专利名称::外挂物管理系统和操作外挂物管理系统的方法
技术领域:
:本发明的领域主要涉及外挂物管理系统(storemanagementsystem),更具体来说涉及可结合无人操纵的平台使用的外挂物管理系统。
背景技术:
:至少一个公知的外挂物管理系统(SMS)是与人工操纵的平台和/或飞行器一起来使用的,例如人工操纵的飞机。此类SMS包括使飞行员能够控制安装在飞行器上的武器的硬连线的控制,并利于确保武器不会无意中开火。例如,公知的SMS包括硬连线到飞行器上的外挂物的主装备(MasterArm)开关。主装备开关用于装备或解除飞行器上的所有武器。而且,公知的SMS还包括硬连线到飞行器上每件武器的起动装置开关以便在装备好武器之后能够选择性地使这些武器的至少其中之一开火。因此,公知的SMS使用从驾驶舱开关直接驱动的硬件离散(discrete)来实现SMS中和/或外挂物悬挂和释放设备中的硬件互锁。此类互锁常常独立于SMS中的任何软件过程,因此提供独立的控制路径以缓解软件危害。另外,在至少一些公知的无人操纵的平台中,例如包括无人操纵的SMS平台的无人操纵的飞行器中,所有命令和控制信息经由数据链路从地面站传送到无人操纵的飞行器。这样的一种协议提供用于所有武器紧急功能的单个硬件互锁。在此类SMS平台中,在地面站中的操作员的动作(例如选择装备武器状态和/或按下起动装置开关)和无人操纵的SMS之间实现直接硬连线互锁是不可能的。因此,在此类SMS系统中,软件瞬变可能负面地影响无人操纵的SMS和/或导致无人操纵的SMS采取未授权的动作。另外,较之人工操纵平台的人工操纵硬连线的SMS,要分析此类数据链路实现的通信可能是复杂的和/或成本高昂的。因此,存在将用于人工操纵平台上的外挂物管理系统的人工操纵安全性方法扩展到无人操纵平台上的无人操纵SMS的需求。另外,存在以与人工操纵平台中的人工操纵SMS中的保险程度相当的保险程度来确保对无人操纵平台中的无人操纵的SMS的独立和可分析互锁的需求。
发明内容在一个实施例中,提供一种用于从人工操纵站控制无人操纵的平台的方法。该方法包括经由第一控制路径将主装备控制消息从人工操纵站传送到无人操纵的平台,经由独立于第一控制路径的第二控制路径将第一紧急控制消息从人工操纵站传送到无人操纵的平台,并经由不同于第一控制路径和第二控制路径的第三控制路径将第二紧急控制消息从人工操纵站传送到无人操纵的平台。在另一个实施例中,提供一种外挂物管理系统(SMS)。该SMS包括人工操纵站,人工操纵站包括主装备控制消息编码器、第一紧急控制消息编码器和第二紧急控制消息编码器。该SMS还包括无人操纵的平台,无人操纵的平台包括主装备控制消息解码器、第一紧急控制消息解码器和第二紧急控制消息解码器。该SMS包括人工操纵站与无人操纵的平台之间的数据链路。该数据链路配置成将主装备控制消息从主装备控制消息编码器传送到主装备控制消息解码器,将第一紧急控制消息从第一紧急控制消息编码器传送到第一紧急控制消息解码器,以及将第二紧急控制消息从第二紧急控制消息编码器传送到第二紧急控制消息解码器。在再一个实施例中,提供一种用于控制无人操纵的平台的协议。该协议包括第一控制路径、第二控制路径和第三控制路径,第一控制路径包括与主装备控制消息解码器通信的主装备控制消息编码器,第二控制路径包括与第一紧急控制消息解码器通信的第一紧急控制消息编码器,第三控制路径包括与第二紧急控制消息解码器通信的第二紧急控制消息编码器。这些编码器位于远程人工操纵站内,以及这些解码器位于无人操纵的平台内。本文描述的实施例利用三个独立的控制路径和/或控制过程来控制从无人操纵的平台释放外挂物。另外,每个控制路径和/或过程包括与任何其他控制路径和/或过程中的硬件和/或软件独立的以及与SMS的其他组件和/或单元独立的硬件和/或软件。因此,本文描述的实施例相比于用于控制从无人操纵的平台进行外挂物释放的公知的无线控制路径和/或过程,有利于提高其上外挂了武器的无人操纵的平台的可靠性和安全性。图1是可以结合至少地面站和无人操纵的飞行器使用的示范协议的示意图。图2是可以结合图1所示的协议使用的示范主装备控制和状态消息的图。图3是可以结合图1所示的协议使用的示范主装备过程的框图。图4是可以结合图1所示的协议使用的示范第一紧急控制消息的图。图5是可以结合图1所示的协议使用的示范第二紧急控制消息的图。图6是可以使用图1所示的协议来执行的示范控制序列的图。具体实施例方式本文描述的这些实施例通过建立协议或整个外挂物管理系统(SMS),将地面控制站SMS中的和无人操纵的SMS中的多个硬件和软件决策过程的状态同步来起作用。更确切地来说,本文描述的协议和/或SMS在无人操纵的SMS中使用多个独立的基于硬件的控制过程,例如红色、绿色和蓝色过程,和/或下文更详细描述的控制路径,所有这些协作以建立控制权限和地面站对具有无人操纵的SMS的无人操纵的平台请求的特定紧急控制动作。正如本文使用的,术语"红色"、"绿色"和"蓝色"仅用区分三个不同的控制路径和/或过程,而非专门涉及颜色。因此,可以通过任何适合的名称表示这些三个单独的控制路径和/或过程,例如第一控制路径/过程、第二控制路径/过程和第三控制路径过程。在示范实施例中,同步协议提供信道独立和软件独立机制以将地面站控制过程的状态与对应的无人操纵的飞行器控制过程同步。另外,本文描述的协议提供一个过程对的状态中的变化(例如对于蓝色过程从"空闲"到"已启用"状态的转变)和其他控制过程的对应命令之间的强时间相关性,以利于防止来自底层数据信道的乱序命令输送。而且,本文描述的协议提供一种认证机制,用于确保地面站与无人操纵的过程之间的同步仅在指定的条件被满足时才实现,以利于防止底层数据信道误输送同步命令。可以扩展此类认证以确保仅地面控制硬件的指定条件可以对无人操纵的硬件进行认证。更确切地来说,该协议包括一种机制,用于在发生通信丢失和/或同步中出错的情况下确保无人操纵的硬件过程将自动地转变到安全状态或失效安全状态。此外,本文描述的该协议还包括一种机制,该机制用于根据特定平台操作概念(C0N0PS)和原则精确地对由无人操纵SMS进行的紧急动作的执行来定时,以使不同类别的紧急动作具有不同的执行纪律以确保外挂物的精确释放,而与地面站和无人操纵的单元之间的控制信道中存在的网络延迟无关。本文描述的这些实施例将人工操纵平台中使用的硬件互锁的使用扩展到用于无人操纵的SMS内的各个外挂物的紧急控制消息的生成。