Rendre agile les tests d'intégration des systèmes avioniques par des langages dédiés / Make agile integration tests of avionics systems by specifics languages

Bussenot, Robin

16 July 2018

Dans l'ingénierie avionique, les tests d'intégration sont cruciaux : ils permettent de s'assurer du bon comportement d'un avion avant son premier vol, ils sont nécessaires au processus de certification et permettent des tests de non-régression à chaque nouvelle version d'un système, d'un logiciel ou d'un matériel. La conception d'un test d'intégration coûte cher car elle mêle la réalisation de la procédure, le paramétrage de nombreux outils couplés au banc de test ainsi que l'adressage des interfaces du système testé. Avec des procédures de test écrites en langage naturel, l'interprétation des instructions d'un test lors de son rejeu manuel peut provoquer des erreurs coûteuses à corriger, en raison notamment des actions précises à entreprendre lors de l'exécution d'une instruction de test. La formalisation et l'automatisation de ces procédures permettraient aux équipes de testeurs de se concentrer sur la réalisation de nouveaux tests exploratoires et sur la mise au point de tels systèmes au plus tôt. Or, un système avionique est composé de plus d'une centaine de systèmes embarqués, chacun concernant des compétences spécifiques. Notre contribution est alors un framework orchestrant les langages de test dédiés à l'intégration de systèmes avioniques dans une vision Agile. Nous introduisons tout d'abord le concept de langage spécifique à un domaine (Domain Specific Language ou DSL) et montrons comment nous l'utilisons pour la formalisation des procédures de test dédiées à un type de système particulier. Ces langages devront pouvoir être utilisés par des testeurs avioniques qui n'ont pas forcément de compétences en informatique. Ils permettent l'automatisation des tests d'intégration, tout en conservant l'intention du test dans la description des procédures. Puis, nous proposons l'approche BDD (Behavior Driven Development) pour valider l'intégration de systèmes par scénarios comportementaux décrivant le comportement attendu de l'avion. Nous nommons Domain Specific Test Languages (DSTL) les langages utilisés par les testeurs. A chaque système (ATA ou Air Transport Association of America) correspond un DSTL métier. Un premier DSTL concernant les systèmes de régulation de l'air a été développé entièrement en tant que preuve du concept à partir de procédures existantes pseudo-formalisées. L'expérimentation s'est poursuivie avec les calculateurs standardisés IMA (Integrated Modular Avionic) pour lesquels les procédures de test sont décrites en langage naturel et sont donc non automatisables. A partir d'un corpus de procédures, nous proposons un premier processus empirique d'identification des patrons de phrases peuplant un DSTL. Le corpus fourni est composé de dix procédures totalisant 108 chapitres de test et 252 tests ou sous-tests comportant au total 3708 instructions pour 250 pages Word. Rendre agile ces tests d'intégration consiste à proposer une approche collaborative pour formaliser un DSTL que ce soit pour les patrons de phrase de la grammaire concrète ou pour les patrons de transformations vers des langages exécutables. / In avionics engineering, integration tests are crucials: they allow to ensure the right behavior of an airplane before his first flight, they are needed to the certification process and they allow non-regression testing for each new version of a system, of a software or of a hardware. The design of an integration test is expensive because it involves the implementation of the procedure, the configuration of tools of the bench and the setup of the interfaces of the system under test. With procedure written in natural language, the interpretation of statements of a test during the manual execution can lead to mistakes that are expensive to fix due to accurate actions needed to perform a statement. The formalization and the automation of those procedures allow testers team to focus on the implementation of new test cases. First of all, we introduce Domain Specific Language (DSL) and show how we use it to formalize tests procedures dedicated to a kind of system. Those languages should be able to be use by avionic testers which do not necessarily have programming skills. They allow test automation, while maintaining test intention in the test description. Then, we proposed a BDD (Behavior Driven Development) approach to validate the integration of systems thanks to behavioral scenarios describing the expected behavior of the airplane. Our contribution is a framework which orchestrate DSLs dedicated to integration test of avionic systems in an Agile vision. We named Domain Specific Test Languages (DSTL), languages used by expert testers. For each system (ATA ou Air Transport Association of America) corresponds a DSTL business. A first DSTL about the validation of airflow control systems has been developed as a proof of concept from existing procedures pseudo-formalized. The experimentation has been continued with IMA (Integrated Modular Avionic) calculators for which test procedures are written in natural language and thus are not automatable. From a corpus of procedures, we propose a first empirical process to identify sentence patterns composing the DSTL. The corpus provided is composed by ten procedures totaling 108 test chapters and 252 tests or subtests involving 3708 statements for a total of 250 Word pages. Make Agile integration tests in this context consist to propose a collaborative approach to formalize a DSTL and to integrate it in the orchestration framework to generate automatically the glu code.

