La présente invention concerne un procédé de contrôle d'intégrité de l'avionique d'un aéronef mise en œuvre par plusieurs systèmes avioniques embarqués.

La présente invention concerne également un dispositif et un produit programme d'ordinateur associés à ce procédé de contrôle.

On entend par « aéronef », un engin mobile apte à voler notamment dans l'atmosphère terrestre, tel qu'un avion ou un hélicoptère, ou encore un drone.

L'aéronef comporte notamment l'avionique utilisable pour son exploitation. On entend ainsi par « avionique », l'ensemble des équipements et des logiciels embarqués dans un aéronef et permettant son exploitation.

L'avionique est notamment mise en œuvre par plusieurs systèmes avioniques. On entend par « système avionique », un ou un plusieurs dispositifs au moins partiellement électroniques fournissant un service pour mettre en œuvre l'avionique.

De manière connue dans l'état de la technique, la sûreté de l'aéronef est assurée en garantissant un haut niveau de disponibilité et d'intégrité de l'avionique.

Ce niveau peut être dégradé par un dysfonctionnement d'un ou plusieurs systèmes avioniques. On conçoit alors que cela peut conduire à la dégradation générale de la sûreté de l'aéronef.

Pour prévenir de tels cas, il est connu d'utiliser différents mécanismes de surveillance des systèmes avioniques.

De manière générale, ces mécanismes de surveillance permettent de détecter une perte d'intégrité au moins d'une partie de l'avionique en analysant l'intégrité du ou de chaque système avionique embarqué.

Notamment, lorsqu'un dysfonctionnement d'un tel système avionique est détecté, une alerte indiquant une perte d'intégrité de la partie de l'avionique correspondante, est communiquée par exemple à l'équipage.

Toutefois, les mécanismes de surveillance existants ne sont pas complètement satisfaisants. En particulier, une perte d'intégrité d'au moins une partie de l'avionique peut se produire alors qu'aucun dysfonctionnement des systèmes avioniques correspondants n'a été détecté.

La présente invention a pour but d'améliorer les mécanismes de surveillance existants en détectant des incohérences entre plusieurs systèmes avioniques.

À cet effet, l'invention a pour objet un procédé de contrôle d'intégrité de l'avionique d'un aéronef mise en œuvre par plusieurs systèmes avioniques embarqués, chaque système avionique étant apte à fournir à un instant donné au moins une donnée de vol correspondant à la valeur d'une variable de vol relative au fonctionnement et/ou à l'exploitation de l'aéronef.

Le procédé comporte les étapes suivantes ;

- définir une pluralité de périodes de contrôle ;

- pour chaque période de contrôle courante

+ collecter des données de vol issues d'au moins deux systèmes avioniques distincts et opérant de manière indépendante ;

+ analyser la cohérence entre les données de vol collectées lors de la période de contrôle précédente, et/ou entre les données de vol collectées lors de la période de contrôle précédente et des données de vol collectées lors d'au moins une période de contrôle antérieure, en vérifiant une pluralité de règles de cohérence prédéterminées, chaque règle reliant au moins certaines des variables de vol entre elles, la vérification de chaque règle étant effectuée en substituant les variables de vol associées à cette règle par les données de vol correspondant à ces variables ;

+ lorsqu'au moins une de ces règles n'est pas vérifiée, générer une alerte relative à une perte d'intégrité de l'avionique.

Le procédé de contrôle met notamment en œuvre un contrôle de cohérence de données de vol fournies par différents systèmes avioniques. Lorsqu'une incohérence de données de vol est détectée, une alarme signalant une perte d'intégralité de l'avionique est émise.