此类扩展可应用于安装在人工操纵和/或无人操纵的平台中的SMS。正如本文描述的,无人操纵的SMS中的每个过程均有人工操纵的地面站SMS中对应的过程,并且使用离散硬件互锁来直接控制,正如在人工操纵平台下的类似使用。更确切地来说,本文描述的这些实施例使用红色/绿色/蓝色硬件控制过程的子集来生成强校验和,如可适用的武器控制标准和各个武器接口控制文档所定义的,以用于SMS操作飞行程序(OFP)发出的紧急控制请求。因此,本文描述的每个硬件控制过程独立地评估平台互锁的状态和/或任何其他相关安全性信息。相应地,仅在所有相关安全性条件被满足的情况下才发出适合的校验和。因此,本文描述的实施例将精细程度的基于硬件的互锁扩展到传统上处于独占式软件控制之下的SMS的方面,从而缓解潜在的软件危害,增加了系统的整体安全性保险级别,并降低对昂贵的软件保险测试和验证的需要。可用的精细的互锁策略的示例包括但不限于包括如下(a)使用不同互锁均衡(interlockequation)来个别地互锁所有可能的紧急控制命令(到外挂物),以及(b)互锁紧急控制命令(到多个外挂物)以在硬件中实施时序和排序策略,其在传统方法中原本处于独占式软件控制之下。图l-6示出用于从远程人工操纵平台控制无人操纵的平台的示范协议。该示范协议被视为包括无人操纵的平台上的SMS和人工操纵平台中的SMS的整体SMS。在示范实施例中,该协议用于从其上具有人工操纵SMS的人工操纵地面站控制其上具有无人操纵的SMS的无人操纵的飞机。本领域技术人员将理解,本文描述的协议可以结合通信中的任何人工操纵SMS和无人操纵的SMS来使用,本发明不仅仅局限于本文描述的这些实施例。图1示出可以结合至少地面站102和无人操纵的飞行器104使用的示范协议100的示意图。可选地,在示范实施例中,协议IOO还包括单独的主装备控制站106。协议IOO是至少包括在地面站102处的SMS和无人操纵的飞行器104处的SMS的整体SMS。在示范实施例中,地面站102由操作人员来操作以控制无人操纵的飞行器104。因此,地面站102被视为"人工操纵平台"。地面站102可以位于无人操纵的飞行器104的操作场所内或可以距离操作场所很远。在示范实施例中,地面站102所在位置远离操作场所。而且,无人操纵的飞行器104可以是其上包括武器外挂物的任何适合的无人操纵的飞行器和/或平台。在示范实施例中,无人操纵的飞行器104是无人操纵的战斗航空器(UCAV)。在本申请内,术语"无人操纵的飞行器"、"无人操纵的平台"、"航空飞行器"、"UCAV"和/或其他类似术语在本文中可互换使用,当然,将理解可扩展协议100的本文描述以将协议100结合任何适合的人工操纵和/或无人操纵的平台来使用。在示范实施例中,协议100包括可选单独的主装备控制站106。单独的主装备控制站106可以位于在无人操纵的飞行器104的操作场所内或可以距离操作场所很远。在示范实施例中,单独的主装备控制站106位于操作场所内,但是与UCAV104距离很远。在示范实施例中,UCAV104包括外挂物管理系统(SMS)108,本文也称为无人操纵的SMS。因此,UCAV104被视为无人操纵的SMS平台。地面站102也包括SMS110。SMS110在本文中也称为人工操纵SMS和/或地面站SMS。无人操纵的SMS108和地面站SMS110经由数据链路112通信。在示范实施例中,单独的主装备控制站106包括SMS114。SMS114在本文中也称为人工操纵SMS和/或主装备SMS。无人操纵的SMS108和主装备SMS114经由辅助数据链路116通信。在示范实施例中,数据链路112和116使用位于各个人工操纵SMS110或114的发射/接收天线118以及UCAV104上的发射/接收天线120来实现以发送和接收射频(RF)122。或者,数据链路112和/或116使用任何适合的无线通信数据链路来实现。在示范实施例中,地面站SMS110包括主装备开关124、释放开关或起动装置开关126、操作员显示器128、主装备控制编码器130、第一紧急控制编码器132、第二紧急控制编码器134、SMS控制消息汇编器136以及数据链路112。开关124和126各通过人工交互138来控制。同一个人或不同人可以提供用于控制开关124和/或开关126的人工交互138。例如,当操作人员将主装备开关124从关切换到开、或从"安全"切换到"装备"、或从开切换到关、或从"装备"切换到"安全"时,开关124生成主装备控制信号140,该主装备控制信号140被传输到主装备控制编码器130。另外,当操作人员将起动装置开关126从关转到开、或从开转到关时,开关126生成第一紧急控制信号142和第二紧急控制信号144,这两个信号各包含相同的信息且分别被传输到第一紧急控制编码器132和第二紧急控制编码器134。当要释放多于一件武器146时,为要释放的每件武器146生成第一和第二紧急控制信号142和144。在示范实施例中,操作员显示器128是基于计算机的显示器,它使得至少一个人能够控制开关124和/或126、和/或SMS110和/或108。更确切地来说,操作员显示器128提供在选择UCAV104、武器146和/或目标时使用的操作员接口148,并基于操作人员的选择生成选择数据150。更确切地来说,由第一和第二紧急控制编码器132和134将真实的选择数据150编码在紧急控制消息400和500中,下文对此予以更详细的描述。在示范实施例中,主装备控制编码器130与主装备开关124通信以编码主装备控制消息200。下文将结合图2和3更详细地描述控制消息200。正如本文中使用的,"蓝色"控制路径和/或过程是在装备和/或解除UCAV104内耦合的所有武器146时使用的主装备控制路径和/或过程。因此,在示范实施例中,主装备控制编码器130在本文中也称为蓝色编码器,而主装备控制消息200也称为蓝色控制消息。在示范实施例中,编码器130是包括多个编程逻辑门的独立现场可编程的门阵列(FPGA)。或者,编码器130是专用微处理器上的软件。因此,编码器130作为FPGA或专用微处理器上的软件,相比于互相依赖的软件来说是易于分析的。在示范实施例中,蓝色控制消息200包括含有编码信息的信号,所述编码信息与操作人员已做出选择之后要执行的动作相关。在示范实施例中,第一紧急控制编码器132与起动装置开关126和操作员显示器128通信以编码第一紧急控制消息400。下文将结合图4更详细地描述控制消息400。