DSL

Agile

Systèmes avioniques

Test

DSL

Agile

Avionics systems

Quantitative analysis of defects in composite material by means of optical lockin thermography / Analyse quantitative de défauts dans des pièces en matériau composite par la méthode de thermographie lockin

Zöcke, Christine

11 June 2010

Les matériaux composites carbone-époxy connaissent un intérêt grandissant dans le domaine de l'aéronautique. Des tests de contrôle non-destructif permettent de détecter des défauts. Ce travail s'attache particulièrement au contrôle non-destructif de matériaux composite carbone-époxy par la thermographie optique lockin. Il élargit le domaine de l'analyse quantitative des mesures thermographiques. Les paramètres géométriques tels la profondeur, la taille et la forme des défauts sont déterminés dans des pièces en matériau composite anisotrope et globalement homogène. Dans un but d'évaluation quantitative des défauts, des techniques de traitement d'image sont appliquées à des images de longues pièces aéronautiques pour former des vues panoramiques. Des images thermiques prises avant et après chargement mécanique sont superposées afin de pouvoir déterminer un endommagement. Différentes images thermale (lockin et excitation ultrasonore) sont fusionnées afin d'obtenir plus d'information sur des défauts du type impacts. La formation d'images est modélisée par une fonction de point qui dépend de la profondeur du défaut et de la fréquence de modulation. Un modèle est calculé en utilisant des fonctions de Green et adapté à des matériaux anisotropes. Les grandeurs : profondeur, taille et forme du défaut sont déterminées par des problèmes inverses. Les mesures sont comparées aux simulations numériques et un algorithme de reconstruction des défauts planaires est validé / In the aerospace industry, carbon-ber reinforced plastic (CFRP) materials are becoming increasingly popular. Due to mechanical fracture and hence safety related issues, CFRP components must be inspected for defects with non-destructive methods. This thesis focuses on non-destructive testing of CFRP materials with optical lockin thermography. The eld of quantitative analysis of thermographic measurements is enhanced. The data of geometrical parameters e.g. depth, size and shape of defects in structures of globally homogeneous and anisotropic CFRP materials is required for fracture mechanics. To evaluate defects in a quantitative way, image processing algorithms are applied to thermographic phase images in order to get panoramic views of extended aircraft parts and to compare measurements before and after a fatigue load in order to determine potential defect growth. Images of lockin and ultrasound excited thermography are combined with data-fusion techniques to get improved information on defects such as impacts. The image formation process can be modeled through a point-spread function, which depends on the depth of the defect and the modulation frequency. A function is computed by using Green's functions and is adapted to anisotropic materials. The quantities depth, size and shape of a defect are determined through inverse numerical lters. Measurements are compared to numerical simulations and a reconstruction algorithm of planar subsurface defects is validated

Thermographie lockin

Rayonnement infrarouge

Structures avioniques

Contrôle non-destructif

Évolution des Architectures des Systèmes Avioniques Embarqués / Evolution of the embedded avionics systems architecture