Suivant d'autres aspects avantageux de l'invention, le procédé de contrôle comprend une ou plusieurs des caractéristiques suivantes, prise(s) isolément ou suivant toutes les combinaisons techniquement possibles :

- lors de l'étape d'analyse de la cohérence, la vérification des règles est effectuée selon un ordre de vérification prédéterminé ;

- l'ordre de vérification des règles de cohérence correspond à l'ordre croissant du nombre de variables de vol associées à ces règles ;

- l'étape de collecte des données de vol consiste à acquérir des données de vol issues d'au moins deux systèmes avioniques distincts et opérant de manière indépendante, et pour chaque nouvelle donnée de vol acquise, à figer les données de vol déjà reçues qui correspondent à des variables de vol dont dépend la variable de vol correspondant à cette nouvelle donnée de vol ;

- l'étape de collecte des données de vol comprend les sous-étapes suivantes : initialiser l'étape de collecte en déterminant une liste de données de vol attendues et en associant à chaque donnée de vol de cette liste un indicateur de réception avec un état négatif et un indicateur de modification avec un état positif lorsque la variable de vol correspondant à cette donnée de vol ne dépend d'aucune autre variable de vol, et avec une un état négatif autrement ; mettre en œuvre la réception des données de vol issues d'au moins deux systèmes avioniques distincts et opérant de manière indépendante, et à l'acquisition de chaque nouvelle donnée de vol et lorsque l'état de l'indicateur de réception de cette donnée de vol est négatif ou lorsque l'état de l'indicateur de modification de cette donnée est positif, faire comme suit :déterminer une liste de dépendances comportant une pluralité de données de vol dont chaque donnée de vol est choisie de sorte que la variable de vol correspondant à la nouvelle donnée de vol dépend de la variable de vol correspondant à cette donnée de vol choisie ; lorsque l'état de l'indicateur de réception de chaque donnée de la liste de dépendances est positif, mémoriser la nouvelle donnée de vol, associer l'état positif pour l'indicateur de réception de la nouvelle donnée de vol et associer l'état négatif pour l'indicateur de modification de chaque données de vol de la liste de dépendances ;

- l'étape d'analyse des données de vol comprend les sous-étapes suivantes : initialiser l'étape d'analyse des données de vol en associant à chaque variable de vol un indicateur d'intégrité avec un état positif ; parcourir l'ensemble des règles de cohérence et pour chaque règle de cohérence, lorsque l'état de l'indicateur d'intégrité de chaque variable de vol associée à cette règle est positif et lorsque l'état de l'indicateur de réception de la donnée de vol correspondant à cette variable de vol est positif, faire comme suit : vérifier la règle de cohérence en substituant chaque variable de cette règle par la donnée de vol correspondante ; et si la règle n'est pas vérifiée, associer l'état négatif à l'indicateur d'intégrité de chaque variable de vol associée à cette règle de cohérence ;

- l'étape de génération d'alerte lorsque au moins une règle de cohérence n'est pas vérifiée, comprend la communication de l'ensemble des variables de vol dont les indicateurs d'intégrité ont des états négatifs ; et

- la dépendance entre les variables de vol est déterminée en utilisant un arbre de dépendances prédéterminé.

L'invention a également pour objet un produit programme d'ordinateur comportant des instructions logicielles qui, lorsque mises en œuvre par un équipement informatique, mettent en œuvre un procédé tel que défini ci-dessus.

L'invention a également pour objet un dispositif de contrôle d'intégrité de l'avionique d'un aéronef mise en œuvre par plusieurs systèmes avioniques embarqués, chaque système avionique étant apte à fournir à un instant donné au moins une donnée de vol correspondant à la valeur d'une variable de vol relative au fonctionnement et/ou à l'exploitation de l'aéronef.

Le dispositif étant apte à définir une pluralité de périodes de contrôle ;

- pour chaque période de contrôle courante :

+ collecter des données de vol issues d'au moins deux systèmes avioniques distincts et opérant de manière indépendante ;

+ analyser la cohérence entre les données de vol collectées lors de la période de contrôle précédente, et/ou entre les données de vol collectées lors de la période de contrôle précédente et des données de vol collectées lors d'au moins une période de contrôle antérieure, en vérifiant une pluralité de règles de cohérence prédéterminées, chaque règle reliant au moins certaines des variables de vol entre elles, la vérification de chaque règle étant effectuée en substituant les variables de vol associées à cette règle par les données de vol correspondant à ces variables ;

+ lorsqu'au moins une de ces règles n'est pas vérifiée, générer une alerte.