正如本文使用的,"红色"控制路径和/或过程是在控制武器146的目标瞄准和时序中使用的第一紧急控制路径和/或过程,因此第一紧急控制编码器132在本文中也称为红色编码器以及第一紧急控制消息400在本文中也称为红色控制消息。在示范实施例中,编码器132是包括多个编程逻辑门的独立FPGA。或者,编码器132是专用微处理器上的软件。因此,编码器132作为FPGA或专用微处理器上的软件,相比于互相依赖的软件来说是相对易于分析的。在示范实施例中,红色控制消息400包括具有编码信息的信号,所述编码信息与操作人员已做出选择之后要执行的动作关联。在示范实施例中,第二紧急控制编码器134与起动装置开关126和操作员显示器128通信以编码第二紧急控制消息500。更确切地来说,在示范实施例中,第二紧急控制消息500包含与第一紧急控制消息400相同的紧急控制信息,从而将相同的紧急控制信息编码两次。下文将结合图5更详细地描述控制消息500。正如本文使用的,"绿色"控制路径和/或过程是用于控制武器146的目标瞄准和时序的第二紧急控制路径和/或过程,因此第二紧急控制编码器134在本文中也称为绿色编码器以及第二紧急控制消息500在本文中也称为绿色控制消息。在示范实施例中,编码器134是包括多个编程逻辑门的独立FPGA。或者,编码器134是专用微处理器上的软件。因此,编码器134作为FPGA或专用微处理器上的软件,相比于互相依赖的软件来说是相对易于分析的。在示范实施例中,绿色控制消息500包括具有编码信息的信号,所述编码信息与操作人员已做出选择之后要执行的动作相关。将操作员显示器128耦合以与红色编码器132、绿色编码器134和SMS控制消息汇编器136通信。在示范实施例中,将真实选择数据150从操作员显示器128传输到编码器132和134以及传输到汇编器136以便能够将选择数据150编码成紧急控制消息400和500并能够将os选择数据150汇编成SMS控制消息152。更确切地来说,汇编器136接收蓝色控制消息200、红色消息400、绿色控制消息500和选择数据150,并对此响应,将消息200、400和500以及数据150汇编到SMS控制消息152中。经由数据链路112将SMS控制消息152传输到UCAV104。在示范实施例中,单独的主装备控制站106包括辅助主装备开关154、辅助主装备控制编码器156和辅助数据链路116。开关154通过人工交互138来控制。当操作员将主装备开关154从开切换到关、或从关切换到开时,开关154生成辅助主装备控制信号158,该辅助主装备控制信号158被传输到辅助主装备控制编码器156。更确切地来说,辅助主装备控制编码器156与辅助主装备开关154通信并将辅助主装备控制消息160编码。辅助主装备控制消息160—般与蓝色控制消息200相似。辅助主装备控制消息160由辅助数据链路116传送到UCAV104。辅助主装备开关154、辅助主装备控制编码器156和辅助主装备控制消息160被视为蓝色过程和/或控制路径的部分,因为开关154、编码器156和控制消息160用于装备和/或解除耦合到UCAV104的所有武器146。更确切地来说,辅助主装备控制消息160可以取代主控制消息200。例如,当主装备控制站106在操作场所内,且地面站102远离操作场所时,位于主装备控制站106的操作员可能知道位于地面站102的操作员可能不知道的状况,因此位于单独的主装备控制站106的操作员可以利用辅助蓝色控制消息106取代位于地面站102的操作人员发出的装备或解除命令。或者,协议100不包括单独的主装备控制站106,而UCAV104仅由位于地面站102的操作人员来控制。在示范实施例中,编码器156是包括多个编程逻辑门的独立FPGA。或者,编码器156是专用微处理器上的软件。因此,分8析编码器156作为FPGA或专用微处理器上的软件,相比于互相依赖的软件来说是易于分析的。在示范实施例中,UCAV天线120接收SMS控制消息152和/或辅助主装备控制消息160。天线120将状态消息300传送到地面站102和/或主装备控制站106。下文将结合图2更详细地描述状态消息300。在示范实施例中,在UCAVSMS108内使用SMS控制消息152和/或辅助主装备控制消息160来控制耦合到UCAVSMS108的武器146。更确切地来说,SMS控制消息152经由航空电子总线162来传输到SMS108。SMS控制消息152还经由到消息解码器的平台硬连线互锁164传输到SMS108,下文对此予以更详细的描述。硬连线互锁164基本与人工操纵平台内使用的硬连线互锁相似,并提供用于将消息传输到消息解码器的三个独立的互锁。而且,在备选实施例中,可以可选地经由专用主装备数据链路166将蓝色控制消息200和/或160传输到UCAVSMS108。更确切地来说,备选UCAV包括多个天线和接收器,以使主装备数据链路166专用于蓝色控制消息200和航空电子总线162专用于红色控制消息400和绿色控制消息500。在示范实施例中,可选硬连线互锁164利于无人操纵的平台能力与地面站SMS102的集成。更确切地来说,根据UCAV104的特征和/或能力,将与UCAV104的平台特征和/或能力相关的附加信息从UCAV104上的硬件传送到UCAVSMS108。例如,如果UCAV104包括具有打开以释放武器的门的舱,由硬连线互锁164将与门的状态相关的各个离散传送到SMS108。解码器174、176和/或178接收离散。如果离散指示门被关闭,则禁止解码器174、176和/或178释放武器146。因此,各个离散传送的硬连线互锁146特定于UCAV104的类型,并根据非SMS108的UCAV硬件和/或软件的状态禁止或允许SMS108执行的动作。本文描述了使用SMS控制消息152来用于控制武器146,但是将理解,相似的描述适用于使用辅助主装备控制消息160来控制武器146时。但是,仅辅助主装备控制消息160执行下文描述的蓝色功能。在示范实施例中,SMS108包括SMS控制消息反汇编器168、SMS处理器和OFP170、武器数据总线和/或链路172、主装备控制解码器174、第一紧急控制解码器176、第二紧急控制解码器178、电源总线开关180、第一紧急控制晶体管182以及第二紧急控制晶体管184。另外,至少一件武器146使用包括武器接口紧急控制的武器悬挂和释放设备186耦合到UCAV104。