Gatti, Marc

14 June 2016

De nos jours, les systèmes embarqués sont les éléments Cœurs des Systèmes avioniques. De plus en plus de fonctions sont intégrées et de ce fait leurs complexités croît. Afin que cette complexité puisse rester maîtrisable, l’architecture des systèmes avionique a également évolué de façon à minimiser les interactions entre les équipements. Cette évolution des Architectures a introduit, au niveau avionique, la notion de réseau largement répandue dans le monde dit « consumer ». Nos travaux de Recherche ont pour but d’accompagner cette évolution architecturale en minimisant l’impact des ruptures technologiques qu’il a été nécessaire d’introduire afin de supporter cette évolution. Pour cela, nous proposons une approche qui va nous permettre de dé-risquer chaque nouvelle brique technologique avant son introduction au sein des Systèmes Embarqués. Cette introduction pourra donc être réalisée en ayant au préalable défini les conditions ainsi que les limites d’utilisation de chaque nouvelle technologie, qu’elle soit matérielle et/ou logicielle. / Nowadays, Embedded Systems are key elements of the Avionic Systems. As more and more functions are integrated, their complexity goes increasing. In order to keep mastering this complexity, Avionic Systems Architecture has also evolved so as to minimize the interactions between equipment. This evolution of the Architectures introduced, at the avionic level, the notion of network widely spread in the consumer domain. Our research works aim at accompanying this architectural evolution by minimizing the impact of the technological breakthroughs which were necessary to introduce to support this evolution. For that purpose, we propose an approach which is going to allow us to derisk every new technological brick before its introduction within the Embedded Systems. This introduction can thus be performed by having beforehand defined the conditions as well as the limits of use of every new technology that it is Hardware and/or Software.

Systèmes embarqués

Architecture

Systèmes avioniques

Embedded systems

Architecture

Avionic systems

004

Analyse pire cas de flux hétérogènes dans un réseau embarqué avion / Heterogeneous flows worst case analysis in avionics embedded networks

Bauer, Henri

04 October 2011

La certification des réseaux avioniques requiert une maîtrise des délais de transmission des données. Cepednant, le multiplexage et le partage des ressource de communications dans des réseaux tels que l'AFDX (Avionics Full Duplex Switched Ethernet) rendent difficile le calcul d'un délai de bout en bout pire cas pour chaque flux. Des outils comme le calcul réseau fournissent une borne supérieure (pessimiste) de ce délai pire cas. Les besoins de communication des avions civils modernes ne cessent d'augmenter et un nombre croissant de flux aux contraintes et aux caractéristiques différentes doivent partager les ressources existantes. Le réseau AFDX actuel ne permet pas de différentier plusieurs classes de trafic : les messages sont traités dans les files des commutateurs selon leur ordre d'arrivée (politique de service FIFO). L'objet de cette thèse est de montrer qu'il est possible de calculer des bornes pire cas des délais de bout en bout avec des politiques de service plus évoluées, à base de priorités statiques (Priority Queueing) ou à répartition équitable de service (Fair Queueing). Nous montrons comment l'approche par trajectoires, issue de la théorie de l'ordonnancement dans des systèmes asynchrones distribués peut s'appliquer au domaine de l'AFDX actuel et futur (intégration de politiques de service plus évoluées permettant la différentiation de flux). Nous comparons les performances de cette approche avec les outils de référence lorsque cela est possible et étudions le pessimisme des bornes ainsi obtenues. / The certification process for avionics network requires guaranties on data transmission delays. However, calculating the worst case delay can be complex in the case of industrial AFDX (Avionics Full Duplex Switched Ethernet) networks. Tools such as Network Calculus provide a pessimistic upper bound of this worst case delay. Communication needs of modern commercial aircraft are expanding and a growing number of flows with various constraints and characteristics must share already existing resources. Currently deployed AFDX networks do not differentiate multiple classes of traffic: messages are processed in their arrival order in the output ports of the switches (FIFO servicing policy). The purpose of this thesis is to show that it is possible to provide upper bounds of end to end transmission delays in networks that implement more advanced servicing policies, based on static priorities (Priority Queuing) or on fairness (Fair Queuing). We show how the trajectory approach, based on scheduling theory in asynchronous distributed systems can be applied to current and future AFDX networks (supporting advanced servicing policies with flow differentiation capabilities). We compare the performance of this approach with the reference tools whenever it is possible and we study the pessimism of the computed upper bounds.

