une trajectoire court terme selon l’axe de l’aéronef 2 et pour avertir un système de pilotage de l’aéronef 2 en cas d’un risque d’impact.
L’aéronef 2 comprend par exemple un système de détermination, non représenté, configuré pour déterminer la trajectoire planifiée. En variante, le système de détermination de la trajectoire planifiée est situé à l’extérieur de l’aéronef 2, par exemple agencé de manière fixe sur le sol, notamment distant de l’installation de certification 4.
La trajectoire planifiée est par exemple une trajectoire déterminée en amont du vol de l’aéronef 2, notamment lorsque l’aéronef 2 est au sol.
La trajectoire planifiée comprend en particulier un point de décollage, un point d’atterrissage, et une partie de vol de la trajectoire planifiée connectant le point de décollage et le point d’atterrissage. Ainsi, la trajectoire planifiée est notamment une trajectoire dite « complète », par exemple une trajectoire planifiée d’une mission de l’aéronef 2.
L’homme du métier comprendra alors que la trajectoire planifiée se distingue par rapport à une trajectoire dite court terme correspondant à une trajectoire comprenant des données sur un intervalle de l’ordre de quelques secondes à quelques minutes seulement.
La trajectoire planifiée comprend une pluralité de paramètres. Par exemple, la trajectoire comprend cinq paramètres, à savoir trois paramètres relatifs à des coordonnées géographiques, un paramètre relatif à une information temporelle et un paramètre relatif à une vitesse, notamment une vitesse à pour chaque point défini de la trajectoire planifiée.
La trajectoire planifiée est par exemple formée par une pluralité de blocs de données. Chaque bloc de données comprend par exemple une ou plusieurs valeurs de chaque paramètre de la trajectoire planifiée.
L’installation de certification 4 comprend un système de certification 6 de la trajectoire planifiée de l’aéronef 2, un terminal distant 20, une antenne de réception 16 et une antenne d’émission 28.
Le système de certification 6 est distant de l’aéronef 2. Par exemple, le système de certification 6 est localisé sur le sol. Par exemple, le système de certification 6 est intégré dans un centre de contrôle au sol.
Selon un exemple, le système de certification 6 est implémenté sur un serveur, sur un ensemble de serveurs, ou dans un nuage (de l’anglais « cloud »).
Le système de certification 4 est configuré pour certifier la trajectoire planifiée. Par ceci, il est entendu que le système de certification 4 est configuré pour vérifier la trajectoire planifiée, et que le système de certification 6 est un système certifié, notamment selon une norme prédéfinie.
Le système de certification 6 est par exemple certifié conformément à une norme du type DO-178C, notamment la norme DO-178C/ED-12C, intitulée « Software Considerations in Airborne Systems and Equipment Certification », et acceptée par la Commission technique radio pour l'aéronautique, appelée « Radio Technical Commission for Aeronautics », en décembre 2011.
Le système de certification 6 est par exemple hébergé sur un matériel également certifié, par exemple conformément à une norme du type DO-254.
Le système de certification 6 comprend un dispositif de réception 8, un dispositif de traitement 10, un dispositif de sélection 12 et un dispositif d’émission 14.
Le dispositif de réception 8, le dispositif de traitement 10, le dispositif de sélection 12 et le dispositif d’émission 14 sont chacun par exemple intégrés dans au moins un calculateur.
Dans ce cas, chacun des dispositifs parmi ces dispositifs se présente au moins partiellement sous la forme d’un logiciel exécutable par un processeur et stocké dans une mémoire du calculateur.
En variante ou en complément, chacun de ces dispositifs est intégré, au moins partiellement, dans un dispositif physique, tel que par exemple un circuit logique programmable, tel qu’un FPGA (de l’anglais « Field Programmable Gate Array »), ou encore sous la forme d’un circuit intégré dédié, tel qu’un ASIC (de l’anglais « Application Specific Integrated Circuit »).
Le dispositif de réception 8 est configuré pour recevoir la trajectoire planifiée, notamment par l’antenne de réception 16 reliée au dispositif de réception 8. En variante, dispositif de réception 8 est configuré pour recevoir la trajectoire planifiée par une liaison câblée.
Le dispositif de traitement 10 est configuré pour certifier la trajectoire planifiée selon au moins une règle de certification, pour obtenir une trajectoire certifiée. Par ceci, il est entendu que le dispositif de traitement 10 est un dispositif certifié pour vérifier la trajectoire planifiée.
La trajectoire certifiée correspond par exemple à la trajectoire planifiée, certifiée par le système de certification 6. En particulier, la trajectoire certifiée est la trajectoire planifiée qui est vérifiée selon des critères prédéfinis par le système de certification 6.
La trajectoire certifiée comprend par exemple, comme la trajectoire planifiée, une pluralité de paramètres. Par exemple, la trajectoire certifiée comprend cinq paramètres, à savoir trois paramètres relatifs à des coordonnées géographiques, un paramètre relatif à une information temporelle et un paramètre relatif à une information de vitesse.