包括武器接口紧急控制的武器悬挂和释放设备186在本文中也称为外挂物有效负载控制器(SPC)。UCAV104包括其上外挂每件武器146的SPC186。主装备控制解码器174被视为蓝色控制路径和/或过程的部分,并且在本文中也可以称为蓝色解码器。第一紧急控制解码器176被视为红色控制路径和/或过程的部分,并且在本文中也可以称为红色解码器。第二紧急控制解码器178被视为绿色控制路径和/或过程的部分,并且在本文中也可以称为绿色解码器。在示范实施例中,耦合反汇编器168以与航空电子总线162、解码器174、176和178以及SMS处理器和OFP170通信。将SMS处理器和OFP170耦合以与反汇编器168、与紧急控制解码器176和178以及与武器数据总线/链路172通信。耦合武器数据总线/链路172以经由武器数据接口188与武器146通信。另外,在示范实施例中,将蓝色解码器174耦合以与硬连线互锁164以及与可选的专用主装备数据链路166通信以分别用于接收各个离散和蓝色控制消息200。相似地,将红色解码器176耦合以与硬连线互锁164通信以用于接收各个离散,以及将绿色解码器178耦合以与硬连线互锁164通信以用于接收各个离散。此外,在示范实施例中,将蓝色解码器174耦合以与电源总线开关180通信,将红色解码器176耦合以与第一晶体管182通信,以及将绿色解码器178耦合以与第二晶体管184通信。电源总线开关180包括基于蓝色控制消息200闭合和/或打开的空气间隙200。第一晶体管182在本文中也可以称为红色晶体管,第二晶体管184在本文中也可以称为绿色晶体管。而且,在示范实施例中,UCAVSMS108包括数量n的红色晶体管182和数量n的绿色晶体管184,其中n等于UCAV104上的武器部位(weaponstation)的数量。更确切地来说,一个红色晶体管182和一个绿色晶体管184对应于用于控制附连到其的武器的每个武器部位。当多于一件武器146要释放时,将单独的红色控制消息400传送到与所选武器对应的每个红色晶体管182,以及将单独的绿色控制消息500传送到与所选武器对应的每个绿色晶体管184。在示范实施例中,将电源总线开关180与红色晶体管182以及与绿色晶体管184串联地耦合。因此,开关180、晶体管182和晶体管184用作与逻辑门。更确切地来说,开关180、晶体管182和晶体管184用作逻辑门"蓝色与红色与绿色",以使开关180、晶体管182和晶体管184的每一个均必须被激活才能生成释放信号192,该释放信号192被传送到对应的SPC186以用于释放耦合到SPC186的武器146。因此,如果在开关180、晶体管182或晶体管182中发生瞬变,UCAVSMS108将在其他两个组件未被激活的情况下不释放武器146。而且,因为开关180、n个红色晶体管182和n个绿色晶体管184的配置,所以当开关180被蓝色控制消息200激活时,操作人员和/或SMS110和/或108可以检测晶体管182和/或184是否保持在导通位置中。因此,开关180、n个红色晶体管182以及n个绿色晶体管184的配置有利分析和/或检验协议100。当UCAV104接收SMS控制消息152时,在示范实施例中,经由总线162将消息152传送到反汇编器168。将SMS控制消息152反汇编成蓝色控制消息200、红色控制消息400和绿色控制消息500。反汇编器168将SMS控制消息152传送到SMS处理器和OFP170以确认请求命令。更确切地来说,SMS处理器和OFP170执行验证已分别接收到蓝色、红色和绿色控制消息200、400和500以命令武器释放的程序。因此,SMS处理器和OFP170提供基于无人操纵的平台104的软件状态的对命令的后释放检查。另外,在示范实施例中,SMS处理器和OFP170将消息194传送到红色解码器176和绿色解码器178以便根据无人操纵的平台的类型来禁止、修改和/或延迟武器释放。例如,当SMS处理器和OFP170在接收到控制消息200、400和500之后计算何时要释放武器(如下文所述)时,消息194禁止释放武器146直到计算的时间为止和/或在计算的时间允许释放武器146。另外,SMS处理器和OFP170经由武器数据总线/链路172和武器数据接口188将操作数据196传送到武器146。更确切地来说,控制消息200、400和/或500包含特定武器外挂物用于释放武器146使用的操作信息,例如目标瞄准信息和/或其他适合的指令。此类信息作为操作数据196从SMS处理器和OFP170传送到用于控制关联的武器146的特定武器外挂物。另外,反汇编器168将蓝色控制消息200传送到蓝色解码器174,将红色控制消息400传送到红色解码器176,以及将绿色控制消息500传送到绿色解码器178。下文将结合图3更详细地描述蓝色控制消息200的传输。另外,下文还结合图6更详细地描述示范控制消息传输序列。如果蓝色解码器174接收装备武器146的蓝色控制消息200,则蓝色解码器174激活电源总线开关180以关闭空气间隙190。当电源总线开关180被激活时,武器146准备释放。如果蓝色解码器174接收到解除武器146的蓝色控制消息200,则蓝色解码器174减活(deactivate)电源总线开关180以打开空气间隙190,从而武器146不准备释放。一旦装备武器146并且UCAVSMS108接收到红色和绿色控制消息400和500,红色解码器176开启UCAV104上指定的部位SPC186的红色晶体管182,以及绿色解码器178开启指定的相同部位SPC186的绿色晶体管184。当开关180被激活,且晶体管182和184导通时,向SPC186传送释放信号192以释放对应的武器146。如上所述,在示范实施例中,协议100包括用于装备和释放武器的三个控制路径和/或过程。更确切地来说,协议100包括一个主装备控制过程和/或控制路径(蓝色)和两个冗余紧急控制过程和/或控制路径(红色和绿色)。而且,在UCAV104中分别将地面站102中的每个单独的编码器130、132和134与对应的解码器174、176和178匹配。每个编码器/解码器组与协议100的其他组件彼此独立,从而每个编码器/解码器组不会错误地传送控制消息。而且,使用编码器/解码器组,SMS108和/或110的安全性组件是自持的(self-contained),因此分析和/或测试相对简单。图2是可以结合(图1所示的)协议100使用的主装备(蓝色)控制消息200和主装备状态消息300的示意图。