Délais de bout en bout pire cas

Réseaux avioniques

Approche par trajectoires

Worst case end-to-end delay

Avionics network

Trajectory approach

Analyse de sécurité et QoS dans les réseaux à contraintes temporelles / Analysis of security and QoS in networks with time constraints

Mostafa, Mahmoud

10 November 2011

Dans le domaine des réseaux, deux précieux objectifs doivent être atteints, à savoir la QoS et la sécurité, plus particulièrement lorsqu’il s’agit des réseaux à caractère critique et à fortes contraintes temporelles. Malheureusement, un conflit existe : tandis que la QoS œuvre à réduire les temps de traitement, les mécanismes de sécurité quant à eux requièrent d’importants temps de traitement et causent, par conséquent, des délais et dégradent la QoS. Par ailleurs, les systèmes temps réel, la QoS et la sécurité ont très souvent été étudiés séparément, par des communautés différentes. Dans le contexte des réseaux avioniques de données, de nombreux domaines et applications, de criticités différentes, échangent mutuellement des informations, souvent à travers des passerelles. Il apparaît clairement que ces informations présentent différents niveaux de sensibilité en termes de sécurité et de QoS. Tenant compte de cela, le but de cette thèse est d’accroître la robustesse des futures générations de réseaux avioniques de données en contrant les menaces de sécurité et évitant les ruptures de trafic de données. A cet effet, nous avons réalisé un état de l’art des mécanismes de sécurité, de la QoS et des applications à contraintes temporelles. Nous avons, ensuite étudié la nouvelle génération des réseaux avioniques de données. Chose qui nous a permis de déterminer correctement les différentes menaces de sécurité. Sur la base de cette étude, nous avons identifié à la fois les exigences de sécurité et de QoS de cette nouvelle génération de réseaux avioniques. Afin de les satisfaire, nous avons proposé une architecture de passerelle de sécurité tenant compte de la QoS pour protéger ces réseaux avioniques et assurer une haute disponibilité en faveur des données critiques. Pour assurer l’intégration des différentes composantes de la passerelle, nous avons développé une table de session intégrée permettant de stocker toutes les informations nécessaires relatives aux sessions et d’accélérer les traitements appliqués aux paquets (filtrage à états, les traductions d’adresses NAT, la classification QoS et le routage). Cela a donc nécessité, en premier lieu, l'étude de la structure existante de la table de session puis, en second lieu, la proposition d'une toute nouvelle structure répondant à nos objectifs. Aussi, avons-nous présenté un algorithme permettant l’accès et l’exploitation de la nouvelle table de session intégrée. En ce qui concerne le composant VPN IPSec, nous avons détecté que le trafic chiffré par le protocole ESP d’IPSec ne peut pas être classé correctement par les routeurs de bordure. Afin de surmonter ce problème, nous avons développé un protocole, Q-ESP, permettant la classification des trafics chiffrés et offrant les services de sécurité fournis par les protocoles AH et ESP combinés. Plusieurs techniques de gestion de bande passante ont été développées en vue d’optimiser la gestion du trafic réseau. Pour évaluer les performances offertes par ces techniques et identifier laquelle serait la plus appropriée dans notre cas, nous avons effectué une comparaison basée sur le critère du délai, par le biais de tests expérimentaux. En dernière étape, nous avons évalué et comparé les