La présente invention concerne le domaine du contrôle des véhicules autonomes, c’est-à-dire sans pilote humain. Le domaine d’application est celui notamment des aéronefs autonomes, i.e. sans aucune intervention de l’humain pour le contrôler pendant l’opération : robot-avions, robot-drones, robot-hélicoptères...

Ce contrôle a pour but de garantir la sûreté de vol d’un aéronef. Par sûreté de vol, on entend la probabilité, que l’on garantit, qu’un événement (e.g. accident, incident, défaillances, etc...) amène à la mort ou la blessure de personnes humaines à bord de l’aéronef ou au sol. Dans l’aéronautique cette probabilité est traditionnellement associée à un niveau de risque :

Niveau de risque Classification des effets d’un accident

Catastrophique Perte de l’avion et/ou morts

Risqué Réduction des marges de sécurité

(Hazardous) Détresse physique ou charge équipage trop importantes

Blessures sévères ou morts de quelques occupants

Réduction significative des marges de sécurité

Majeur Diminution de la capacité de l’équipe à faire face à des

(Major) conditions opérationnelles difficiles

Blessures sévères ou morts de quelques occupants

Mineur Faible réduction des marges de sécurité

(Minor) Charge équipe légèrement augmentée (changement de routines)

Effets physiques mais pas de blessures des occupants

Les méthodes employées aujourd’hui dans le domaine des robots-aéronefs sont des vols supervisés par un opérateur avec automatisation de tâches de l’aéronef, ou bien sont basées sur des mécanismes dont la sûreté n’est aujourd’hui ni garantie, ni reconnue, utilisant par exemple de l’intelligence artificielle, par exemple de type machine learning.

A cet effet, suivant un premier aspect, l’invention propose un procédé de contrôle d’un robot-aéronef piloté par un système de contrôle entièrement autonome comprenant un premier module de décision et un module simplex de contrôle de pilotage comprenant un contrôleur haute performance, un contrôleur haute sécurité et un deuxième module de décision, les contrôleurs haute performance et haute sécurité déterminant chacun des commandes de pilotage du robot-aéronef, selon lequel les étapes suivantes sont mises en œuvre par le module simplex de contrôle de pilotage :

- un ensemble d’états sûrs ayant été prédéfinis représentés chacun par un vecteur d’état comprenant un ensemble de paramètre(s) de valeur(s) prédéfinie(s) parmi un ensemble de paramètres caractérisant G évolution latérale, verticale et/ou longitudinale du robot-aéronef, détermination par le deuxième module de décision de l’état courant du robot-aéronef représenté par le vecteur d’état courant comprenant les valeurs courantes dudit ensemble de paramètre(s), relatives au robot-aéronef et détermination par le deuxième module de décision de si ledit état courant déterminé est un état sûr compris dans l’ensemble des états sûrs ;

- dans le cas où il a déterminé que l’état courant est un état sûr, le deuxième module de décision sélectionne alors les commandes courantes de pilotage fournies par le contrôleur haute performance parmi celles fournies par le contrôleur haute performance et le contrôleur haute sécurité, le module simplex de contrôle de pilotage délivrant alors en sortie sélectivement lesdites commandes de pilotage sélectionnées pour exécution par le robot-aéronef ;

- dans le cas où il a déterminé que l’état courant n’est pas un état sûr, le deuxième module de décision sélectionne alors les commandes courantes de pilotage fournies par le contrôleur haute sécurité parmi celles fournies par le contrôleur haute performance et le contrôleur haute sécurité pour exécution par le robot-aéronef, le module simplex de contrôle de pilotage délivrant alors en sortie sélectivement lesdites commandes de pilotage sélectionnées pour exécution par le robot-aéronef ; ledit procédé étant caractérisé en ce qu’il comprend en outre les étapes suivantes :

- surveillance, par le premier module de décision, de ce qu’un ensemble de conditions est bien vérifié ;

- tant que ledit ensemble de conditions est bien vérifié, mise en œuvre par le premier module de décision d’un premier mode de pilotage du robot-aéronef, dit mode nominal de pilotage, comprenant la fourniture en sortie du système de contrôle automatique desdites commandes de pilotage délivrées en sortie du module simplex de contrôle de pilotage ; - dès que ledit ensemble de conditions n’est plus vérifié, basculement par le premier module de décision du premier mode de pilotage vers un deuxième mode de pilotage, dit mode d’urgence de pilotage, dans lequel un ensemble de commandes d’urgence comprenant au moins une commande de pilotage est généré par un module d’urgence en réponse audit basculement et ledit ensemble de commandes d’urgence est fourni en sortie du système de contrôle automatique pour exécution par le robot-aéronef, le premier module de décision empêchant la fourniture en sortie du système de contrôle automatique des commandes de pilotage délivrées en sortie du module simplex de contrôle de pilotage.