主装备状态消息300在本文中也称为蓝色状态消息。虽然蓝色控制消息200和蓝色状态消息300在本文中作为UCAV104(图1所示)和地面站102(图1所示)之间通信的一部分来描述的,但是将理解对于UCAV104和单独的主装备控制站106之间的通信,控制消息200和状态消息300基本是相似的。在示范实施例中,蓝色控制消息200包含平台标识202、序列号204、命令字段206、计数字段208和校验字210。更确切地来说,平台标识202包含指示哪种类型的UCAV要接收蓝色控制消息200的数据,以及序列号204包含指示指定类型的哪个特定UCAV要接收蓝色控制消息200的数据。命令字段206包含指示是否要装备和/或解除UCAV104和/或将UCAVSMS108(图1所示)复位的数据。检验字210是用于确保蓝色控制消息200的传输中的任何错误不会影响UCAVSMS108的其他组件的高完整性校验和。计数字段208用作看门狗定时器。更确切地来说,计数字段208包含指示UCAV104与地面站102之间是否正在进行任何通信的数据。在示范实施例中,当蓝色控制消息200装备UCAV104时,电源总线开关1S0(如图l所示)保持激活状态,直到UCAV104被解除、和/或蓝色控制消息200期满,对此结合图3予以更详细的描述。计数字段208通过在每次检测到UCAV104与地面站102之间的通信时向上递增来周期性地检查蓝色控制消息200。如果计数字段208的递增停止,则向UCAVSMS108通知蓝色控制消息200从地面站102的传输已丢失。UCAVSMS108内的所有消息200、400和500复位,使得UCAV104的动作被中止。在示范实施例中,蓝色状态消息300包括空气间隙状态302、已命令启用304、已命令复位306、消息计数器308、标签标识310和会话标签312。空气间隙状态302包含指示空气间隙190(如图1所示)是打开还是关闭的信息,已命令启用304包含指示UCAV104已装备还是已解除的信息,以及已命令复位306包含指示UCAVSMS108是否已复位的信息。消息计数器308包含指示计数字段208中的当前增量的信息。因此,消息计数器308指示UCAV104与地面站102之间的通信是已经丢失还是正在进行中。会话标签312包含指示装备UCAV104所持续的时间期间的信息。更确切地来说,对装备UCAV104所持续的每个时间期间生成会话标签,将对应的会话标签编码在紧急控制消息400和500(如图4和5所示)内。如果计数字段208和/或消息计数器308指示由于计数不对应而已丢失通信,则会话标签期满并且UCAV104以失效安全模式操作。图3是可以结合(图1所示的)协议100使用的示范主装备过程250的框图。过程250在本文中还称为蓝色状态机。蓝色状态机250可以在UCAVSMS108(如图1所示)内的任何地方执行,但是在示范实施例中,蓝色状态机250在SPC186(如图1所示)内起作用。在示范实施例中,过程250包括一系列的蓝色控制消息200(如图2所示),这些消息按预定的频率发送,这利于防止看门狗定时器期满。正如将理解的,结合过程250使用的时序参数是应用特定的,并且经过调谐。在示范实施例中,过程250开始于UCAVSMS108处于"空闲"状态252。通过UCAV开机和/或在从任何状态的复位命令来达到空闲状态252。在空闲状态252期间,将蓝色输出(BLUEOut)设为关,以及将会话标签(ST)设为0x0000。当UCAV104(如图1所示)接收到蓝色控制消息200时,如果蓝色控制消息200是适合的,则状态机250从空闲状态252进入(254)"生成"状态256(ST—Gen)。更确切地来说,在接收到计数==0的启用命令之后,从空闲状态252到达生成状态256。在生成状态256期间,随机地生成适合的红色或绿色单元的会话标签。而且,看门狗定时器(BLUE_WDT)被激活,并在生成状态256期间反馈(258)蓝色控制消息200以如消息200中命令的来保持UCAVSMS108操作。如果蓝色控制消息200是不适合的,例如看门狗定时器已期满之后,消息200与先前的控制消息200冲突,和/或控制消息200是乱序接收的,则状态机250从空闲状态252进入(260)"协议失效"状态262(ProtFail),而非进入(254)生成状态256。在协议失效状态262中,UCAVSMS108以失效安全模式操作,其中将蓝色输出设为关。另外,如果下一个蓝色控制消息200是不适合的,则可能从生成状态256进入(264)协议失效状态262,正如上文论述的。在示范实施例中,在协议失效状态262之后,状态机250返回(266)空闲状态252,并等待后续蓝色控制消息200。如果在蓝色控制消息200中接收到复位命令,则状态机250从生成状态256返回(268)空闲状态252。如果UCAVSMS108接收到预期的消息,同时处于生成状态256,则状态机250进入(270)"启用"状态272。在示范实施例中,在接收到含计数==1的启用命令之后,从生成状态256到达启用状态272。在启用状态272期间,将蓝色输出设为开,并且看门狗定时器在进入时重新初始化。在接收到含计数==计数+1的启用命令之后,可以再次进入启用状态272。因此,如果SMS108接收到具有1而非0的计数的初始消息,则UCAVSMS108与地面站SMSIIO之间的"握手"已经完成。在示范实施例中,在启用状态272期间,装备武器146(如图l所示)。在启用状态272期间,反馈(274)蓝色控制消息200,并且看门狗定时器的计数递增以指示装备命令未"过时效"。启用状态272继续,直到接收到紧急控制消息400和500、消息200失效、消息200被复位和/或消息200期满。更确切地来说,如果蓝色控制消息200因为是不适合的而失效,例如看门狗定时器已期满之后,消息200与先前的控制消息200冲突和/或控制消息200是乱序接收的,则状态机250进入(276)协议失效状态262,并且将蓝色输出设为关。如果蓝色控制消息200被复位,则状态机250返回(278)空闲状态252。如果蓝色控制消息200期满,例如计数==最大计数,则从启用状态272进入(282)"期满"状态280。在一个实施例中,最大计数是在未接收到紧急控制消息400和500的情况下所接收到的蓝色控制消息200的最大数量。