performances de la passerelle de sécurité que nous proposons par rapport à trois produits commerciaux offrant les fonctions de passerelle de sécurité logicielle en vue de déterminer les points forts et faibles de notre implémentation pour la développer ultérieurement. Le manuscrit s’organise en deux parties : la première est rédigée en français et représente un résumé détaillé de la deuxième partie qui est, quant à elle, rédigée en anglais. / QoS and security are two precious objectives for network systems to attain, especially for critical networks with temporal constraints. Unfortunately, they often conflict; while QoS tries to minimize the processing delay, strong security protection requires more processing time and causes traffic delay and QoS degradation. Moreover, real-time systems, QoS and security have often been studied separately and by different communities. In the context of the avionic data network various domains and heterogeneous applications with different levels of criticality cooperate for the mutual exchange of information, often through gateways. It is clear that this information has different levels of sensitivity in terms of security and QoS constraints. Given this context, the major goal of this thesis is then to increase the robustness of the next generation e-enabled avionic data network with respect to security threats and ruptures in traffic characteristics. From this perspective, we surveyed the literature to establish state of the art network security, QoS and applications with time constraints. Then, we studied the next generation e-enabled avionic data network. This allowed us to draw a map of the field, and to understand security threats. Based on this study we identified both security and QoS requirements of the next generation e-enabled avionic data network. In order to satisfy these requirements we proposed the architecture of QoS capable integrated security gateway to protect the next generation e-enabled avionic data network and ensure the availability of critical traffic. To provide for a true integration between the different gateway components we built an integrated session table to store all the needed session information and to speed up the packet processing (firewall stateful inspection, NAT mapping, QoS classification and routing). This necessitates the study of the existing session table structure and the proposition of a new structure to fulfill our objective. Also, we present the necessary processing algorithms to access the new integrated session table. In IPSec VPN component we identified the problem that IPSec ESP encrypted traffic cannot be classified appropriately by QoS edge routers. To overcome this problem, we developed a Q-ESP protocol which allows the classifications of encrypted traffic and combines the security services provided by IPSec ESP and AH. To manage the network traffic wisely, a variety of bandwidth management techniques have been developed. To assess their performance and identify which bandwidth management technique is the most suitable given our context we performed a delay-based comparison using experimental tests. In the final stage, we benchmarked our implemented security gateway against three commercially available software gateways. The goal of this benchmark test is to evaluate performance and identify problems for future research work. This dissertation is divided into two parts: in French and in English respectively. Both parts follow the same structure where the first is an extended summary of the second.