L’invention permet ainsi de garantir la sûreté de vol d’un aéronef sans intervention d’un humain et propose une solution complètement autonome (i.e. automatique et sans supervision par l’humain) de contrôle permettant de garantir que ledit aéronef reste dans une enveloppe d’états sûrs, en considérant le vecteur d’état.

Dans des modes de réalisation, un procédé de contrôle d’un robot-aéronef suivant l’invention comporte en outre une ou plusieurs des caractéristiques suivantes :

- le robot-aéronef exécute les commandes de pilotage fournies en sortie du système de contrôle ; l’ensemble de conditions comporte une ou plusieurs des conditions parmi des conditions correspondant à un bon fonctionnement de capteurs embarqués dans le robot-aéronef, la disponibilité de données relatives à la zone courante survolée (bases de donnée de terrain, obstacles, zones de poser), la présence d’au moins une zone de poser prédéfinie à une distance maximum fixée, absence de pannes matérielles prédéfinies, une valeur courante de la vitesse et/ou de l’altitude dans une plage de valeurs prédéfinies ;

- le robot-aéronef est un robot-hélicoptère, robot-avion à voilure fixe, un drone, un robot-avion à décollage et atterrissage verticaux ;

- la répartition exclusive des fonctions entre le contrôleur haute performance et le contrôleur haute sécurité est la suivante : le contrôleur haute performance identifie la zone d’atterrissage et/ou génère le trajet d’approche, exécute et/ou adapte la manœuvre d’approche, et génère des commandes correspondantes de pilotage du robot-aéronef ; le contrôleur haute sécurité maintient le robot-aéronef dans l’enveloppe de vol correspondant à l’ensemble des états sûrs et/ou évite les obstacles et/ou reboote le contrôleur haute performance et/ou navigue et atterrit sur un terrain prédéfini et génère des commandes correspondantes de pilotage du robot-aéronef ; les paramètres d’évolution latérale, verticale, et/ou longitudinale comprennent des paramètres de type vitesse, accélération et/ou cap du robot-aéronef dans le plan respectivement latéral, verticale, et/ou longitudinal.

Suivant un deuxième aspect, la présente invention propose un système de contrôle adapté pour piloter de manière entièrement autonome un robot-aéronef comprenant un premier module de décision et un module simplex de contrôle de pilotage comprenant un contrôleur haute performance, un contrôleur haute sécurité et un deuxième module de décision, les contrôleurs haute performance et haute sécurité étant adaptés chacun pour déterminer des commandes de pilotage du robot-aéronef, dans lequel :

- un ensemble d’états sûrs ayant été prédéfinis représentés chacun par un vecteur d’état comprenant un ensemble de paramètre(s) de valeur(s) prédéfinie(s) parmi un ensemble de paramètres caractérisant I’ évolution latérale, verticale et/ou longitudinale du robot-aéronef, le deuxième module de décision est adapté pour déterminer l’état courant du robot-aéronef représenté par le vecteur d’état courant comprenant les valeurs courantes dudit ensemble de paramètre(s), relatives au robot-aéronef et pour déterminer si ledit état courant déterminé est un état sûr compris dans l’ensemble des états sûrs ;

- dans le cas où il a déterminé que l’état courant est un état sûr, le deuxième module de décision est adapté pour sélectionner alors les commandes courantes de pilotage fournies par le contrôleur haute performance parmi celles fournies par le contrôleur haute performance et le contrôleur haute sécurité, le module simplex de contrôle de pilotage est adapté pour délivrer alors en sortie sélectivement lesdites commandes de pilotage sélectionnées pour exécution par le robot-aéronef ;

- dans le cas où il a déterminé que l’état courant n’est pas un état sûr, le deuxième module de décision est adapté pour sélectionner alors les commandes courantes de pilotage fournies par le contrôleur haute sécurité parmi celles fournies par le contrôleur haute performance et le contrôleur haute sécurité pour exécution par le robot-aéronef, le module simplex de contrôle de pilotage est adapté pour délivrer alors en sortie sélectivement lesdites commandes de pilotage sélectionnées pour exécution par le robot-aéronef ; ledit système étant caractérisé en ce que:

- le premier module de décision est adapté pour surveiller qu’un ensemble de conditions est bien vérifié ;

- tant que ledit ensemble de conditions est bien vérifié, le premier module de décision est adapté pour mettre en œuvre un premier mode de pilotage du robot- aéronef, dit mode nominal de pilotage, comprenant la fourniture en sortie du système de contrôle automatique desdites commandes de pilotage délivrées en sortie du module simplex de contrôle de pilotage ;

- dès que ledit ensemble de conditions n’est plus vérifié, le premier module de décision est adapté pour déclencher un basculement du premier mode de pilotage vers un deuxième mode de pilotage, dit mode d’urgence de pilotage, dans lequel un module d’urgence est adapté pour générer un ensemble de commandes d’urgence comprenant au moins une commande de pilotage en réponse audit basculement, le système de contrôle automatique étant adapté pour fournir en sortie ledit ensemble de commandes d’urgence pour exécution par le robot-aéronef, le premier module de décision étant adapté pour empêcher la fourniture en sortie du système de contrôle automatique des commandes de pilotage délivrées en sortie du module simplex de contrôle de pilotage.

