Conception et validation d'AeroRing - un réseau de communication Ethernet en double anneau pour les systèmes avioniques de nouvelle génération / Specification and Analysis of AeroRing - A Full Duplex Ethernet Ring Network for New Generation Avionics Systems

Amari, Ahmed

21 September 2017

La complexité et le besoin en bande passante des architectures de communication avioniquene cessent de croitre avec le nombre des calculateurs et l’expansion des données échangées. Latechnologie AFDX a été introduite pour offrir des communications haut débit (100Mbps) pourles avions de nouvelle génération. Cependant, ce réseau commuté est déployé de manièreentièrement redondante, ce qui conduit à des quantités importantes de câbles, augmentant lepoids et les coûts d’intégration. Pour faire face à ces problèmes, on propose dans cette thèsel’intégration d’un réseau Ethernet en anneau comme une solution principale pour diminuerle poids et la complexité liés au câblage. Dans ce contexte, notre objectif est de concevoir etvalider un nouveau réseau de communication avionique, AeroRing, basé sur de l’EthernetGigabit avec une topologie anneau. / The inherent complexity and bandwidth requirement of avionics communication architecturesare increasing due to the growing number of interconnected end-systems and theexpansion of exchanged data. The Avionics Full Duplex Switched Ethernet (AFDX) has beenintroduced to provide high-speed communication (100Mbps) for new generation aircraft.However, this switched network is deployed in a fully redundant way, which leads to significantquantities of wires, and thus increases weight and integration costs. To cope with thesearising issues, integrating ring-based Ethernet network in avionics context is proposed in thisthesis as a main solution to decrease the wiring-related weight and complexity. In this context,our main objective is to design and validate a new avionic communication network, calledAeroRing, based on a Gigabit Ethernet technology and supporting a Full Duplex ring topology.To achieve this aim, first, a benchmarking of the most relevant Real-Time Ethernet (RTE)solutions supporting ring topologies vs avionics requirements has been conducted, and weparticularly assess the main Performance Indicators (PIs), specified in IEC 61784-2. Thisbenchmarking reveals that each existing RTE solution satisfies some requirements better thanothers, but there is no best solution in terms of all the requirements.

Systèmes embarqués critiques

Modélisation

Ethernet temps-Réel

Etr

Calcul Réseaux

Embedded systems

621.39

Formal Guaranties for Safety Critical Code Generation : the Case of Highly Variable Languages / Garanties formelles pour la génération de code critique : L’affaire des langages fortement variables

Dieumegard, Arnaud

30 January 2015

Les fonctions de commande et de contrôle sont parmi les plus importantes des systèmes embarqués critiques utilisés dans des activités telles les transports, la santé ou la gestion de l’énergie. Leur impact potentiel sur la sûreté de fonctionnement fait de la vérification de leur correction l’un des points les plus critiques de leur développement. Cette vérification est usuellement effectuée en accord avec les normes de certification décrivant un ensemble d’objectifs à atteindre afin d’assurer un haut niveau de qualité du système et donc de prévenir l’apparition de défauts. Cette vérification du logiciel est traditionnellement basée sur de nombreux tests et des activitiés de relectures de code, toutefois les versions les plus récentes des standards de certification permettent l’utilisation de nouvelles approches de développement telles que l’ingénierie dirigée par les modèles et les méthodes formelles ainsi que l’utilisation d’outil pour assister les processus de développement. Les outils de génération automatique de code sont exploités dans la plupart des processus de développement de systèmes embarqués critiques afin d’éviter des erreurs de programmation liées à l’humain et pour assurer le respect des règles de production de code. Ces outils ayant pour vocation de remplacer les humains pour la production de code, des erreurs dans leur conception peuvent causer l’apparition d’erreurs dans le code généré. Il est donc nécessaire de vérifier que le niveau de qualité de l’outil est le même que celui du code produit en s’assurant que les objectifs spécifiées dans les normes de qualification sont couverts. Nos travaux visent à exploiter l’ingénierie dirigée par les modèles et les méthodes formelles pour développer ces outils et ainsi atteindre un niveau de qualité plus élevé que les approches traditionnelles. Les fonctions critiques de commande et de contrôle sont en grande partie conçues à l’aide de langages graphiques à flot de données. Ces langages sont utilisés pour modéliser des systèmes complexes à l’aide de blocs élémentaires groupés dans des librairies de blocs. Un bloc peut être un objet logiciel sophistiqué exposant une haute variabilité tant structurelle que sémantique. Cette variabilité est à la fois liée aux valeurs des paramètres du bloc ainsi qu’à son contexte d’utilisation. Dans notre travail, nous concentrons notre attention en premier lieu sur la spécification formelle de ces blocs ainsi que sur la vérification de ces spécifications. Nous avons évalué plusieurs approches et techniques dans le but d’assurer une spécification formelle, structurellement cohérente, vérifiable et réutilisable des blocs. Nous avons finalement conçu un langage basé sur l’ingénierie dirigées par les modèles dédié à cette tâche. Ce langage s’inspire des approches des lignes de produit logiciel afin d’assurer une gestion de la variabilité des blocs à la fois correcte et assurant un passage à l’échelle. Nous avons appliqué cette approche et la vérification associée sur quelques exemples choisis de blocs issus d’applications industrielles et l’avons validé sur des prototypes logiciels que nous avons développé. Les blocs sont les principaux éléments des langages d’entrée utilisés pour la génération automatique de logiciels de commande et de contrôle. Nous montrons comment les spécifications formelles de blocs peuvent être transformées en des annotations de code afin de simplifier et d’automatiser la vérification du code généré. Les annotations de code sont vérifiées par la suite à l’aide d’outils spécialisés d’analyse statique de code. En utilisant des observateur synchrones pour exprimer des exigences de haut niveau sur les modèles en entrée du générateur, nous montrons comment la spécification formelle de blocs peut être utilisée pour la génération d’annotations de code et par la suite pour la vérification automatique des exigences. / Control and command softwares play a key role in safety-critical embedded systems used for human related activities such as transportation, healthcare or energy. Their impact on safety makes the assessment of their correctness the central point in their development activities. Such systems verification activities are usually conducted according to normative certification guidelines providing objectives to be reached in order to ensure development process reliability and thus prevent flaws. Verification activities usually relies on tests and proof reading of the software but recent versions of certification guidelines are taking into account the deployment of new development paradigms such as model-based development, and formal methods; or the use of tools in assistance of the development processes. Automatic code generators are used in most safety-critical embedded systems development in order to avoid human related software production errors and to ensure the respect of development quality standards. As these tools are supposed to replace humans in the software code production activities, errors in these tools may result in embedded software flaws. It is thus in turn mandatory to ensure the same level of correctness for the tool itself than for the expected produced code. Tools verification shall be done according to qualification guidelines. We advocate in our work the use of model-based development and formal methods for the development of these tools in order to reach a higher quality level. Critical control and command software are mostly designed using graphical dataflow languages. These languages are used to express complex systems relying on atomic operations embedded in blocks that are gathered in block libraries. Blocks may be sophisticated pieces of software with highly variable structure and semantics. This variability is dependent on the values of the block parameters and of the block's context of use. In our work, we focus on the formal specification and verification of such block based languages. We experimented various techniques in order to ensure a formal, sound, verifiable and usable specification for blocks. We developed a domain specific formal model-based language specifically tailored for the specification of structure and semantics of blocks. This specification language is inspired from software product line concepts in order to ensure a correct and scalable management of the blocks variability. We have applied this specification and verification approach on chosen block examples from common industrial use cases and we have validated it on tool prototypes. Blocks are the core elements of the input language of automatic code generators used for control and command systems development. We show how our blocks formal specification can be translated as code annotations in order to ease and automate the generated code verification. Code annotations are verified using specialised static code analysis tools. Relying on synchronous observers to express high level requirements at the input model level, we show how formal block specification can also be used for the translation of high level requirements as verifiable code annotations discharged using the same specialised tooling. We finally target the assistance of code generation tools qualification activities by arguing on the ability to automatically generate qualification data such as requirements, tests or simulation results for the verification and development of automatic code generators from the formal block specification.

