Distributed C2 Architecture

C2 (Command and Control) архітектура рою — це набір правил, протоколів та ролей, що визначають як рішення приймаються і передаються між: людиною-оператором, наземними вузлами управління (GCS) і кожним окремим БПЛА у рої. Для одиночного БПЛА: один оператор → один дрон. Команда летить одним каналом (ELRS, MAVLink, FPV video). Все рішення у руках оператора. Для рою C2 принципово складніша: один оператор не може одночасно керувати 20+ БПЛА. → Частина рішень делегується автоматизованим підсистемам або самому рою. C2 рою включає: Mission layer: «Знищ ціль в квадраті Z». Task decomposition: хто конкретно атакує, хто прикриває, хто розвідує (автомат або планувальник). Execution layer: кожен БПЛА виконує свое під-завдання. Real-time deconfliction: уникнення зіткнень між своїми БПЛА. Відмінність також у відмовостійкості: при втраті зв'язку з GCS одиночний БПЛА зависає або RTL. Рой при правильній C2 архітектурі продовжує місію з локальної логікою. GCS рою: спеціалізований software (наприклад Ardupilot Mission Planner з swarm plugin, або QGroundControl multi-vehicle, або кастомні українські рішення) який відображає всі агенти одночасно і дозволяє групові команди — «всі: waypoint 7» — замість ручного перемикання між SYSID.

Leader election у децентралізованому рої — ключовий елемент живучості C2: Проблема: якщо cluster-head збитий чи заглушений → рій залишається без «капітана». Без election → або рій зависає (чекає команд), або розсипається (кожен сам по собі). Raft Election Protocol (найпоширеніший): При відсутності heartbeat від лідера протягом election timeout (типово 150–300 мс) → follower переходить в candidate. Candidate надсилає RequestVote всім. Якщо отримує більшість голосів → стає лідером. Весь процес: 150–500 мс залежно від мережевого latency. Практичні нюанси для БПЛА: Persistent state: новий лідер повинен знати поточний mission state. Тому кожен агент постійно держить копію mission log (реплікований distributed log). Catch-up: новий лідер після election запитує у решти агентів missed updates за час переходу. Пріоритети виборів: в рої БПЛА логічно обирати лідером агента з: найменшими втратами батареї, найповнішим mission log, найкращим зв'язком з GCS і рештою агентів, найвищою altitude (better radio range). Тому candidate votes зважені по метриках, не просто majority. Чи можуть бути «вибори під вогнем»: типовий ризик — split-brain: два candidate одночасно вважають себе лідерами → конфлікти команд. Рішення: randomized election timeout кожен агент має різний timeout → 1 ймовірно стартує першим і виграє до конкуренції іншого. Практичне значення: при ударі по GCS або cluster-head → рій має reshuffled C2 за <1 с → місія продовжується без втрати тактичної ефективності.

Human-in-the-Loop (HITL) при децентралізованій C2 — баланс між швидкістю і контролем: Проблема: децентралізована C2 дає автономію → але правила залучення (ROE — Rules of Engagement) і міжнародне гуманітарне право вимагають людського рішення перед ударом по цілях. Рівні автономії БПЛА (рівні DoD): Level 1: Human operates (ручне керування). Level 2: Human delegates (БПЛА виконує waypoint, людина може скасувати). Level 3: Human approves (БПЛА ідентифікує ціль, людина підтверджує удар). Level 4: Human monitors (БПЛА діє автономно, людина може зупинити). Level 5: Fully autonomous (без людини). ROE-сумісна децентралізована C2: Autonomy gate: всі рішення рівня «engage target» вимагають явного підтвердження від GCS. Рій може: автономно navigating, formation, reconnaissance, collision avoidance. Але не може: engage без explicit approval (окрім self-defense protocols). Delayed approval: якщо зв'язок з GCS перервано → рій переходить до non-lethal operations-only mode (продовжує розвідку але не атакує). Технічна реалізація: engagement authorization token: короткоживучий криптографічний токен що GCS видає перед атакою. Без валідного токена → БПЛА відмовляється ініціювати terminal guidance. Токен включає: target_coordinates_hash, validity_window (±30 с), operator_sig. Навіть у децентралізованому рої цей gate забезпечує людський контроль над фінальним рішенням. Важливість у бойових умовах України: ЗСУ оперує у щільно населеній зоні → HITL-gate є критичним для дотримання міжнародного гуманітарного права.