Dans des modes de réalisation du système de contrôle : l’ensemble de conditions comporte une ou plusieurs des conditions parmi des conditions correspondant à un bon fonctionnement de capteurs embarqués dans le robot-aéronef, la disponibilité de données relatives à la zone courante survolée (bases de donnée de terrain, obstacles, zones de poser), la présence d’au moins une zone de poser prédéfinie à une distance maximum fixée, absence de pannes matérielles prédéfinies, une valeur courante de la vitesse et/ou de l’altitude dans une plage de valeurs prédéfinies ; et/ou les paramètres d’évolution latérale, verticale, et/ou longitudinale comprennent des paramètres de type vitesse, accélération et/ou cap du robot-aéronef dans le plan respectivement latéral, verticale, et/ou longitudinal.

Suivant un autre aspect, l’invention propose un robot-aéronef comprenant un système de contrôle suivant le précédent aspect de l’invention, ledit robot-aéronef étant adapté pour exécuter les commandes de pilotage fournies en sortie du système de contrôle.

Ces caractéristiques et avantages de l’invention apparaîtront à la lecture de la description qui va suivre, donnée uniquement à titre d’exemple, et faite en référence aux dessins annexés, sur lesquels :

[Fig 1] la figure 1 représente une vue schématique d’un hélicoptère-robot dans un mode de réalisation de l’invention ;

[Fig 2] la figure 2 est une vue schématique illustrant le mode de fonctionnement simplex dans un mode de réalisation de l’invention ;

[Fig 3] la figure 3 est un diagramme d’états dans un mode de réalisation de l’invention ;

[Fig 4] la figure 4 représente les étapes d’un procédé de contrôle de pilotage dans un mode de réalisation de l’invention ;

La figure 1 représente un robot-aéronef 1 , encore appelé aéronef autonome 1, ici un robot-hélicoptère, c’est-à-dire un hélicoptère sans pilote et en outre non opéré à distance par un opérateur humain.

Le robot-hélicoptère 1 comprend, entre autres, un système de contrôle de pilotage 20 et un ensemble d’équipements, désignés ici globalement par l’appellation globale « dispositif de contrôles et d’actionneurs » 10.

Le dispositif de contrôles et d’actionneurs 10 comprend l’ensemble des équipements du robot-hélicoptère 1 créant le déplacement du robot-hélicoptère : les moteurs, les pales, les parties mobiles du robot-hélicoptère influant sur sa dynamique, son altitude, son orientation, sa vitesse, son accélération. Le dispositif de contrôles et d’actionneurs 10 inclut au moins les équipements de mise en œuvre des commandes de vol (plateforme temps réel de calcul électronique). Selon les aéronefs, il pourra aussi inclure une partie ou la totalité des actionneurs (mécanique ou électriques) permettant par exemple de déplacer les gouvernes aérodynamiques, des contrôleurs moteurs (ex : contrôle de la puissance délivrée, des vitesses de rotation ou du pas des hélices) ou encore tout organe de contrôle spécifique au porteur, ainsi que tout dispositif d’asservissement électronique.

Le système de contrôle de pilotage 20 est adapté pour déterminer automatiquement des commandes de pilotage et les fournir au dispositif de contrôles et d’actionneurs 10 qui les exécute ensuite : ces commandes comprennent donc les commandes de vol (i.e. de vitesse, d’altitude, d’attitude), ainsi que d’un cap... Le système de contrôle de pilotage 20 comprend un module de pilotage simplex 2, un module de basculement de modes 51 , libellé module ODM 51 et un module d’urgence, nommé module EMRGCY 61.

Le module de contrôle de pilotage simplex 2 est un module de détermination de commandes de pilotage destinées au dispositif moteur 10. Le module de pilotage simplex 2 est doté d’une architecture de type simplex. Cette architecture, utilisée dans les systèmes critiques pour calculer les commandes du système est décrite par exemple dans le document « Using Simplicity to Control Complexity », Lui Sha et al, 2001. L’architecture simplex permet de garder le système contrôlé dans une enveloppe sûre.

Le module de pilotage simplex 2 comprend ainsi :

- un contrôleur de pilotage « haute performance » 21 , nommé aussi HPC 21 ;

- un contrôleur de pilotage « haute sécurité » 31 , nommé aussi HAC 31 ; un module de décision 41 , nommé aussi DM 41.

Chacun des contrôleurs de pilotage HPC 21 et HAC 31 est adapté pour, en parallèle l’un de l’autre, déterminer des commandes de pilotage du dispositif de contrôles et d’actionneurs 10, en fonction de données qui leur sont fournies par un ensemble de capteurs et en fonction d’une mission à réaliser par l’aéronef autonome 1(par exemple un itinéraire à suivre, une prise de vue à effectuer, un transport de charge, une inspection visuelle, une prise en chasse d’une voiture ).