Ces caractéristiques et avantages de l'invention apparaîtront à la lecture de la description qui va suivre, donnée uniquement à titre d'exemple non limitatif, et faite en référence aux dessins annexés, sur lesquels :

- la figure 1 est une vue schématique d'un aéronef comportant notamment un dispositif de contrôle selon l'invention ;

- la figure 2 est une vue détaillée du dispositif de contrôle de la figure 1 ; et

- la figure 3 est un organigramme d'un procédé de contrôle selon l'invention, le procédé étant mis en œuvre par le dispositif de contrôle de la figure 1 .

Dans l'exemple de réalisation de la figure 1 , l'aéronef 10 est un avion apte à être exploité par au moins un pilote.

En variante, l'aéronef 10 est un hélicoptère, ou encore un drone.

L'aéronef 10 comporte notamment une avionique 13, composée notamment d'une pluralité de systèmes avioniques 12A à 12N mettant en œuvre l'avionique 13, et d'un dispositif de contrôle 14 selon l'invention.

Chaque système avionique 12A à 12N est apte à fournir un service.

L'avionique 13 permet d'exploiter au moins en partie l'aéronef 10 en utilisant les services fournis par les systèmes avioniques 12A à 12N.

À titre d'exemple de systèmes avioniques, on peut notamment citer un système de gestion de vol (FMS, de l'anglais « Flight Management System »), un système d'alerte de trafic et d'évitement de collision (TCAS, de l'anglais « Traffic Alert and Collision Avoidance System »), un système de freinage ou encore un système de pressurisation de la cabine. Chaque système avionique est mis en œuvre par un ensemble d'équipements et de logiciels avioniques. À titre d'exemple d'équipements avioniques, on peut notamment citer des tubes de Pitot, un altimètre, une centrale inertielle, ou tout autre équipement fournissant un service.

Chaque système avionique 12A à 12N est apte à fournir à un instant donné au moins une donnée de vol. Une telle donnée de vol correspond à la valeur d'une variable de vol relative au fonctionnement et/ou à l'exploitation de l'aéronef 10.

À titre d'exemple de telles variables, on peut citer la pression statique à l'extérieur de l'aéronef 10 dont la valeur est fournie par les tubes de Pitot, l'altitude de l'aéronef dont la valeur est fournie par l'altimètre, ou encore des données de positionnement fournies par la centrale inertielle.

Chacune de ces variables prend par exemple des valeurs différentes lors des différentes périodes temporelles. Ces valeurs sont fournies sous la forme de données de vol par le système avionique 12A à 12N correspondant.

Ainsi, par exemple, les valeurs 3 000 ft, 5 000 ft et 10 000 ft fournies par l'altimètre à des instants différents présentent des données de vol correspondant à la variable « altitude de l'aéronef 10 ».

Parmi l'ensemble des systèmes avioniques 12A à 12N mettant en œuvre l'avionique 13, au moins deux systèmes sont distincts et opèrent de manière indépendante.

Cela signifie en particulier que ces deux systèmes n'interagissent pas l'un avec l'autre.

Le dispositif de contrôle 14 selon l'invention permet de contrôler l'intégrité de l'avionique 13 en mettant en œuvre un procédé de contrôle décrit par la suite.

Le dispositif de contrôle 14 est illustré plus en détail sur la figure 2.

Ainsi, en référence à cette figure 2, le dispositif de contrôle comporte un module de réception 20, un module d'échange 22, un module d'analyse 24 et un module de stockage 26.

Le dispositif de contrôle 14 se présente par exemple sous la forme d'un calculateur embarqué indépendant qui est apte à mettre œuvre une pluralité de logiciels.

En variante, le dispositif de contrôle 14 est un calculateur embarqué mettant également en œuvre un ou plusieurs services avioniques.