La trajectoire certifiée est par exemple formée par une pluralité de blocs de données. Chaque bloc de données comprend par exemple une ou plusieurs valeurs de chaque paramètre de la trajectoire certifiée.
Par exemple, la trajectoire certifiée garantit un niveau de criticité DAL B selon la norme du type DO-178C. Selon un autre exemple, la trajectoire certifiée garantit un niveau de criticité DAL A.
En outre, le dispositif de traitement 10 est par exemple configuré pour déterminer une information de certification relative à la certification de la trajectoire planifiée.
L’information de certification comprend par exemple une donnée de certification indiquant que la trajectoire planifiée est une trajectoire certifiée par le système de certification 6.
L’information de certification comprend par exemple en outre une donnée de sécurisation déterminée par une technique de contrôle de redondance cyclique de la trajectoire certifiée, également appelé technique CRC (de l’anglais « Cyclic redundancy check »).
La donnée de sécurisation permet par exemple de vérifier une transmission sans erreurs de la trajectoire certifiée.
Le dispositif de traitement 10 comprend une pluralité de modules de traitement 18. Chaque module de traitement 18 est configuré pour certifier une trajectoire donnée selon au moins une règle de certification spécifique à ce module de traitement 18. Chaque règle de certification spécifique est notamment une règle prédéterminée.
Le dispositif de sélection 12 est configuré pour sélectionner un ou plusieurs modules de traitement 18, dits modules actifs, à utiliser pour certifier la trajectoire planifiée. En particulier, lors de la sélection, uniquement les modules actifs sont utilisés pour certifier la trajectoire planifiée selon leur règle de certification spécifique, pour obtenir la trajectoire certifiée.
Selon un exemple, l’information de certification comprend par exemple en outre une donnée de type de certification indiquant le ou les modules actifs utilisés pour certifier la trajectoire planifiée.
La sélection du ou des modules actifs dépend par exemple des équipements à bord de l’aéronef 2, d’une réglementation d’une autorité d’un espace aérien et/ou d’une mission de l’aéronef 2.
A titre d’exemple, lorsque l’aéronef 2 comprend des capteurs de position redondants, une mauvaise couverture de réception de signaux d’un système de navigation par satellites, tel que GPS (de l’anglais « Global Positioning System »), est remplaçable par d’autres capteurs de position de l’aéronef 2. Dans cet exemple, la sélection est susceptible de ne pas comprendre comme module actif un module de traitement 18 configuré pour certifier une couverture minimale d’une réception de signaux GPS. Un tel module est par exemple appelé module CGC_C ci-dessous.
Le terminal distant 20 est configuré pour recevoir des choix d’un utilisateur. Pour ce faire, le terminal 20 présente par exemple une interface homme-machine adaptée qui permet à l’utilisateur d’effectuer ces choix. Selon un exemple de réalisation, cette interface permet de représenter les différents modules de traitement 18 sous une forme graphique ou/et textuelle afin que l’utilisateur puisse choisir les modules nécessaires.
Le terminal distant 20 est notamment distant par rapport au système de certification 6, et relié par une liaison de données 22 filaire et/ou sans fil au système de certification 6, notamment au dispositif de sélection 12.
Le dispositif de sélection 12 est en particulier configuré pour sélectionner un ou plusieurs modules actifs en fonction des choix de l’utilisateur effectués à partir du terminal distant 20.
Le dispositif de traitement 10 est par exemple configuré pour fournir en sortie l’information de certification.
En complément, le dispositif de traitement 10 est configuré pour fournir la trajectoire certifiée, identique à la trajectoire planifiée.
Le dispositif d’émission 14 est configuré pour émettre un ou plusieurs signaux vers l’aéronef 2.
Selon un premier exemple, le dispositif d’émission 14 est configuré pour émettre le ou les signaux directement à l’aéronef 2, notamment par envoi de l’antenne 28 à une antenne 26 de l’aéronef 2.
Selon un deuxième exemple, le dispositif d’émission 14 est configuré pour émettre le ou les signaux vers l’aéronef 2 par l’intermédiaire du terminal distant 20. Dans ce cas, le terminal distant 20 comprend une antenne 29 de réception et d’émission. Le terminal distant 20 est ainsi configuré pour recevoir, via l’antenne 29, le ou les signaux du dispositif d’émission 14. Le terminal distant 20 est par exemple configuré pour émettre, après une éventuelle réception d’une confirmation par l’utilisateur, le ou les signaux à l’aéronef 2, via l’antenne 29 ou un autre moyen de transmission.
Le dispositif d’émission 14 est par exemple configuré pour émettre vers l’aéronef 2 un premier signal comprenant l’information de certification relative à la certification de la trajectoire planifiée par l’ensemble des modules actifs.
Le dispositif d’émission 14 est par exemple en outre configuré pour émettre vers l’aéronef 2 un deuxième signal comprenant la trajectoire certifiée.