L’ensemble de capteurs comprend selon les modes de réalisation un ou des capteurs parmi des capteurs :

- adaptés pour percevoir l’environnement extérieur, tel qu’un dispositif de télédétection par laser, plus connu sous le nom de lidar (de l’anglais light détection and ranging) ; un radar (de l’anglais radio détection and ranging) ; un laser (de l'anglais light amplification by stimulated émission of radiation) ; un télémètre ; un radioaltimètre ; ou tout autre dispositif de vision telle qu’une ou plusieurs caméras stéréoscopiques ; et/ou

- adaptés pour estimer les caractéristiques physiques de l’aéronef autonome 1 (position, vitesse, accélération et attitudes), tels qu’un accéléromètre ; une centrale inertielle, également appelée IMU (de l’anglais Inertial Measurement Unit) ; un capteur à effet Doppler ; un capteur de positionnement par satellites, tel qu’un capteur GPS (de l’anglais Global Positioning System), un capteur Galileo, un capteur Glonass ; et/ou - adaptés pour percevoir la masse d’air dans laquelle l’aéronef autonome 1 évolue, telle que des sondes d’incidence, des capteurs de pressions (Air data Unit) ou un radar météo.

Ces capteurs sont embarqués à bord du aéronef autonome 1 ou à l’extérieur de ce dernier.

Le contrôleur HAC 31 peut aussi utiliser en entrée les commandes déterminées par le contrôleur HPC 21 .

Typiquement le HPC 21 est adapté pour réaliser la fonction de calcul des commandes à partir d’entrées, le tout avec un objectif de performance - avec technologie performante tels que les réseaux de neurones ou les algorithmes évolutionnaires, tandis que le HAC 31 est adapté pour réaliser cette même fonction de calcul des commandes à partir d’entrées, avec des objectifs de sûreté, le HAC 31 ayant, dans un mode de réalisation, été certifié quant à la sûreté de vol (conçu et certifié pour atteindre ses objectifs avec un niveau de sûreté standard). Le HAC 31 peut aussi réaliser une fonction plus simple que le HPC 21 permettant seulement de protéger l’aéronef.

Dans son calcul de commandes pour réaliser la mission, par exemple le suivi d’un itinéraire prédéfini, le HPC 21 prend en compte le confort des passagers, la minimisation de la consommation de carburant etc., tandis que le HAC 31 veille à éviter les obstacles et les pertes de contrôle, sans prise en compte des aspects carburant, ni confort.

A l’aéronef autonome 1 est associé un vecteur d’état, comprenant des paramètres, dans le plan vertical et/ou le plan longitudinal et/ou le plan latéral, dont la valeur caractérise l’état courant de l’aéronef 1 et/ou son évolution dans chacun de ces plans.

Dans le plan longitudinal, les paramètres du vecteur d’état pourront être la position de l’aéronef autonome 1, sa vitesse longitudinale (de type Calibrated AirSpeed, True AirSpeed, Mach, IAS, Ground Speed ...), et/ou son accélération longitudinale...

Dans le plan latéral, les paramètres du vecteur d’état pourront être la vitesse latérale de l’aéronef autonome 1, son accélération latérale, le facteur de charge latéral, et/ou les attitudes de l’aéronef 1 dans ce plan (roulis, lacet, dérapage, cap, route) ...

Dans le plan vertical, les paramètres du vecteur d’état pourront être l’altitude de l’aéronef autonome 1, sa vitesse verticale, son accélération verticale, le facteur de charge vertical, et/ou les attitudes de l’aéronef 1 dans ce plan (tangage, incidence, assiette verticale) ...

Optionnellement une hauteur sol, ou plus généralement un couple distance/direction à l’obstacle le plus proche complète ce vecteur d’état.

Le module de pilotage simplex 2 est en outre associé à un ensemble d’états sûrs prédéfinis 40. Cet ensemble d’états sûrs prédéfinis comprend la définition d’un ou de plusieurs états sûrs, chaque état sûr étant représenté par un vecteur d’état dont les paramètres prennent des valeurs respectives prédéfinies, comprises dans un domaine de valeurs respectives prédéfinies dans chaque plan considéré parmi les plans vertical, latéral, longitudinal.

Le domaine de valeurs prédéfinies est par exemple construit en regard de la mission : par exemple, concernant les attitudes, on pourra limiter la valeur du cap à un écart de quelques degrés (par exemple un écart d’une valeur fixée, inférieure ou égale à 10°) avec un cap théorique que devrait alors avoir le robot-aéronef autonomel d’après sa mission.

Le module de décision 41 , nommé aussi DM 41 est adapté pour déterminer l’état courant du robot-aéronef 1, défini par le vecteur d’état courant, i.e. par exemple par la vitesse courante, l’accélération courante et la différence de cap courante dans chaque plan considéré. Le DM 41 est adapté pour comparer l’état courant du robot-aéronef à l’ensemble d’état sûrs 41 et ainsi pour déterminer, en fonction de la comparaison, si l’état courant fait partie ou non des états sûrs (ie si le vecteur d’état courant est égal à l’un des vecteurs d’état sûrs).