Dans les deux cas, les modules de réception 20 et d'analyse 24 se présentent sous la forme de logiciels mis en œuvre par un tel calculateur, et les modules d'échange 22 et de stockage 26 se présentent respectivement sous la forme d'une mémoire vive et d'une mémoire morte de ce calculateur. Selon d'autres exemples de réalisation, les modules 20 à 24 se présentent sous la forme d'unités physiques telles que des circuits électroniques dédiés (ASIC) ou des circuits logiques programmables du type FPGA (de l'anglais « Field-Programmable Gâte Array »).

Le module de réception 20 est relié aux systèmes avioniques 12A à 12N via un réseau de communication avionique 30.

Le module de réception 20 est apte à recevoir les données de vol fournies par les systèmes avioniques 12A à 12N via le réseau de communication avionique 30.

Le réseau de communication avionique 30 est par exemple configuré pour dupliquer chaque donnée de vol utile au module d'analyse 24 et circulant dans ce réseau de communication avionique 30 pour l'envoyer systématiquement vers le module de réception 20.

Le module de réception 20 est apte à traiter les données de vol reçues selon une étape du procédé décrite par la suite et à stocker les données de vol traitées au moins temporairement dans le module d'échange 22.

Le module d'analyse 24 est apte à déterminer la cohérence entre les données de vol stockées dans le module d'échange 22 selon une étape du procédé décrite par la suite. Lorsque le module d'analyse 24 détermine que des données sont incohérentes, il est apte à générer une alarme.

Le module de stockage 26 stocke une première base de données BD-ι et une deuxième base de données BD ₂ .

La première base de données BD-ι comporte un arbre de dépendances. Cet arbre de dépendances inclut, pour chaque variable de vol, une liste de variables de vol dont cette variable dépend directement.

Autrement dit, pour chaque variable de vol, cet arbre de dépendances définit l'ensemble des variables utilisées pour calculer cette variable.

Ainsi, par exemple, pour la variable de vol correspondant à la vitesse de l'aéronef 10, l'arbre de dépendances de la première base de données BD^ définit la liste de variables comportant la pression statique et la pression dynamique à l'extérieur de l'aéronef 10 ainsi que la masse volumique de l'air à l'altitude courante de l'aéronef 10.

La deuxième base de données BD ₂ comporte une liste de règles de cohérence permettant de vérifier la cohérence des données de vol.

En particulier, chaque règle de cohérence présente une relation reliant différentes variables entre elles et/ou les valeurs d'une même variable lors des différentes périodes temporelles, notamment lors des différentes périodes de contrôle P, définies par la suite. Une règle est vérifiée si la relation correspondante est vérifiée après la substitution des variables de vol associées à cette règle par les données de vol correspondant à ces variables. Dans le contraire, la règle n'est pas vérifiée.

La première et la deuxième bases de données BD _{1 ;} BD ₂ sont définies par exemple de manière prédéterminée lors de la conception de l'aéronef 10 et peuvent être mises à jour lors par exemple d'une opération de maintenance.

Le procédé de contrôle d'intégrité de l'avionique 13 mis en œuvre par le dispositif de contrôle 14 va désormais être expliqué en référence à la figure 3 illustrant un organigramme de ses étapes.

Lors d'une étape initiale 1 10, une pluralité de périodes de contrôle P, est déterminée. Chaque période de contrôle P, comprend un intervalle temporel pour lequel la cohérence des données de vol est déterminée.

Les périodes de contrôle P, comprennent des intervalles temporels consécutifs de même durée. Cette durée est par exemple égale à une seconde.

L'étape initiale 1 10 est par exemple mise en œuvre une fois lors de la phase de conception du dispositif de contrôle 14.

Les étapes suivantes du procédé sont répétées par chaque période de contrôle courante P,.