因此,UCAVSMS108不能无限期地保持被装备。因此,在从主装备开关124(如图1所示)激活起经过预定时间期间之后,武器146不会无意中被释放。从已期满状态280,状态机250返回(284)空闲状态252。图4是可以结合协议100使用的第一紧急控制消息400的示意图。在示范实施例中,红色控制消息400包括标签标识402、会话标签部分404、执行模式406、预留部分408、部位选择410、紧急控制信号412和校验和414。标签标识402和会话标签部分404构成会话标签416,以及执行模式406、部位选择410和紧急控制信号412构成紧急控制字418。或者,紧急控制字418可以包含用于UCAV104(如图l所示)上的武器146(如图l所示)的紧急控制的任何适合的数据。在示范实施例中,校验和414构成紧急授权字420。在示范实施例中,将会话标签416与蓝色状态消息300(如图2所示)的会话标签312(如图2所示)比较。如果会话标签416和312匹配,则可以释放武器146。如果会话标签416与312不匹配,则不能释放武器146,并且UCAVSMS108(如图1所示)进入协议失效状态262(如图3所示)。在示范实施例中,紧急授权字420是用于确保红色控制消息400的传输中的任何错误不会影响UCAVSMS108的其他组件的高完整性校验和。在示范实施例中,执行模式406包含指示UCAVSMS108应该以哪种执行模式操作的数据。更确切地来说,UCAVSMS108可以在接收到红色和绿色控制消息400和500时释放武器146(XM—N0W)或UCAVSMS108可以在接收到红色和绿色控制消息之后计算武器146的释放时间(XM_SW)。在一个实施例中,操作人员选择要使用哪种执行模式。在备选实施例中,UCAVSMS108编程为根据无人操纵的平台的类型来选择执行模式。在示范实施例中,部位选择410包含指示武器146从UCAV104上的哪个部位释放的数据。更确切地来说,UCAV104上的每个武器146处于UCAV104上的各个部位位置,并包括对应的SPC186(如图1所示)。因此,当操作人员选择特定的武器来释放时,在红色控制消息400中的部位选择410处编码对应的部位标识符。在示范实施例中,UCAV104包括五个部位(STA_0、STA_1、STA_2、STA_3和STA_4),但是UCAV104可以包括任何适合数量的部位。在示范实施例中,紧急控制信号412包括指示如何释放武器的数据。紧急控制信号412基于武器的类型而有所不同。在示范实施例中,武器146是炸弹,紧急控制信号412包括指示是否装备炸弹的前端(前端装备)、是否装备炸弹的尾部(尾部装备)的数据、有关安全性启用慎重(safetyenablediscreet)(SEDisc)的信息、发往UCAV104的将固定炸弹的机构(例如SPC186)解锁的命令(解锁)、第一释放命令(Rel.1)和第二释放命令(Rel.2)。图5是可以结合协议100(如图1所示)使用的第二紧急控制消息500的示意图。在示范实施例中,红色控制消息400(如图4所示)和绿色控制消息500是将相同紧急控制信息编码的重复消息。因此,绿色控制消息500与红色控制消息400相同。更确切地来说,在示范实施例中,绿色控制消息500包括标签标识502、会话标签部分504、执行模式5Q6、预13留部分508、部位选择510、紧急控制信号512和校验和514。标签标识502和会话标签部分504构成会话标签516。执行模式506、部位选择510和紧急控制信号512构成紧急控制字518。或者,紧急控制字518可以包含用于UCAV104(如图l所示)上的武器146(如图1所示)的紧急控制的任何适合的数据。在示范实施例中,校验和514构成紧急授权字520。在示范实施例中,将会话标签516与蓝色状态消息300(如图2所示)的会话标签312(如图2所示)比较。如果会话标签516和312匹配,则可以释放武器146。如果会话标签516与312不匹配,则不能释放武器146,并且UCAVSMS108(如图1所示)进入协议失效状态262(如图3所示)。在示范实施例中,紧急授权字520是用于确保绿色控制消息500的传输中的任何错误不会影响UCAVSMS108的其他组件的高完整性校验和。在示范实施例中,执行模式506包含指示UCAVSMS108应该以哪种执行模式操作的数据。更确切地来说,UCAVSMS108可以在接收到红色和绿色控制消息400和500时释放武器146(XM—N0W)或UCAVSMS108可以在接收到红色和绿色控制消息之后计算武器146的释放时间(XM_SW)。在一个实施例中,操作人员选择要使用哪种执行模式。在备选实施例中,UCAVSMS108编程为根据无人操纵的平台的类型来选择执行模式。在示范实施例中,部位选择510包含指示武器146从UCAV104上的哪个部位释放的数据。更确切地来说,耦合到UCAV104的每个武器146处于包括对应的SPC186的各个UCAV部位处。因此,当操作人员选择特定的武器来释放时,在绿色控制消息500中的部位选择510处编码对应的部位标识符。在示范实施例中,UCAV104包括五个部位(STAJ)、STA_1、STA_2、STA_3和STA_4),但是UCAV104可以包括任何适合数量的部位。在示范实施例中,紧急控制信号512包括指示如何释放武器的数据。紧急控制信号512基于武器的类型而有所不同。在示范实施例中,武器146是炸弹,紧急控制信号512包括指示是否装备炸弹的前端(前端装备)、是否装备炸弹的尾部(尾部装备)的数据、有关安全性启用慎重(SEDisc)的信息、发往UCAV104的将固定炸弹的机构(例如SPC186)解锁的命令(解锁)、第一释放命令(Rel.1)和第二释放命令(Rel.2)。图6是可以使用协议100执行的示范控制序列600的示意图。最初,UCAVSMS108(如图l所示)在空闲状态252(如图3所示)中操作(602)。在示范实施例中,序列600包括操作人员使用主装备控制开关124(如图1所示)选择(604)装备武器146(如图1所示)。地面站SMS110(如图1所示)生成蓝色控制消息200,该蓝色控制消息200包含要装备UCAV104(如图1所示)上的武器146的信息。更确切地来说,在示范实施例中,每个蓝色控制消息200包含两个部分,其中每个部分对应于各个紧急控制消息400或500。