Le DM 41 est adapté pour, dans le cas où l’état courant ne fait pas partie des états sûrs, choisir les commandes courantes de pilotage fournies par le contrôleur HAC 31 parmi les commandes courantes de pilotage fournies par le contrôleur HPC 21 et le contrôleur HAC 31 , et pour délivrer lesdites commandes choisies en sortie du module de contrôle de pilotage simplex 2.

Le DM 41 est adapté pour, dans le cas où l’état courant fait partie des états sûrs, choisir les commandes courantes de pilotage fournies par le contrôleur HPC 21 parmi les commandes courantes de pilotage fournies par le contrôleur HPC 21 et le contrôleur HAC 31 , et pour délivrer lesdites commandes choisies en sortie du module de contrôle de pilotage simplex 2.

Pour ce faire, dans un mode de réalisation en référence à la figure 1 , le module de contrôle de pilotage simplex 2 comprend un commutateur 9 et le DM 41 est adapté pour piloter le commutateur 9 pour mettre en liaison le HPC 21 lorsqu’un état sûr a été déterminé et alternativement pour mettre en liaison le HAC 21 lorsqu’un état non sûr a été déterminé.

Dans un mode de réalisation, le module de contrôle de pilotage simplex 2 met en outre en œuvre une méthode contrôle adaptatif tel que le L1 simplex, qui permet de détecter que le modèle de contrôle de l’aéronef est en train de changer, ce qui est par exemple le cas lors d’une défaillance (ex : une panne moteur), ou lors de phénomènes aérologies extrêmes (ex : turbulences engendrant un décrochage ou windshear).

Le module de pilotage simplex 2 permet ainsi, dès que le robot-aéronef n’est plus dans un état sûr tel que prédéfini, de redonner le pilotage au contrôleur HAC 31 de sûreté supérieure, jusqu’à ce que ce dernier ait ré-établi le robot-aéronef 1 dans un état sûr.

Le module de basculement de modes 51 , dit encore module ODM 51 , est adapté pour surveiller un ensemble de conditions 52, dit ensemble de conditions de fonctionnement nominal 52, et pour détecter dès que cet ensemble de conditions nominales n’est plus vérifié.

Le module ODM 51 est adapté pour, tant qu’il détecte que l’ensemble de conditions de fonctionnement nominal 52 est rempli, permettre la fourniture au dispositif de contrôles et d’actionneurs 10, des commandes courantes déterminées par le module de pilotage automatique simplex 2 et destinées au dispositif de contrôles et d’actionneurs 10 : il s’agit du mode de fonctionnement nominal du système de contrôle de pilotage 20. Le module ODM 51 est adapté pour, dès détection que l’ensemble de conditions de fonctionnement nominal 52 n’est plus rempli, empêcher la fourniture, au dispositif de contrôles et d’actionneurs 10, des commandes courantes déterminées par le module de pilotage simplex 2, et pour commander au module d’urgence EMRGCY 61 la mise en œuvre d’une procédure d’urgence, donnant lieu à des commandes d’urgence qui sont alors fournies au dispositif de contrôles et d’actionneurs 10 : il s’agit du mode de fonctionnement d’urgence du système de contrôle de pilotage 20.

Dans le mode de réalisation considéré, l’ensemble de conditions de fonctionnement nominal 52 est défini par un ou plusieurs des paramètres suivants : conditions -extérieures à l’aéronef 1- de vol courantes garantissant un bon fonctionnement des capteurs : par exemple plage de températures extérieures, vitesse du vent et direction du vent, luminance, visibilité (RVR), pluie ; - disponibilité de données relatives à la zone courante survolée (bases de donnée de terrain, obstacles, zones de poser) ; présence d’au moins une zone de poser prédéfinie à moins de x NM (NM pour l’unité de Mile Nautique, de l’anglais « Nautic Mile »), x est par exemple dans la plage [1 , 10] ;

- état de bon fonctionnement (selon des critères prédéfinis) des équipements du aéronef autonome 1 , notamment du dispositif de contrôles et d’actionneurs 10 et notamment du module de pilotage simplex 2 ; absence de pannes matérielles graves, i.e. qui ont un impact sur la mission ; valeurs courantes de la vitesse et/ou de l’altitude etc. dans des plages de valeurs respectives prédéfinies par le manuel avion et les limitations des capteurs.

Le dispositif de contrôles et d’actionneurs 10 est adapté pour exécuter les commandes qui lui sont fournies en entrée : ainsi sous l’arbitrage du module ODM 51 , le dispositif de contrôles et d’actionneurs 10 est adapté pour exécuter les commandes fournies par le module de pilotage simplex 2 en mode de fonctionnement nominal et pour exécuter les commandes d’urgence en mode d’urgence.