En variante, le dispositif d’émission 14 est configuré pour émettre un signal comprenant à la fois l’information de certification et la trajectoire certifiée.
Selon un exemple, chaque entrée et chaque sortie de données du système de certification 6 comprend un pare-feu dédié, non représenté. Cela permet de protéger le système de certification 6 et ainsi de garantir la cohérence des calculs du système de certification 6.
Un exemple du dispositif de traitement 10 est maintenant décrit en référence à la figure 1.
Le dispositif de traitement 10 comprend par exemple neuf modules de traitement 18. Les modules de traitement 18 sont par exemple appelés module WND_C, module CAG_C, module CFE_C, module TER_C, module ORA_C, module COR_C, module MOR_C, module CGC_C et module OTR_C.
Chaque module de traitement 18 est configuré pour certifier une trajectoire donnée selon au moins une règle de certification spécifique à ce module de traitement 18. En particulier, chaque règle de certification permet de vérifier la trajectoire planifiée selon un ou plusieurs critères prédéfinis. Chaque règle de certification est en particulier implémentée selon des exigences d’une norme, telle que la norme du type DO-178C.
De préférence, les règles de certification spécifiques sont indépendantes les uns par rapport aux autres. Par exemple, un changement d’une règle de certification spécifique d’un module de traitement 18 est sans impact sur une règle de certification spécifique d’un autre module de traitement 18.
Par exemple, chaque règle de certification spécifique comprend la détermination de l’absence de conflits entre des données de la trajectoire planifiée et au moins une condition spécifique au module de traitement 18.
La condition spécifique du module WND_C est par exemple la condition selon laquelle la trajectoire planifiée présente une marge minimale à des obstacles. La marge est fonction du vent autour de la trajectoire planifiée au moment du vol de la trajectoire planifiée, par exemple du vent dans un volume ayant un rayon de 1km autour de chaque point de la trajectoire planifiée.
Selon un exemple, la marge est en outre fonction de la précision de systèmes de guidage de l’aéronef 2 et de systèmes de navigation et positionnement de l’aéronef 2.
Le module WND_C est ainsi configuré pour déterminer la marge minimale due au vent et pour vérifier si la trajectoire planifiée présente une distance supérieure ou égale à la marge minimale par rapport aux obstacles. Le module WND_C est par exemple configuré pour recevoir en entrée des données météorologiques comprenant des prévisions de vent à des positions de la trajectoire planifiée aux instants correspondants.
Selon un mode de réalisation préféré, le module WND_C est configuré pour recevoir en entrée une condition d’un vent maximal, la condition étant utilisée pour déterminer au préalable une marge de la trajectoire planifiée. Le module WND_C est ainsi configuré pour comparer ladite condition de vent maximal avec un vent maximal présent à chaque point de la trajectoire planifiée. Lorsque ce vent maximal est inférieur ou égal à ladite condition de vent maximal, le module WND_C valide ainsi que la trajectoire planifiée est conforme à la règle de certification du module WND_C, à savoir notamment que la marge déterminée de la trajectoire n’est pas dépassée.
La condition spécifique du module CAG_C est la condition selon laquelle la trajectoire planifiée est confinée dans une cage, aucune position comprise dans la cage chevauchant avec un obstacle ou une zone interdite.
La zone interdite est par exemple un volume dans un espace aérien soumis à des restrictions d’accès. La cage présente par exemple un volume parallélépipédique, dont le point central est la position de la trajectoire à un moment donné.
La condition spécifique du module CFE_C est la condition selon laquelle la trajectoire planifiée est continue. La continuité de la trajectoire planifiée est une fonction d’un calcul de l’énergie requise pour voler complètement la trajectoire planifiée. Notamment, une trajectoire planifiée est continue lorsque l’aéronef 2 a la capacité de la voler complètement.
Le module CFE_C est ainsi configuré pour déterminer l’énergie requise pour voler complètement la trajectoire planifiée, par exemple en prenant en compte l’horaire du vol de la trajectoire planifiée et le vent au moment du vol à des positions de la trajectoire planifiée.
Pour vérifier la condition spécifique, le module CFE_C est par exemple configuré pour prendre en compte des performances de l’aéronef 2. Le module CFE_C est par exemple configuré pour déterminer l’énergie disponible pour l’aéronef 2, par exemple à partir de la quantité du carburant embarqué, des ampères-heures ou des kilogrammes en hydrogène, et comparer l’énergie disponible avec l’énergie requise. Lorsque l’énergie disponible est supérieure ou égale à l’énergie requise, le module CFE_C certifie alors la trajectoire planifiée selon cette règle de certification spécifique.