在UCAVSMS108接收到蓝色控制消息200之后,SMS108进入(606)生成状态256(如图3所示),并向地面站SMS110传送蓝色状态消息300,以指示武器146尚未装备(状态=001100)。地面站SMS110接收到蓝色状态消息300,并在预定看门狗时间间隔608之后,再次传送蓝色控制消息200,但使计数递增1。UCAVSMS108接收到递增的蓝色控制消息200,并从生成状态256进入(610)启用状态272(如图3所示)。更确切地来说,通过接收递增的蓝色控制消息200,UCAVSMS108验证已与地面站SMS110建立了"握手",并进入(610)启用状态272。在第二个时间间隔608结束时,地面站SMSIIO传送另一个递增的蓝色控制消息200,并在接收到递增的蓝色控制消息200时,UCAVSMS108将看门狗定时器递增(612),并传送蓝色状态消息300。直到地面站SMSIIO传送红色和绿色控制消息400和500为止,在每个看门狗时间间隔608处,地面站SMS110传送递增的蓝色控制消息200,UCAVSMS108将看门狗定时器递增(612),并作为响应传送蓝色状态消息300。在UCAVSMS108处于启用状态272之后,位于地面站102的操作人员激活起动装置开关126(如图1所示)。更确切地来说,在示范实施例中,操作人员通过按下起动装置开关126来选择(614)UCAV104上的部位1并请求安全性启用慎重。当起动装置开关126被激活(614)时,地面站SMS110将红色控制消息400和绿色控制消息500传送到UCAVSMS108。UCAVSMS108接收到红色和绿色控制消息400和500,并将消息400和500与上次接收到的蓝色控制消息200比较。如果会话标签匹配,则UCAVSMS108将部位1的状态更改(616)到安全性启用=1。在传送了红色和绿色控制消息400和500之后,地面站SMS110继续在每个看门狗时间间隔608传送递增的蓝色控制消息200。因此,UCAVSMS108继续将看门狗时间递增(612),并作为响应传送蓝色状态消息300。在部位1处于安全性启用=1之后,操作人员释放(618)起动装置开关126。地面站SMS110传送红色和绿色控制消息400和500,这些消息400和500包含将部位1设为安全性启用=0的信息。当UCAVSMS108接收到红色和绿色控制消息400和500,并对照蓝色控制消息200验证消息400和500时,UCAVSMS108将部位1的状态更改(620)到安全性启用=0。下一个蓝色控制消息200将主装备控制开关124设为(622)"安全",并将UCAVSMS108复位(624)到空闲状态252。UCAVSMS108将蓝色状态消息300传送到地面站SMS110,其中该蓝色状态消息300包含用于下一个已装备会话的新会话标签。将理解序列600仅是示范性的,并且可以由地面站SMS110将任何红色和绿色控制消息400和500传送到UCAVSMS108。上述外挂物管理系统和协议通过提供主装备和释放/起动装置控制的分离,将人工操纵平台的红色/绿色/蓝色安全性架构扩展到无人操纵的平台。无人操纵的平台上的这种协议致力于无人操纵的飞行器和/或无人操纵的平台的控制中瞬变期间的安全操作。更确切地来说,本文描述的实施例将命令捆绑到特定的外挂物有效负载控制器(SPC),例如特定部位,以及捆绑到特定的控制会话以利于防止无人操纵的平台接受错误指导的和/或"过时效"的命令。对控制数据链路保留有关控制消息的附加认证,这是平台特定的。另外,上述协议使用不同的互锁均衡个别性地互锁所有可能的紧急控制命令(到外挂物)。因此,与可能产生安全性紧急软件危害的、对所有武器紧急功能只有单个硬件互锁的无人操纵的平台相比,将结合人工操纵平台使用的硬连线互锁扩展到提供到外挂物和/或武器的数据中的特定位模式,有利于减轻潜在的平台相关的软件危害。上文描述的主装备开关和起动装置开关、或舱控制开关使用强校验和在地面站中进行编码。更确切地来说,将主装备命令编码在蓝色控制消息中,将释放和选择的部位命令在红色/绿色消息中编码。当激活多个武器部位时,向无人操纵的平台传送多个红色/绿色消息。另外,上文的无人操纵的SMS经由独立的硬件逻辑接收红色/绿色/蓝色消息,并将它们解码。更确切地来说,无人操纵的SPC操作飞行程序(OFP)可以禁止紧急控制输出,但是在没有来自人工操纵平台的红色/绿色/蓝色消息的情况下不能启用紧急控制输出。而且,数据结构和关联的状态机有利于防止红色/绿色/蓝色控制消息的"再使用",以减轻传输信道中和/或管理红色/绿色/蓝色消息到紧急控制硬件的输送的OFP的组件中的任何潜在危害。本文描述的蓝色控制消息表示人工操纵舱中的主装备控制的等效物。更确切地来说,蓝色控制消息将人工操纵平台中的主装备开关的位置编码,实现确保在主装备开关被启用时持续地接收主装备命令的滚动计数器,并包含将蓝色控制消息与特定SPC匹配的序列号字段。上述蓝色控制消息还包含验证无人操纵的SMS的硬件中所解码的蓝色控制消息的数据字段的强校验和。本文描述的蓝色控制消息控制SPC内的蓝色状态机的状态。更确切地来说,蓝色控制消息具有对应的蓝色状态消息,该蓝色状态消息向人工操纵平台报告主装备的命令状态、当前主装备计数器和/或蓝色空气间隙的实际状态。上述红色和绿色控制消息表示来自人工操纵舱的释放命令的等效物,例如来自起动装置开关和/或投放开关。此外,上述红色/绿色控制消息还将释放命令打算送给的部位以及响应该释放命令需要激活什么紧急控制离散的细节编码。本文描述的红色和绿色控制单元(例如编码器和解码器)是独立地评估从人工操纵平台接收的命令的实质上重复的硬件单元。这两个独立的单元用于消除无人操纵的SMS的紧急子系统内的单点故障。更确切地来说,本文描述的红色和绿色控制结构非常相似,但是包括足够唯一的信息以确保在释放武器之前红色控制消息和绿色控制消息均需要被接收到。例如,对于红色和绿色单元复制相同的数据结构将不会导致因为两个数据结构的至少其中之一未被识别而执行命令。另外,每个数据结构中的会话标签字段将命令捆绑到当前主装备会话。更确切地来说,会话标签字段包含经由蓝色状态消息接收的用于对应红色/绿色消息的标签数据。因此,标签数据对应于红色和绿色消息将是不同的,并且每次激活主装备状态机时将被重新初始化。上文详细地描述了外挂物管理系统及操作该系统的方法的示范实施例。