Le module d’urgence EMRGCY 61 est adapté, dans le mode de fonctionnement d’urgence, pour fournir des commandes d’urgence au dispositif de contrôles et d’actionneurs 10 permettant de placer le robot-aéronef dans un état de risque minimum : ces commandes d’urgence comprennent par exemple une commande d’atterrissage immédiat, ou une commande d’atterrissage sur la zone d’urgence la plus proche parmi une liste prédéfinie de zones d’urgence, ou par exemple, lorsque l’aéronef est un hélicoptère, une manœuvre d’autorotation en cas de panne moteur

Les étapes d’un procédé 300 de contrôle de pilotage d’un aéronef autonome 1 dans un mode de mise en œuvre de l’invention sont maintenant décrites en référence à la figure 4. Ces étapes décrivent la détermination automatique des commandes de pilotage par le système de contrôle de pilotage 20, en fonction du contexte et la fourniture de celles des commandes devant alors s’appliquer selon l’état (sûr/non sûr et selon le mode de fonctionnement nominal ou mode d’urgence) au dispositif de contrôles et d’actionneurs 10. Dans un ensemble d’étapes 301, les étapes suivantes sont mises en œuvre, le module ODM 51 surveillant l’ensemble de conditions de fonctionnement nominal 52 (par exemple à une fréquence comprise dans la plage 0.1 à 1000 Hz) :

► Tant que chacune des conditions de l’ensemble de ces conditions 52 est remplie, le système de contrôle de pilotage 20 opère dans un mode de fonctionnement nominal, où l’ODM 51 permet que les commandes de pilotage déterminées par le module de pilotage simplex 2, comme décrit ci-dessous relativement aux étapes 302, 303, soient effectivement fournies au système moteur 10.

La figure 3 représente un diagramme de machine à états illustrant le fonctionnement du système de contrôle de pilotage 20. Le mode de fonctionnement nominal correspond à l’état 110.

► Dès que le module ODM 51 détecte dès que l’ensemble de conditions nominales 52 n’est plus vérifié (par exemple température extérieure trop froide, pas de données disponibles quant à la présence d’obstacles à proximité du robot- aéronef, pas de zone de poser prédéfinie dans le périmètre prescrit, panne matérielle grave, altitude hors plage autorisée ...), il déclenche le basculement du système de contrôle de pilotage 20 depuis le mode de fonctionnement nominal vers un mode de fonctionnement d’urgence : le module ODM 51 empêche dès lors la fourniture au dispositif de contrôles et d’actionneurs 10, des commandes courantes déterminées par le module de pilotage simplex 2, et commande la mise en œuvre d’une procédure d’urgence par le module d’urgence EMRGCY 61, ainsi que décrit relativement l’étape 304 ci-dessous.

Le mode de fonctionnement d’urgence correspond à l’état 610 sur le diagramme de la machine à états représenté en figure 3.

Le mode de fonctionnement nominal est un mode de fonctionnement correspondant à l’architecture simplex du module de pilotage simplex 2.

Dans ce mode de fonctionnement nominal, chacun des contrôleurs de pilotage HPC 21 et HAC 31, en parallèle l’un de l’autre, détermine des commandes de pilotage du dispositif de contrôles et d’actionneurs 10, en fonction de données qui leur sont fournies par l’ensemble de capteurs embarqués à bord du robot- aéronef ou non) et en fonction de la mission du robot-aéronef 1. La fréquence de rafraîchissement de ces commandes est par exemple comprise dans la plage 0.1 à 1000Hz.

Dans ce mode de fonctionnement nominal, le module de décision 41 , DM 41 , lui, détermine, par exemple à une fréquence comprise dans la plage 0.1 à 1000 Hz, l’état courant du robot-aéronef 1, défini par le vecteur d’état courant comprenant les termes suivants relatifs au robot-aéronef 1 : sa vitesse courante, son accélération courante et la différence de cap courante. Le DM 41 compare l’état courant du robot-aéronef à l’ensemble d’état sûrs 40 :

Si l’état courant ne fait pas partie des états sûrs, dans une étape 303, le DM 41 choisit alors les commandes courantes de pilotage fournies par le contrôleur HAC 31 parmi les commandes courantes de pilotage fournies par le contrôleur HPC 21 et le contrôleur HAC 31 , et commande la délivrance desdites commandes choisies en sortie du module de contrôle de pilotage simplex 2.

En mode de fonctionnement nominal, le dispositif de contrôles et d’actionneurs 10 exécute alors ces commandes (état 310 de la machine à état en figure 3).

Si l’état courant fait partie des états sûrs, dans une étape 302, le DM 41 choisit alors les commandes courantes de pilotage fournies par le contrôleur HPC 21 parmi les commandes courantes de pilotage fournies par le contrôleur HPC 21 et le contrôleur HAC 31 , et commande la délivrance desdites commandes choisies en sortie du module de contrôle de pilotage simplex 2. En mode de fonctionnement nominal, le dispositif de contrôles et d’actionneurs 10 exécute alors ces commandes (état 210 de la machine à état en figure 3).