La condition spécifique du module TER_C est la condition selon laquelle la trajectoire planifiée présente une distance minimale par rapport au terrain. Par exemple, le module TER_C est configuré pour prendre en entrée des informations du terrain provenant d’une base de données du terrain. Chaque information du terrain est par exemple un point du terrain comprenant son altitude.
La condition spécifique du module MOR_C est la condition selon laquelle la trajectoire planifiée présente une altitude supérieure à un seuil minimum par rapport au terrain. Par exemple, le module MOR_C est configuré pour comparer uniquement une distance verticale avec au seuil minimum. Contrairement au module MOR_C, le module TER_C est configuré pour comparer des distances de la trajectoire planifiée par rapport au terrain selon une direction quelconque avec une distance minimale.
En variante, les modules MOR_C et TER_C forment un module unique, configuré pour vérifier que la trajectoire avec ses imprécisions n’intercepte pas le terrain, et/ou qu’elle est à une altitude minimum par rapport au terrain.
La condition spécifique du module ORA_C est la condition selon laquelle la trajectoire planifiée présente une distance minimale par rapport à des obstacles et/ou à des zones d’un accès temporellement restreint.
Le module ORA_C est par exemple configuré pour prendre en compte l’horaire du vol de la trajectoire planifiée, afin de prendre en compte une information de la présence d’un obstacle dans un intervalle de temps donné ou un restriction d’accès à une zone dans un intervalle de temps donné.
La condition spécifique du module COR_C est la condition selon laquelle la trajectoire planifiée est comprise dans un corridor défini autour d’un plan de vol prédéfini. Par exemple, le module COR_C est configuré pour pré-vérifier si la trajectoire planifiée satisfait à des conditions selon une procédure de navigation basée sur la performance ou RNP (de l’anglais « Required Navigation Performance »).
Une condition spécifique du module CGC_C est par exemple la condition selon laquelle la trajectoire planifiée présente une couverture minimale d’une réception de signaux d’un système de navigation par satellites, comme par exemple GPS (de l’anglais « Global Positioning System »), notamment pour chaque position de la trajectoire planifiée aux instants correspondants à ces positions.
Une autre condition spécifique du module CGC_C est par exemple la condition selon laquelle la trajectoire planifiée présente une couverture minimale en communication par téléphonie mobile ou par téléphonie par satellite, telle qu’une communication selon les standards 3G, 4G, 5G ou SatCom, notamment pour chaque position de la trajectoire planifiée aux instants correspondants à ces positions.
La condition spécifique du module OTR_C est la condition selon laquelle la trajectoire planifiée présente une distance minimale par rapport à d’autres trajectoires. Par exemple, le module OTR_C est configuré pour recevoir des données de trajectoires d’autres aéronefs, par exemple d’un système de gestion du trafic des systèmes d’aéronefs sans pilote, non représenté, et également appelé système UTM (de l’anglais « Unmanned aircraft system Traffic Management »).
Les modules de traitement sont ainsi configurés pour appliquer une ou plusieurs des règles spécifiques pour certifier la trajectoire planifiée.
Par exemple, seulement une partie des modules de traitement sont configurés pour prendre en compte le temps. Dans un exemple, seulement les modules WND_C, CFE_C, ORA_C et CGC_C sont configurés pour prendre en compte le temps.
Selon un exemple, le système de certification 6 comprend en outre un dispositif de modification de traitement 30, configuré pour ajouter ou supprimer au moins un module de traitement de manière indépendante du fonctionnement des autres modules de traitement 18. Cela est illustré sur la figure 1, montrant un exemple d’ajout d’un module 32 comme un nouveau module de traitement 18.
Chaque module de traitement 18 est par exemple configuré pour utiliser des données extérieures relatives à un environnement extérieur de l’aéronef 2, issues d’une base de données certifiée. Par « environnement extérieur », il est entendu un volume prédéfini autour de l’aéronef 2 à chaque point de la trajectoire planifiée, par exemple un volume sphérique ayant un rayon prédéfini, tel qu’un rayon de 10km.
Par exemple, chaque module de traitement 18 est configuré pour certifier la trajectoire planifiée en fonction d’au moins une donnée relative au terrain, à des obstacles, à des zones de turbulence, à des zones d’un accès temporellement restreint, à une couverture d’une réception de signaux d’un système de navigation par satellites, à une couverture en communication par téléphonie mobile ou téléphonie par satellite, et/ou à des trajectoires d’autres aéronefs.
Par exemple, le dispositif de traitement 10 comprend une pluralité de bases de données, telle que neuf bases de données M1 à M9, en particulier visibles dans l’exemple de la figure 1.
Chaque base de données est par exemple certifiée selon une norme du type RTCA DO–200A/ED–76. Par exemple, chaque base de données est conforme à un standard du type DPAL 1 ou DPAL 2 (de l’anglais « Data Process Assurance Level »).