这些方法和系统并不局限于本文描述的特定实施例,而是可以与本文描述的其他组件和/或步骤独立且分开地利用这些系统的组件和/或这些方法的步骤。例如,这些方法可以与其他控制和/或管理系统和方法组合使用,并不局限于仅与本文描述的外挂物管理系统和方法结合来实施。相反,该示范实施例可以结合其他远程管理和/或控制应用来实现和利用。虽然可能在一些附图中示出本发明的多种实施例的特定特征而在另一些附图中未示出,但是这只是出于方便的目的。根据本发明的原理,附图的任何特征可以与任何其他附图的任何特征组合来引用和/或要求权利。本书面描述使用示例来公开本发明,包括最佳模式,并且还使得本领域技术人员能够实施本发明,包括制作和使用任何装置或系统以及执行任何结合的方法。本发明的可取得专利的范围由权利要求来定义,并且可以包括本领域技术人员可设想到的其他示例。如果此类其他示例具有并未与权利要求的字面语言不同的结构单元或如果它们包括与权利要求的字面语言无实质性不同的等效结构单元,它们理应在权利要求的范围内。各部分列表<table>tableseeoriginaldocumentpage16</column></row><table><table>tableseeoriginaldocumentpage17</column></row><table><table>tableseeoriginaldocumentpage18</column></row><table><table>tableseeoriginaldocumentpage19</column></row><table>100协议264进入266返回268返回270进入272启用状态274反馈276进入278返回280"期满"状态282进入284返回300蓝色状态消息302空气间隙状态304已命令启用306已命令复位308消息计数器310标签标识312会话标签400红色控制消息402标签标识20<table>tableseeoriginaldocumentpage21</column></row><table><table>tableseeoriginaldocumentpage22</column></row><table>权利要求一种外挂物管理系统(SMS)(114),包括人工操纵站,包括主装备控制消息编码器(130)、第一紧急控制消息编码器(132)和第二紧急控制消息编码器(134);无人操纵的平台,包括主装备控制消息解码器(174)、第一紧急控制消息解码器(176)和第二紧急控制消息解码器(178);以及数据链路(112),在所述人工操纵站和所述无人操纵的平台之间,所述数据链路配置成将主装备控制消息(160)从所述主装备控制消息编码器传送到所述主装备控制消息解码器;将第一紧急控制消息(400)从所述第一紧急控制消息编码器传送到所述第一紧急控制消息解码器;以及将第二紧急控制消息(500)从所述第二紧急控制消息编码器传送到所述第二紧急控制消息解码器。2.如权利要求1所述的SMS(114),还包括单独的主装备控制站(106),所述单独的主装备控制站(106)包括辅助主装备控制消息编码器(156)和辅助数据链路(166),所述辅助数据链路配置成将辅助主装备控制消息(160)从所述辅助主装备控制消息编码器传送到所述主装备控制消息解码器(174)。3.如权利要求1所述的SMS(114),其中所述无人操纵的平台配置成在接收到所述主装备控制消息(160)、所述第一紧急控制消息(400)和所述第二紧急控制消息(500)时释放武器(146)。4.如权利要求1所述的SMS(114),其中所述无人操纵的平台还包括看门狗定时器,所述主装备控制消息(152)配置成将所述看门狗定时器递增。5.如权利要求1所述的SMS(114),其中所述第二紧急控制消息(500)是所述第一紧急控制消息(400)的重复。6.如权利要求1所述的SMS(114),其中所述主装备控制消息编码器(130)与所述第一紧急控制消息编码器(132)和所述第二紧急控制消息编码器(134)分离,以及所述第一紧急控制消息编码器与所述第二紧急控制消息编码器分离。7.如权利要求1所述的SMS(114),其中所述主装备控制消息解码器(174)与所述第一紧急控制消息解码器(176)和所述第二紧急控制消息解码器(178)分离,以及所述第一紧急控制消息解码器与所述第二紧急控制消息解码器分离。8.如权利要求1所述的SMS(114),其中所述数据链路(112)包括第一天线(118),位于所述人工操纵站;以及第二天线(120),位于所述无人操纵的平台,所述第一和第二天线配置成使用射频来通信。9.如权利要求1所述的SMS(114),其中所述无人操纵的平台还包括电源总线开关(180),与所述主装备控制消息解码器(174)通信而耦合;第一晶体管(182),与所述第一紧急控制消息解码器(176)通信而耦合;以及第二晶体管(184),与所述第二紧急控制消息解码器(178)通信而耦合,其中所述电源总线开关、所述第一晶体管和所述第二晶体管串联地耦合。10.如权利要求1所述的SMS(114),其中所述无人操纵的平台还包括电源总线开关(180),与所述主装备控制消息解码器(174)通信而耦合;多个第一晶体管(182),与所述第一紧急控制消息解码器(176)通信而耦合,所述多个第一晶体管包括n个第一晶体管;以及多个第二晶体管(184),与所述第二紧急控制消息解码器(178)通信而耦合,所述多个第二晶体管包括n个第二晶体管,其中n等于所述无人操纵的平台上的武器部位的数量。全文摘要本发明名称为“外挂物管理系统和操作外挂物管理系统的方法”。提供一种外挂物管理系统(SMS)。SMS包括人工操纵站、无人操纵的平台以及人工操纵站与无人操纵的平台之间的数据链路,人工操纵站包括主装备控制消息编码器、第一紧急控制消息编码器和第二紧急控制消息编码器,无人操纵的平台包括主装备控制消息解码器、第一紧急控制消息解码器和第二紧急控制消息解码器。数据链路配置成将主装备控制消息从主装备控制消息编码器传送到主装备控制消息解码器,将第一紧急控制消息从第一紧急控制消息编码器传送到第一紧急控制消息解码器,以及将第二紧急控制消息从第二紧急控制消息编码器传送到第二紧急控制消息解码器。文档编号G05B19/418GK101713987SQ20091017417公开日2010年5月26日申请日期2009年9月30日优先权日2008年9月30日发明者E·D·比勒,S·A·M·拉西尼申请人:通用电气公司