Génération automatique de code

Certification

Qualification

Systèmes embarqués critiques

Méthodes formelles

Ingénierie dirigée par les modèles

Automatic code generation

Certification

Qualification

Embedded critical systems

Formal methods

Model-Driven engineering

Approche d'intégrité bout en bout pour les communications dans les systèmes embarqués critiques : application aux systèmes de commande de vol d'hélicoptères / End to end integrity approach for communication incritical embedded systems : application to helicopters flight control systems

Zammali, Amira

13 January 2016

Dans les systèmes embarqués critiques, assurer la sûreté de fonctionnement est primordial du fait, à la fois, des exigences en sûreté dictées par les autorités de certification et des contraintes en sûreté de ces systèmes où des défaillances pourraient conduire à des évènements catastrophiques, voire la perte de vies humaines. Les architectures de ces systèmes sont aujourd'hui de plus en plus distribuées, s'appuyant sur des réseaux numériques complexes, ce qui pose la problématique de l'intégrité des communications. Dans ce contexte, nous proposons une approche bout en bout pour l'intégrité des communications, basée sur le concept du " canal noir " introduit par l'IEC 61508. Elle utilise les codes détecteurs d'erreurs CRC, Adler et Fletcher. Selon le niveau de redondance des systèmes, nous proposons une approche multi-codes (intégrité jugée sur un lot de messages) pour les systèmes dotés d'un niveau de redondance important et une approche mono-code (intégrité jugée sur chaque message) pour les autres cas. Nous avons validé ces propositions par des expérimentations évaluant le pouvoir de détection intrinsèque de chaque code détecteur et la complémentarité entre ces code en termes de pouvoir de détection, ainsi que leurs coûts de calcul avec une analyse de l'impact du type de leur implémentation et de l'environnement matériel (standard et embarqué : processeurs i7, STM32, TMS320C6657 et P2020). L'approche mono-code a été appliquée à un cas d'étude industriel : les futurs systèmes de commande de vol d'Airbus Helicopters. / In critical embedded systems, ensuring dependability is crucial given both dependability requirements imposed by certification authorities and dependability constraints of these systems where failures could lead to catastrophic events even loss of human lives. The architectures of these systems are increasingly distributed deploying complex digital networks which raise the issue of communication integrity. In this context, we propose an end to end approach for communication integrity. This approach is based on the "black channel" concept introduced by IEC 61508. It uses error detection codes particularly CRC, Adler and Fletcher. Depending on the redundancy level of targeted systems, we propose a multi-codes approach (integrity of a set of messages) for systems with an important redundancy level and a single- code approach (integrity per message) for the other cases. We validated our proposals through experiments in order to evaluate intrinsic error detection capability of each error detection code, their complementarity in terms of error detection and their computational costs by analyzing the impact of the type of implementation and the hardware environment (standard or embedded: i7, STM32, TMS320C6657 and P2020 processors). The single-code approach was applied to an industrial case study: future flight control systems of Airbus Helicopters.

Systèmes embarqués critiques

Réseaux de communication numériques

Sûreté de fonctionnement

Intégrité des communications

Intégrité bout en bout

Codes détecteurs d'erreurs

Systèmes de commande de vol

Critical emedded systems

Dependability

Communication integrity

Digital networks

End to end integrity

Flight control systems