Chaque module de traitement 18 est configuré pour accéder à une ou plusieurs bases de données parmi les bases de données M1 à M9, comme représenté par des flèches reliant les bases de données M1 à M9 avec les modules de traitement 18 respectifs.
Selon un exemple, la base de données M1 comprend des données de vent pour les modules WND_C et CFE_C. La base de données M2 comprend des données de performance de l’aéronef 2 pour les modules WND_C et CFE_C. La base de données M3 comprend des données de terrain pour les modules CAG_C, TER_C et MOR_C. La base de données M4 comprend des données relatives à des zones d’accès restreint pour les modules CAG_C et ORA_C. La base de données M5 comprend des données relatives à des obstacles pour le module ORA_C. La base de données M6 comprend des données à des volumes mobiles, par exemple des zones d’un accès restreint temporellement pour le module ORA_C. La base de données M7 comprend des données de couverture de signaux d’un système de navigation par satellites, et la base de données M8 des données de couverture de communication par téléphonie mobile ou par téléphonie par satellite pour le module CGC_C. La base de données M9 comprend des données relatives à des trajectoires d’autres aéronefs pour le module OTR_C. Par exemple, la base de données M9 est configurée pour être alimentée par le système UTM.
Un procédé de certification 100 de la trajectoire planifiée de l’aéronef 2 est maintenant décrit, en référence à la figure 2 montrant un organigramme d’un exemple du procédé de certification 100. Le procédé de certification 100 est par exemple mis en œuvre par le système de certification 6.
Le procédé de certification 100 est en particulier un procédé permettant de vérifier la trajectoire planifiée par le système de certification 6.
Le procédé de certification 100 comprend par exemple une étape de réception 110, une étape de sélection 120, une étape de certification 130, une étape de détermination 140, une étape d’émission 150 et une étape de détection d’erreur 160.
Lors de l’étape de réception 110, le dispositif de réception 8 reçoit la trajectoire planifiée, par exemple par l’antenne de réception 16.
Lors de l’étape de sélection 120, le dispositif de sélection 12 sélectionne un ou plusieurs modules de traitement 18, dits modules actifs, à utiliser pour certifier la trajectoire planifiée, parmi la pluralité de modules de traitement 18. Cette étape est mise en œuvre suite aux choix effectués par l’utilisateur à partir du terminal distant 20.
Lors de l’étape de certification 130, le dispositif de traitement 10 certifie la trajectoire planifiée selon au moins une règle de certification, pour obtenir la trajectoire certifiée.
En particulier, chaque module actif certifie la trajectoire planifiée selon sa règle de certification spécifique correspondante.
Lors de l’étape de détermination 140, le dispositif de traitement 10 détermine l’information de certification relative à la certification de la trajectoire planifiée.
Par exemple, l’étape de détermination 140 est mise en œuvre comme suite à l’obtention de la trajectoire certifiée lors de l’étape de certification.
Par exemple, le dispositif de traitement 10 détermine, pour chaque bloc de données de la trajectoire certifiée, une valeur de test en fonction de ce bloc de données.
A titre d’exemple, la valeur de test est une somme des valeurs du bloc correspondant. Par exemple, un bloc de la trajectoire certifiée comprend une pluralité de points de donnés, chaque point de données ayant cinq valeurs pour des paramètres correspondants, tels que latitude, longitude, altitude, le temps et une vitesse de l’aéronef. La valeur de test pour un bloc de données comprend par exemple la somme des valeurs de chaque paramètre, pour chacun des points de données.
En variante, la valeur de test comprend uniquement une partie des points de données.
Le dispositif de traitement 10 détermine ensuite la donnée de sécurisation en fonction des valeurs de test. Par exemple, la donnée de sécurisation est la somme des valeurs de test. La donnée de sécurisation est ainsi déterminée par la technique CRC.
Les valeurs de test sont par exemple des valeurs déterministes. Par « valeurs déterministes », il est notamment entendu que ces valeurs sont déterminées selon une méthode prédéfinie.
Lors de l’étape d’émission 150, le dispositif d’émission 14 émet vers l’aéronef 2 un premier signal comprenant l’information de certification, et un deuxième signal comprenant la trajectoire certifiée.
Selon un premier exemple, le dispositif d’émission 14 émet le premier signal et le deuxième signal directement à l’aéronef 2, notamment par envoi de l’antenne 28 à l’antenne 26 de l’aéronef 2.
Selon un deuxième exemple, le dispositif d’émission 14 émet le ou les signaux vers l’aéronef 2 via le terminal distant 20. Dans ces cas, le terminal distant 20 reçoit le premier signal et le deuxième signal via l’antenne 29, par exemple via un lien dédié, non représenté, entre le dispositif d’émission 14 et le terminal distant 20. Par exemple, l’utilisateur vérifie la trajectoire certifiée reçue. Suite à une commande de l’utilisateur, le terminal distant 20, ou un autre moyen de transmission dédié, transmet le premier signal et le deuxième signal à l’aéronef 2.