Le choix par le DM 41 , par exemple, donne lieu au pilotage du commutateur 9 pour mettre en liaison la sortie du module de contrôle de pilotage simplex 2 et la sortie du HPC 21 lorsqu’un état sûr a été déterminé et alternativement pour mettre en liaison le HAC 21 et la sortie du module de contrôle de pilotage simplex 2 lorsqu’un état non sûr a été déterminé.

Ainsi dans le mode de fonctionnement nominal, dans les états sûrs, le pilotage est assuré par le HPC 21 , le HAC reprenant le contrôle dès que le robot-aéronef a quitté l’ensemble des états sûrs et gardant ce contrôle jusqu’à ce que le robot- aéronef retrouve à nouveau un état sûr.

Dès que le fonctionnement est basculé en mode de fonctionnement d’urgence, dans une étape 304, le module d’urgence EMRGCY 61 fournit alors des commandes d’urgence au dispositif de contrôles et d’actionneurs 10 qui les exécutent (état 610 de la machine à états de la figure 3), permettant de placer le robot-aéronef dans un état de risque minimum 63 (MRC pour « Minimum Risk Condition » en anglais) : ces commandes d’urgence comprennent par exemple une commande d’atterrissage immédiat, ou une commande d’atterrissage sur la zone d’urgence la plus proche ... Dans un mode de réalisation, le système de contrôle 20 est embarqué dans le robot-aéronef 1. On rappelle qu’un robot-aéronef est caractérisé par le fait qu’il est sans pilote humain, ni téléopérateur humain.

Dans des modes de réalisation, le HPC et/ou le DM ne sont pas embarqués, et sont au sol.

La solution selon l’invention décrite en référence aux figures 1-3 est par exemple dans un mode de réalisation mise en œuvre par un robot-aéronef de type robot-hélicoptère, dans la phase d’atterrissage.

Dans le cadre de cette phase d’atterrissage, les blocs représentés en figure 3 sont adaptés pour exécuter les fonctions suivantes et générer les commandes de pilotage correspondantes :

- HPC 21 : identification de la zone d’atterrissage, génération du trajet d’approche, exécution et adaptation de la manœuvre, génération des commandes correspondantes destinées au dispositif de contrôles et d’actionneurs 10 du robot- hélicoptère ;

- HAC 31 : maintien de l’hélicoptère dans l’enveloppe de vol (correspondant à l’ensemble des états sûrs 40, évitement d’obstacles, rebooter le HPC 21, navigation et atterrissage sur un terrain prédéfini, génération des commandes correspondantes destinées au dispositif de contrôles et d’actionneurs du robot-hélicoptère ;

- bloc DM 41 : détection de perte de contrôle, attitude, vitesse inusuelle pour un atterrissage, détection d’impact sur un terrain, détection d’un dysfonctionnement du contrôleur HPC 21 , commutation entre le HPC 21 et le HAC 31 ;

- bloc ODM 51 : détection du bon fonctionnement des systèmes et des conditions définis de fonctionnement des capteurs (luminance, température...)

- bloc EMRGCY 61 : mise en œuvre de procédures d’urgence pour répondre aux situations d’urgence et génération des commandes correspondantes destinées au dispositif de contrôles et d’actionneurs 10 du robot-hélicoptère ; de telles situations sont pour un robot-hélicoptère et plus généralement pour un robot- aéronef un moteur hors d’usage, un atterrissage dans l’eau, un feu, un problème hydraulique.

On notera que, en-dehors de la phase d’atterrissage, le vecteur d’état comprend en outre un paramètre relatif à une distance avec l’environnement (un état sûr correspond à une distance de garde minimale).

Les équipements mis en œuvre par ces blocs pour assurer ces fonctions comportent par exemple : - HPC 21 : large choix de capteurs (caméras, radars...) incluant ceux du HAC 31 et d’autres, fusion de données, bases de données, intelligence artificielle et apprentissage machine, haute connectivité et importantes ressources de calcul (en comparaison avec celles du HAC 31) ;

- HAC 31 : bloc certifié comprenant un navigateur de vol à la sécurité certifiée mais avec des performances réduites, capteurs de faible précision, manœuvres d’évitement brutales ;

- bloc DM 41 : bloc certifié, nombre réduit de capteurs (« capteurs aéronautiques pour la localisation (type GADIRS comprenant des capteurs de localisation satellitaire (GPS, GNSS ...) et/ou baro-inertiels) pour surveillance de vitesse, accélération, attitude du robot-hélicoptère ; capteurs « fiables » pour détection d’obstacles, type LIDAR/RADAR par exemple, par exemple « détection de câble » à 600 pieds de l’aéronef 1 , règles basiques de décision de commutation entre HPC 21 et HAC 31.