Cluster-based hybrid C2 — компроміс між живучістю і керованістю: Кластерна архітектура: рій розбивається на k-кластерів по 5–15 БПЛА в кожному. Кожен кластер має cluster-head (CH). GCS спілкується тільки з CH → CH управляє своїм кластером. Поведінка при РЕБ-атаці: Сценарій A: заглушений GCS. Всі CH переходять на pre-programmed contingency missions. Автономно виконують локальні завдання. Після відновлення зв'язку → синхронізуються. Сценарій B: заглушений один CH. Члени кластеру ініціюють election нового CH серед себе (Raft). Новий CH відновлює зв'язок з GCS, продовжує місію. Сценарій C: заглушена частина кластеру. CH перераховує завдання на активних членів. Може запросити у GCS резервні БПЛА з сусіднього кластеру. Переваги над централізованою: якщо один кластер «потрапив під РЕБ» → інші k-1 кластерів не зачеплені. Горизонтальна стійкість. Переваги над децентралізованою: GCS зберігає контроль через k CH замість N агентів → підтримуваність масштабу. Практична implementація: кластеризація за: географічною близькістю (Voronoi tessellation zone assignment). Функціональними ролями (ударний кластер, розвідувальний кластер, прикриття). Часовими вікнами (батарейні запаси → свіжіші БПЛА = нові CH). Реальний приклад: оновлені DARPA OFFSET exercises 2024: кластерна C2 з 5 кластерами × 50 БПЛА = 250-агентний рій у міській замкнутій місцевості.

Edge computing для swarm C2 — де обробляється інтелект: Традиційна C2 (cloud/GCS-centric): БПЛА → відео/сенсорні дані → GCS → обробка (AI розпізнавання, планування) → команди → БПЛА. Проблема: bandwidth для передачі сирого відео з 20 БПЛА = 20 × 10–30 Мбіт/с = 200–600 Мбіт/с → непрактично. Затримка GCS-processing + transmission → сотні мс. Edge C2 (on-board processing): Кожен БПЛА має оніборд-комп'ютер (NVIDIA Jetson Nano/Orin, Raspberry Pi CM4, кастомні ARM SoC). Обrobляє на борту: Computer vision (object detection, target identification) → тільки результат надсилається. SLAM / одометрія → локальна позиція без GPS. Swarm state fusion → локальний фільтр стану рою. Mission feasibility → «чи можу я виконати субзавдання?» відповідь. Що надсилається до GCS: compressed metadata: target_id, position, confidence, battery, status. NOT: raw video (опціонально low-res thumbnail). Розподіл обробки у гібридній C2: On-board (edge): perception, immediate collision avoidance, local state. Cluster-head (edge+): task coordination, formation management. GCS (cloud): strategic decisions, satellite imagery fusion, external intel, engagement authorization. Практичне значення в Україні: БПЛА з Jetson Nano можуть локально запускати YOLO-detection → «бачу Т-72, впевненість 87%» → повідомляють GCS замість streaming video → значно менше bandwidth → краща REB-стійкість, бо менше transmission time. Обмеження: вага і споживання потужності оніборд-комп'ютерів. Jetson Nano: 5–10 Вт, ~100 г → суттєво для малих БПЛА.

C2 security vulnerabilities у БПЛА-роях — векторами атак і захист: Вразливість 1: підробка GCS. Зловмисник надсилає MAVLink команди від «фальшивого GCS». Без автентифікації БПЛА може виконати чужі команди. Мітигування: криптографічна автентифікація кожного MAVLink пакету (HMAC-SHA256). Whitelist дозволених GCS адресів (MAC/IP). Вразливість 2: захоплення cluster-head. Зловмисник «перехоплює» CH роль (rogue leader). Може перенаправити рій на фальшиві цілі. Мітигування: leader credentials: кожен новообраний CH повинен підпис GCS. Без валідного підпису → followers відхиляють нового CH. PBFT консенсус замість Raft (стійкий до Byzantine агентів). Вразливість 3: replay attack. Перехоплений engagement token повторно застосовується для нових ударів. Мітигування: nonce + timestamp у кожному token. Validity window 30–60 секунд → перехоплений старий token відхиляється. Вразливість 4: starvation / DoS. Зловмисник flood-атакою на bandwidth → рій C2 channels перевантажені. Мітигування: priority queuing: mission-critical messages (collision avoidance, engagement) мають вищий priority. Rate limiting per-sender. FHSS channel hopping → flood завалює один channel але не весь FHSS spread. Вразливість 5: GPS spoofing → неправильне позиціонування рою. Мітигування: multi-sensor fusion (INS + VIO + barometer). Аномалія GPS → переключення на odometry. Практичний стан 2025: більшість БПЛА-роїв поки не мають криптографічних C2 controls → це активна область розробки в ЗСУ і партнерах.