Sécurité

QoS

Réseaux avioniques de données

Pare-feu

IPsec

Table de session

Passerelle

Benchmarking

Security

QoS

Avionic Data Network

Firewall

IPSec

Session Table

Gateway

Benchmarking

Specification and analysis of an extended AFDX with TSN/BLS shapers for mixed-criticality avionics applications / Spécification et Analyse d'un AFDX étendu avec TSN/BLS pour des applications avioniques de criticités mixtes

Finzi, Anaïs

11 June 2018

L'augmentation du nombre de systèmes interconnectés et l’expansion des données échangées dans les réseaux avioniques ont contribué à la complexification des architectures de communication. Pour gérer cette évolution, une nouvelle solution basée sur un réseau cœur haut débit, e.g., l'AFDX (Avionics Full DupleX), a été implémentée sur l'A380. Cependant, il reste des réseaux bas débit, e.g, CAN ou A429, utilisés pour certaines fonctions spécifiques. Cette architecture réduit le délai de développement, mais en contrepartie, elle conduit à de l’hétérogénéité et à de nouveaux challenges pour garantir les contraintes temps-réel. Pour résoudre ces challenges, une architecture homogène basé sur l'AFDX pourrait apporter de grands avantages, tels que une facilité de l'installation et maintenance, et une réduction de poids et coûts. Cette architecture homogène doit supporter des applications de criticités mixtes, où coexistent les trafics critiques (SCT), Best-effort (BE) et le trafic AFDX actuel (RC). Pour atteindre ce but, nous commençons par évaluer les avantages et les inconvénients des solutions existantes par rapport aux contraintes avioniques. Cela nous conduit à sélectionner le Burst Limiting Shaper (BLS) (proposé par le groupe IEEE Time Sensitive Networking (TSN)) allié à un ordonnanceur Static Priority non-preemptif. Ainsi, nous identifions quatre contributions principales dans cette thèse. Tout d'abord, nous spécifions un AFDX étendu avec le TSN/BLS. Une analyse préliminaire basée sur de la simulation a donné des résultats encourageants pour poursuivre sur cette voie. En second, nous détaillons une analyse temporelle de l'AFDX étendu, grâce au Network Calculus, pour calculer des bornes maximales des délais pire cas des différents types de trafic, pour prouver le déterminisme du réseau et le respect des contraintes temporelles. Une analyse de performance préliminaire montre l'efficacité de la solution à améliorer les délais de RC, tout en garantissant les contraintes. Cependant, cette analyse a aussi montré certaines limitations du modèle en termes de pessimisme. Notre troisième contribution est par conséquent la réduction de ce pessimisme, grâce à une seconde modélisation de l'AFDX étendu, et à une méthode de paramétrage des variables système. Cette méthode permet d'améliorer les performances de RC tout en garantissant les contraintes temporelles du SCT et RC. Finalement, nous validons notre proposition à travers des études de cas avioniques réalistes pour vérifier son efficacité. Les résultats montrent une forte amélioration des délais de RC ainsi que de l'ordonnançabilité de SCT et RC, en comparaison à l'AFDX actuel et au Deficit Round Robin. / The growing number of interconnected end-systems and the expansion of exchanged data in avionics have led to an increase in complexity of the communication architecture. To cope with this trend, a first communication solution based on a high rate backbone network, i.e., the AFDX (Avionics Full Duplex Switched Ethernet), has been implemented by Airbus in the A380. Moreover, some low rate data buses, e.g., CAN or ARINC 429, are still used to handle some specific avionics domains. Although this architecture reduces the time to market, it conjointly leads to inherent heterogeneity and new challenges to guarantee the real-time requirements. To handle these emerging issues, a homogeneous avionic communication architecture based the AFDX technology to interconnect different avionics domains may bring significant advantages, such as easier installation and maintenance and reduced weight and costs. Furthermore, this homogeneous communication architecture needs to support mixed-criticality applications, where safety-critical traffic (SCT), current rate constraint AFDX traffic (RC) and best effort traffic (BE) co-exist. To achieve this aim, first, we assess the pros and cons of most relevant existing solutions vs the main avionics requirements, to support mixed-criticality applications on the AFDX network. Afterwards, the Burst Limiting Shaper (BLS) (proposed by IEEE Time Sensitive Networking (TSN) Task group) on top of a Non-Preemptive Static Priority (NP-SP) scheduler has been selected as the most promising solution. Hence, our main contributions in this thesis are fourfold. First, we specify the extended AFDX incorporating the TSN/BLS on top of NP-SP. A preliminary performance analysis based on simulations has been conducted. These first results were encouraging to pursue this proposal. Second, we conduct a timing analysis of the extended AFDX using Network Calculus to compute the delay upper bounds of the different traffic classes and prove the determinism of such a solution. The preliminary performance evaluation has shown the efficiency of the extended AFDX to enhance the RC delay bounds while guaranteeing the constraints. However, they have also highlighted some limitations of the proposed model in terms of pessimism. Third, we introduce a second model of the extended AFDX to enhance the delay bounds tightness. Moreover, we propose a tuning method of TSN/BLS parameters to enhance as much as possible the RC timing performance, while guaranteeing the constraints. Finally, we validate our proposal through representative case studies to assess its efficiency. The results show the enhancements of the RC delay bounds as well as the schedulability level of both SCT and RC traffic, in comparison to the current AFDX and Deficit Round Robin (DRR).

Réseaux embarqués avioniques

AFDX

Qualité de Service

BLS

TSN

Network calculus

Avionics embedded networks

AFDX

Quality of service

BLS

TSN

Network calculus

000

Analyse et optimisation des réseaux avioniques hétérogènes / Analysis and optimiozation of heterogeneous avionics networks