Par exemple, le premier signal ou le deuxième signal est transmis par au moins une liaison cryptée. Selon un exemple particulier, le premier signal et également le deuxième signal sont transmis par la liaison cryptée.
La liaison cryptée présente par exemple un chiffrement asymétrique.
En particulier, une clef privée est enregistrée dans le système de certification 6 pour crypter le premier signal et/ou le deuxième signal. Le premier signal et/ou deuxième signal est décryptable par une clef publique enregistrée à bord de l’aéronef 2.
Le fait que la clef privée est enregistrée dans le système de certification 6 facilite la mise à jour de cette clef, car elle est plus facilement modifiable de manière sécurisée que la clef enregistrée à bord de l’aéronef 2.
Selon un exemple, lors de l’étape d’émission 150, le dispositif d’émission 14 transmet un certificat permettant au récepteur, par exemple au terminal distant 20 ou à l’aéronef 2, de vérifier que le premier ou deuxième signal provient effectivement du dispositif d’émission 14.
Lorsque le premier et le deuxième signal sont transmis via le terminal distant 20 à l’aéronef 2, le terminal distant 20 vérifie, au moyen d’un certificat dédié, qu’il reçoit le premier et deuxième signal de la part du dispositif de réception 14, et l’aéronef 2 vérifie, au moyen d’un autre certificat dédié, qu’il reçoit le premier et deuxième signal de la part du terminal distant 2.
L’intégrité de la trajectoire certifiée comprise dans le deuxième signal est vérifiable, notamment par l’aéronef 2, en utilisant la donnée de sécurisation comprise dans l’information de certification du premier signal, par une détermination correspondante selon la technique CRC.
Par exemple, l’aéronef 2 détermine la donnée de sécurisation de la même manière que celle effectuée lors de l’étape de détermination 140, à partir de la trajectoire certifiée reçue dans le deuxième signal.
Ensuite, l’aéronef 2 compare la donnée de sécurisation ainsi déterminée avec la donnée de sécurisation reçue dans le deuxième signal. Si les données de sécurisation sont identiques, alors l’aéronef 2 identifie que la trajectoire certifiée a été transmise sans erreur.
Si l’aéronef 2 détermine que la trajectoire certifiée comprise dans le deuxième signal diffère de la trajectoire certifiée conforment à l’information de certification, l’étape de détection d’erreur 160 est mise en œuvre.
Lors de l’étape de détection d’erreur 160, le système de certification 6 reçoit un troisième signal comprenant un message d’erreur. Le troisième signal est ainsi émis par l’aéronef 2 lorsque la trajectoire certifiée comprise dans le deuxième signal diffère de la trajectoire certifiée conforment à l’information de certification.
Lors de la réception du troisième signal, le système de certification 6 met en œuvre les étapes de certification 130, de détermination 140 et d’émission 150 de nouveau suite à l’étape de détection d’erreur 160. Ceci est notamment illustré dans l’exemple de la figure 2 par une flèche R.
Selon un exemple, l’étape de sélection 120 et l’étape de détection d’erreur 160 sont des étapes optionnelles.
On conçoit que le système de certification 6 et le procédé de certification 100 présentent un grand nombre d’avantages.
Comme le nombre et le type de modules de traitement 18 utilisés pour la certification de la trajectoire planifiée sont sélectionnables, le système de certification 6 permet d’adapter facilement la certification de la trajectoire planifiée selon le besoin de l’opérateur de l’aéronef 2 ou selon des restrictions dans certains espaces aériens par exemple. Cela permet ainsi d’obtenir une certification flexible, en fonction des besoins, de la trajectoire planifiée. En particulier, une sélection des modules de traitement 18 comme modules actifs lors de l’étape de sélection 120 permet d’adapter facilement le fonctionnement du système de certification 6 en fonction des besoins.
Le procédé de certification 100 permet également d’obtenir une certification de la trajectoire planifiée plus flexible, car le système de certification 6 distant de l’aéronef 2 est facilement adaptable par une modification des modules de traitement 18, notamment indépendamment l’un par rapport à l’autre.
De plus, par exemple, les modules de traitement 18 inutiles pour la certification d’une trajectoire planifiée spécifique ne sont pas utilisés comme modules actifs. Ainsi, le système de certification 6 permet d’obtenir une certification simple et rapide.
En outre, la technique de contrôle de redondance cyclique de la trajectoire certifiée permet de garantir que la trajectoire certifiée reçue par l’aéronef 2 est effectivement la trajectoire certifiée conforme par le système de certification 6.
De plus, la vérification de la trajectoire planifiée par le système de certification 6, accessible à distance par n’importe quel utilisateur, permet à chaque utilisateur, par exemple l’opérateur de l’aéronef 2, d’obtenir une vérification de la trajectoire planifiée par un système certifié à un faible coût, car les coûts de développement et d’exploitation du système de certification 6 sont partagés par un grand nombre d’utilisateurs.