L'étape de collecte 120 consiste à recevoir des données de vol issues d'au moins deux systèmes avioniques 12A à 12N distincts et opérant de manière indépendante, et pour chaque nouvelle donnée de vol, à figer les données de vol déjà reçues qui correspondent à des variables de vol dont dépend la variable de vol correspondant à cette nouvelle donnée de vol.

En particulier, l'étape de collecte 120 comprend plusieurs sous-étapes.

Lors de la sous-étape 121 initiale, le module de réception 20 détermine, à l'aide de la première base de données BD^ une liste de variables de vol dont les valeurs sont attendues lors de la période de contrôle courante P,.

Puis, à partir de cette liste de variables de vol, le module de réception 20 forme une liste de données de vol attendues A.

Puis, le module de réception 20 associe à chaque donnée de vol de la liste A, un indicateur de réception et un indicateur de modification.

Chacun de ces indicateurs est apte à prendre la valeur de l'un des états parmi un état positif et un état négatif.

L'indicateur de réception est dans l'état positif si la donnée de vol à laquelle il est associé a été déjà reçue lors de la période de contrôle courante P,. Dans le cas contraire, l'indicateur de réception est dans l'état négatif. L'indicateur de modification est dans l'état positif si le module de réception 20 est autorisé à modifier la donnée de vol à laquelle cet indicateur est associé. Dans le cas contraire, l'indicateur de modification est dans l'état négatif.

Lors de cette sous-étape 121 , l'indicateur de réception de chaque donnée de vol de la liste de données de vol attendues A est mis dans l'état négatif.

Lors de cette sous-étape 121 , l'indicateur de modification de chaque donnée de vol de la liste de données de vol attendues A est mis dans l'état positif si la variable de vol correspondant à cette donnée de vol ne dépend d'aucune autre variable de vol. Dans le cas contraire, cet indicateur est mis dans l'état négatif.

La sous-étape 122 suivante est mise en œuvre à chaque acquisition d'une nouvelle donnée de vol pendant la période de contrôle courante P,.

En particulier, lors de cette sous-étape 122, le module de réception 20 détermine l'indicateur de réception et l'indicateur de modification de la nouvelle donnée de vol acquise.

Lorsque l'état de l'indicateur de réception de la nouvelle donnée de vol est positif et lorsque l'état de l'indicateur de modification de cette donnée est négatif, le module de réception 20 rejette la nouvelle donnée de vol.

Lorsque l'état de l'indicateur de réception de cette donnée de vol est négatif ou lorsque l'état de l'indicateur de modification de cette donnée est positif, le module de réception 20 détermine une liste de dépendances L comportant une pluralité de données de vol.

Chaque donnée de vol de cette liste L est choisie de sorte que la variable de vol correspondant à la nouvelle donnée de vol dépend de la variable de vol correspondant à cette donnée de vol choisie.

Cette liste de dépendances L est établie en utilisant la première base de données

BÛ _! .

Lorsque l'état de l'indicateur de réception de chaque donnée de la liste de dépendances L est positif, le module de réception 20 remplace la donnée de vol dans la liste de données de vol attendues A correspondant à la même variable de vol que la nouvelle donnée de vol, par cette nouvelle donnée de vol.

Puis, le module de réception 20 associe l'état positif à l'indicateur de réception de la nouvelle donnée de vol et associe l'état négatif à l'indicateur de modification de chaque donnée de vol de la liste de dépendances L.

Lors de la sous-étape finale 123 de l'étape 120 mise en œuvre après l'expiration de la période de contrôle courante P,, le module de réception transmet l'ensemble des données de vol collectées lors de la période courante de contrôle P,, au module d'échange 22. Lors de cette même sous-étape 123, le module de réception transmet également l'indicateur de réception de chaque donnée de vol collectée, au module d'échange 22.

L'étape d'analyse 130 mise en œuvre en parallèle avec l'étape 120, consiste à analyser la cohérence entre les données de vol collectées lors de la période de contrôle précédente Ρ , et/ou entre les données de vol collectées lors de la période de contrôle précédente P _M et des données de vol collectées lors d'au moins une période de contrôle antérieure P _i-1-n .