Dans un mode de réalisation, le système de contrôle 20 comprend un processeur 14 et une mémoire 15. La mémoire 15 comprend des instructions logicielles, qui lorsqu’elles sont exécutées sur le processeur 14, mettent en œuvre automatiquement les étapes, décrites en référence à la figure 4, et incombant à un ou plusieurs des blocs parmi le système de contrôle 20, le module de pilotage simplex 2, le HPC 21 , le HAC 31 , le DM 41 , l’ODM 51 , l’EMRGCY 61.

Dans un autre mode de réalisation, un ou chacun de plusieurs de ces blocs est réalisé sous forme d’un composant logique programmable, tel qu’un FPGA (de l’anglais Field Programmable Gâte Arraÿ), ou encore sous forme d’un circuit intégré dédié, tel qu’un ASIC (de l’anglais Applications Spécifie Integrated Circuit).

Dans un mode de réalisation, dans une étape préalable de conception, les étapes suivantes sont mises en œuvre pour définir les fonctions de chaque bloc de la figure 2, telles que définies plus haut.

Ainsi pour les blocs DM 41 et HAC 31 : a / identification des événements redoutés (exemple : percuter un arbre) ; b/ identification des conditions de reprise (reprise du HAC quand le HPC est au commande ; et vice-versa)(exemple : éviter l’arbre) ; c / identification des données observables (données relatives à l’ensemble des systèmes du robot-aéronef, aérodynamique, mission ) - et donc définition des capteurs - permettant la détection de ces événements ( exemple : pour observer un arbre, il faut un radar ou un Lidar, ou une caméra) ; d/ définition des fonctionnalités « génériques » du contrôleur HAC 31 :les fonctions essentielles au maintien de l’aéronef dans un état sûr(exemple : maintenir l’aéronef à une distance de sécurité des arbres) ; pour les blocs ODM 51 et EMRGCY 61 : e/ identification des événements redoutés ( i.e. qui font passer du fonctionnement nominal simplex vers un fonctionnement d’urgence) ; f/ évaluation FHA (Functional Flazard Analysis) , ce qui dépend des propriétés du contrôleur FIAC 31 et du dispositif de contrôles et (es 10xemple : panne moteur) ; g / identification des données observables (données relatives à l’ensemble des systèmes du robot-aéronef, et à son environnent externe - et donc définition des capteurs - permettant la détection de ces événements (exemple : alimentation du moteur) ; h / définition des fonctions de secours, c’est-à-dire les manœuvres qui vont mettre l’aéronef en condition de risque minimal étant donné son état et son environnement (ex mettre le robot-hélicoptère en autorotation si le robot- aéronef est de type robot-hélicoptère) ; pour les blocs FIPC 21 et FIAC 31 : i / définition des fonctionnalités du bloc contrôleur FIPC 21 (ex : contrôler le robot-aéronef avec une vitesse maximale pour diminuer le temps de trajet) ; j/ pour chacun des événements redoutés identifiés en a/, définition des fonctionnalités spécifiques du contrôleur FIAC 31 (ex :pour l’événement redouté « éviter un arbre », définir la commande qui passant, d’un vol à vitesse rapide évite l’arbre de manière sûre : distance minimale, vitesse maximale).

Ces étapes permettent notamment de définir les fonctions des blocs décrits plus haut en considérant la phase d’atterrissage d’un robot-aéronef.

Le module de contrôle simplex 2 a été, dans un mode de réalisation, conçu en prenant en compte la contrainte de garantie de la sûreté de vol du robot-aéronef : par sûreté de vol, on entend la probabilité qu’un événement redouté amène à la mort des passagers du robot-aéronef ou la mort d’humains au sol ; la certification correspond à un engagement d’occurrence de ces événements redoutés. Par exemple, pour ce qui relève du HAC -et partiellement du DM - (le processus relatif au HPC sera davantage centré sur la bonne exécution de la mission), le processus suivant a été mis en œuvre :

Identification des événements redoutés (par exemple percuter le terrain, perdre une hélice ...) ;

Identification d’une contre-mesure pour répondre à un tel événement (principe de mitigation) ;

Construction d’un arbre de défaillance (arbre comprenant l’ensemble des événements sources amenant à l’événement redouté, avec probabilité d’occurrence pour chacun desdits événements sources, déterminant donc la probabilité d’occurrence de l’événement redouté) ;

- Allocation d’exigence (ie probabilité de défaillance attribuée aux différents modules fonction du niveau d’occurrences des événements redoutés sur lequel l’engagement de certification a été pris). Selon l’invention, une machine est en charge de la sûreté à bord et garantit que le robot-aéronef reste dans une enveloppe d’états sûrs : il est garanti, selon l’invention, et ce de manière complètement autonome quant au pilotage automatique, que le vecteur d’état ne sortira pas de l’enveloppe des états sûrs.

Il a été décrit plus haut l’application de la solution à un robot-aéronef, notamment un robot-hélicoptère, mais l’invention peut bien sûr s’appliquer à tout type de véhicule autonome, sans pilote humain, ni téléopérateur humain : par exemple un robot-avion à voilure fixe, un drone, un robot-avion à décollage et atterrissage verticaux...