Claims (10)

  1. Procédé de certification (100) d’une trajectoire planifiée d’un aéronef (2), le procédé étant mis en œuvre par un système de certification (6) distant de l’aéronef (2), et comprenant une étape de :
    - réception (110) de la trajectoire planifiée ;
    - certification (120) de la trajectoire planifiée selon au moins une règle de certification, pour obtenir une trajectoire certifiée ;
    - détermination (130) d’une information de certification relative à la certification de la trajectoire planifiée, l’information de certification comprenant au moins une donnée de sécurisation déterminée par une technique de contrôle de redondance cyclique de la trajectoire certifiée ;
    - émission vers l’aéronef (2) d’un premier signal comprenant l’information de certification, et d’un deuxième signal comprenant la trajectoire certifiée, l’intégrité de la trajectoire certifiée comprise dans le deuxième signal étant vérifiable en utilisant la donnée de sécurisation comprise dans l’information de certification du premier signal.
  2. Procédé selon la revendication 1, dans lequel, lors de l’étape de l’émission (150), le premier signal et/ou le deuxième signal est (sont) transmis par au moins une liaison cryptée, comprenant de préférence un chiffrement asymétrique.
  3. Procédé selon la revendication 2, dans lequel une clef privée est enregistrée dans le système de certification (6) pour crypter le premier signal et/ou le deuxième signal, le premier signal et/ou deuxième signal étant décryptable par une clef publique enregistrée à bord de l’aéronef (2).
  4. Procédé selon l’une des revendications précédentes, dans lequel la trajectoire certifiée comprend une pluralité de blocs de données, et dans lequel, lors de l’étape de détermination (140) de l’information de certification, la donnée de sécurisation est déterminée par détermination, pour chaque bloc de données, d’une valeur de test en fonction de ce bloc de données, la donnée de sécurisation étant une fonction des valeurs de test.
  5. Procédé selon la revendication 4, dans lequel les valeurs de test sont des valeurs déterministes.
  6. Procédé selon l’une des revendications précédentes, comprenant en outre une étape de détection d’erreur (160), lors de laquelle le système de certification (6) reçoit un troisième signal comprenant un message d’erreur, le troisième signal étant émis par l’aéronef (2) lorsque la trajectoire certifiée comprise dans le deuxième signal diffère de la trajectoire certifiée conforment à l’information de certification.
  7. Procédé selon la revendication 6, dans lequel les étapes de certification (130), de détermination (140) et d’émission (150) sont mises en œuvre de nouveau suite à l’étape de détection d’erreur (160).
  8. Procédé selon l’une des revendications précédentes, comprenant en outre une étape de sélection (120) d’un ou plusieurs modules de traitement (18), dits modules actifs, à utiliser pour certifier la trajectoire planifiée, parmi une pluralité de modules de traitement (18), chaque module de traitement (18) étant configuré pour certifier une trajectoire donnée selon au moins une règle de certification spécifique à ce module de traitement (18), l’étape de certification (130) étant mise en œuvre par le ou les modules actifs.
  9. Programme d’ordinateur comprenant des instructions logicielles qui, lorsqu'elles sont exécutées par un processeur, mettent en œuvre un procédé selon l'une des revendications précédentes.
  10. Système de certification (6) d’une trajectoire planifiée d’un aéronef (2), comprenant :
    - un dispositif de réception (8) configuré pour recevoir la trajectoire planifiée ;
    - un dispositif de traitement (10) configuré pour certifier la trajectoire planifiée selon au moins une règle de certification, pour obtenir une trajectoire certifiée, et configuré pour déterminer une information de certification relative à la certification de la trajectoire planifiée, l’information de certification comprenant au moins une donnée de sécurisation déterminée par une technique de contrôle de redondance cyclique de la trajectoire certifiée ;
    - un dispositif d’émission (14) configuré pour émettre vers l’aéronef (2) un premier signal comprenant l’information de certification, et un deuxième signal comprenant la trajectoire certifiée, l’intégrité de la trajectoire certifiée comprise dans le deuxième signal étant vérifiable en utilisant la donnée de sécurisation comprise dans l’information de certification du premier signal.
FR2005238A 2020-05-20 2020-05-20 Procédé de certification, programme d'ordinateur et système de certification associé Active FR3110754B1 (fr)