Cette étape est mise en œuvre en vérifiant chaque règle de cohérence de la deuxième base de donnée BD ₂ .

En particulier, l'étape d'analyse 130 comprend plusieurs sous-étapes.

Lors de la sous-étape 131 initiale, le module d'analyse 24 associe à chaque variable de vol un indicateur d'intégrité.

De manière analogue aux indicateurs de réception et de modification, deux états, à savoir un état positif et un état négatif, sont définis pour l'indicateur d'intégrité.

Un indicateur d'intégrité est dans l'état positif lorsqu'aucune perte d'intégrité n'a été détectée pour les données de vol correspondant à la variable à laquelle cet indicateur d'intégrité est associé. Dans le cas contraire, l'indicateur d'intégrité est dans l'état négatif.

Lors de cette sous-étape 131 , l'indicateur d'intégrité de chaque variable de vol est mis à l'état positif.

Lors de la sous-étape 132 suivante, le module d'analyse 24 parcourt l'ensemble des règles de cohérence dans l'ordre où elles ont été définies dans la deuxième base de donnée BD ₂ et, pour chaque règle de cohérence, détermine la liste de variables de vol V associées à cette règle.

Lorsque l'état de l'indicateur d'intégrité de chaque variable de vol de la liste V est positif et lorsque l'état de l'indicateur de réception de la donnée de vol correspondant à cette variable de vol est positif, le module d'analyse 24 vérifie la règle de cohérence en substituant chaque variable de cette règle par la donnée de vol correspondante. Chaque donnée de vol est issue du module d'échange 22.

Comme indiqué précédemment, chaque règle permet de vérifier la cohérence des données de vol issues d'une même période temporelle et/ou de périodes temporelles distinctes. Ainsi, lorsqu'il s'agit de plusieurs périodes temporelles, le module d'analyse 24 substitue les variables par des données de vol reçues lors de la période de contrôle précédente Ρ _μι et lors d'au moins une période de contrôle antérieure P _i-1-n . Puis, le module d'analyse 24 détermine si la règle est vérifiée ou non. Lorsque la règle n'est pas vérifiée, le module d'analyse 24 associe l'état négatif à l'indicateur d'intégrité de chaque variable de vol de la liste V.

Selon une variante de réalisation, le module d'analyse 24 vérifie les règles de cohérence selon un ordre de vérification prédéterminé. Cet ordre correspond par exemple à l'ordre croissant du nombre de variables associées à chaque règle.

Lors de l'étape 140 suivante mise en œuvre également en parallèle avec l'étape 120, lorsqu'au moins une des règles de cohérence n'a pas été vérifiée lors de l'étape 130 précédente, le module d'analyse 24 génère un message d'alerte relatif à une perte d'intégrité de l'avionique 13 ou au moins d'une partie de celle-ci.

En complément, lors de la même étape, l'ensemble des variables de vol dont les indicateurs d'intégrités ont des états négatifs est transmis dans le message d'alerte.

Le message d'alerte est ensuite par exemple communiqué à un pilote de l'aéronef 10 ou à un autre système avionique de cet aéronef 10.

On conçoit alors que la présente invention comporte un certain nombre d'avantages.

L'intégrité de l'avionique est déterminée en analysant la cohérence des données de vol utilisables par l'avionique. Ces données de vol sont issues de systèmes avioniques distincts et opérant de manière indépendante. Ainsi, lorsqu'un dysfonctionnement d'un système avionique n'a pas été détecté par des mécanismes de surveillance conventionnels, il est possible de détecter un tel dysfonctionnement en analysant la cohérence de données de vol produites par ce système lors des périodes de contrôle différentes ou/et la cohérence de ces données avec des données produites par d'autres systèmes avioniques.

De plus, le procédé selon l'invention communique l'ensemble des variables dont les valeurs sont incohérentes. Ceci simplifie l'identification du dysfonctionnement survenu et éventuellement, la recherche d'une solution pour revenir à la situation normale.