Priority Applications (1)

Application Number Priority Date Filing Date Title
FR2005238A FR3110754B1 (fr) 2020-05-20 2020-05-20 Procédé de certification, programme d'ordinateur et système de certification associé

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR2005238A FR3110754B1 (fr) 2020-05-20 2020-05-20 Procédé de certification, programme d'ordinateur et système de certification associé
FR2005238 2020-05-20

Publications (2)

Publication Number Publication Date
FR3110754A1 true FR3110754A1 (fr) 2021-11-26
FR3110754B1 FR3110754B1 (fr) 2022-12-09

Family

ID=73013497

Family Applications (1)

Application Number Title Priority Date Filing Date
FR2005238A Active FR3110754B1 (fr) 2020-05-20 2020-05-20 Procédé de certification, programme d'ordinateur et système de certification associé

Country Status (1)

Country Link
FR (1) FR3110754B1 (fr)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR3044116A1 (fr) * 2015-11-25 2017-05-26 Airbus Operations Sas Ensemble de gestion de vol d'un aeronef et procede de surveillance d'un tel ensemble.
US20170372617A1 (en) * 2015-07-15 2017-12-28 Harris Corporation Process and System to Register and Regulate Unmanned Aerial Vehicle Operations
FR3070787A1 (fr) * 2017-09-05 2019-03-08 Thales Procede et systeme, de preparation de vol d'un drone

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20170372617A1 (en) * 2015-07-15 2017-12-28 Harris Corporation Process and System to Register and Regulate Unmanned Aerial Vehicle Operations
FR3044116A1 (fr) * 2015-11-25 2017-05-26 Airbus Operations Sas Ensemble de gestion de vol d'un aeronef et procede de surveillance d'un tel ensemble.
FR3070787A1 (fr) * 2017-09-05 2019-03-08 Thales Procede et systeme, de preparation de vol d'un drone

Also Published As

Publication number Publication date
FR3110754B1 (fr) 2022-12-09

Similar Documents

Publication Publication Date Title
EP2922040B1 (fr) Pilotage de vehicules en convoi
FR3076679A1 (fr) Systèmes et procédés de localisation de détresse autonome dans des véhicules aériens
US8634975B2 (en) Vessel performance optimization reporting tool
US9310477B1 (en) Systems and methods for monitoring airborne objects
US11536855B2 (en) Path planning using forecasts of obscuration and multipath
WO2005086113A1 (fr) Procede automatique de transmission des alertes de surveillance d’un aeronef vers le sol
US11789161B2 (en) Accuracy of a GNSS receiver that has a non-directional antenna
FR2926894A1 (fr) Procede d'estimation en tout point d'un trajet d'un aeronef des donnees atmospheriques
US11802972B2 (en) Enhancing RTK position resolution using an RTK-enabled GNSS positioning receiver
EP3688493B1 (fr) Procédé de distribution et/ou de mise à jour d'une base de données de zones d'exclusion aérienne (nfz) pour véhicules aériens sans équipage (uav), et véhicule associé
US20230010838A1 (en) Apparatus, systems, and methods for providing surveillance services for unmanned aircraft
WO2021094178A1 (fr) Système de pilotage de drone et procédé de pilotage associé
FR3110754A1 (fr) Procédé de certification, programme d'ordinateur et système de certification associé
EP3167640B1 (fr) Système pour systemes teleoperes
WO2021234109A1 (fr) Système de certification d'une trajectoire planifiée d'un aéronef et procédé de certification associé
US20230128817A1 (en) Gnss forecast impacting receiver startup
EP4239594A1 (fr) Utilisation d'un ou plusieurs satellites d'observation pour l'identification des cibles
US11892544B2 (en) GNSS data integrity monitoring as a connected service
US10482772B2 (en) System and method for generating an optimized search and rescue profile for an in-flight aircraft
EP4239907A1 (fr) Sélection automatique d'au moins un satellite d'observation optimale permettant d'observer au moins une cible
US11259193B2 (en) Systems and methods for obtaining and distributing dynamic frequency selection data for wireless networks on airplanes
US20220400398A1 (en) Vehicle connectivity and communication device
US20230121760A1 (en) Gnss forecast and background obscuration prediction
WO2022219007A1 (fr) Adaptation automatique du profil vertical d'un aeronef en fonction d'une incertitude de position
Sánchez Gómez et al. Server-Side GNSS Spoofing Detection Challenges for Vehicle Tracking Applications.

Legal Events

Date Code Title Description
PLFP Fee payment

Year of fee payment: 2

PLSC Publication of the preliminary search report

Effective date: 20211126

PLFP Fee payment

Year of fee payment: 3

PLFP Fee payment

Year of fee payment: 4