Ayed, Hamdi

27 November 2014

La complexité des architectures de communication avioniques ne cesse de croître avec l’augmentation du nombre des terminaux interconnectés et l’expansion de la quantité des données échangées. Afin de répondre aux besoins émergents en terme de bande passante, latence et modularité, l’architecture de communication avionique actuelle consiste à utiliser le réseau AFDX (Avionics Full DupleX Switched Ethernet) pour connecter les calculateurs et utiliser des bus d’entrée/sortie (par exemple le bus CAN (Controller Area Network)) pour connecter les capteurs et les actionneurs. Les réseaux ainsi formés sont connectés en utilisant des équipements d’interconnexion spécifiques, appelés RDC (Remote Data Concentrators) et standardisé sous la norme ARINC655. Les RDCs sont des passerelles de communication modulaires qui sont reparties dans l’avion afin de gérer l’hétérogénéité entre le réseau cœur AFDX et les bus d’entrée/sortie. Certes, les RDCs permettent d’améliorer la modularité du système avionique et de réduire le coût de sa maintenance; mais, ces équipements sont devenus un des défis majeurs durant la conception de l’architecture avionique afin de garantir les performances requises du système. Les implémentations existantes du RDC effectuent souvent une translation direct des trames et n’implémentent aucun mécanisme de gestion de ressources. Or, une utilisation efficace des ressources est un besoin important dans le contexte avionique afin de faciliter l’évolution du système et l’ajout de nouvelles fonctions. Ainsi, l’objectif de cette thèse est la conception et la validation d’un RDC optimisé implémentant des mécanismes de gestion des ressources afin d’améliorer les performances de l’architecture de communication avionique tout en respectant les contraintes temporelles du système. Afin d’atteindre cet objectif, un RDC pour les architectures réseaux de type CAN-AFDX est conçu, intégrant les fonctions suivantes: (i) groupement des trames appliqué aux flux montants, i.e., flux générés par les capteurs et destinés à l’AFDX, pour minimiser le coût des communication sur l’AFDX; (ii) la régulation des flux descendants, i.e., flux générés par des terminaux AFDX et destinés aux actionneurs, pour réduire les contentions sur le bus CAN. Par ailleurs, notre RDC permet de connecter plusieurs bus CAN à la fois tout en garantissant une isolation entre les flux. Par la suite, afin d’analyser l’impact de ce nouveau RDC sur les performances du système avionique, nous procédons à la modélisation de l’architecture CAN-AFDX, et particulièrement le RDC et ses nouvelles fonctions. Ensuite, nous introduisons une méthode d’analyse temporelle pour calculer des bornes maximales sur les délais de bout en bout et vérifier le respect des contraintes temps-réel. Plusieurs configurations du RDC peuvent répondre aux exigences du système avionique tout en offrant des économies de ressources. Nous procédons donc au paramétrage du RDC afin de minimiser la consommation de bande passante sur l’AFDX tout en respectant les contraintes temporelles. Ce problème d’optimisation est considéré comme NP-complet, et l’introduction des heuristiques adéquates s’est avérée nécessaire afin de trouver la meilleure configuration possible du RDC. Enfin, les performances de ce nouveau RDC sont validées à travers une architecture CAN-AFDX réaliste, avec plusieurs bus CAN et des centaines de flux échangés. Différents niveaux d’utilisation des bus CAN ont été considérés et les résultats obtenus ont montré l’efficacité de notre RDC à améliorer la gestion des ressources du système avionique tout en respectant les contraintes temporelles de communication. En particulier, notre RDC offre une réduction de la bande passante AFDX allant jusqu’à 40% en comparaison avec le RDC actuellement utilisé. / The aim of my thesis is to provide a resources-efficient gateway to connect Input/Output (I/O) CAN buses to a backbone network based on AFDX technology, in modern avionics communication architectures. Currently, the Remote Data Concentrator (RDC) is the main standard for gateways in avionics; and the existing implementations do not integrate any resource management mechanism. To handle these limitations, we design an enhanced CAN-AFDX RDC integrating new functions: (i) Frame Packing (FP) allowing to reduce communication overheads with reference to the currently used "1 to 1" frame conversion strategy; (ii) Hierarchical Traffic Shaping (HTS) to reduce contention on the CAN bus. Furthermore, our proposed RDC allows the connection of multiple I/O CAN buses to AFDX while guaranteeing isolation between different criticality levels, using a software partitioning mechanism. To analyze the performance guarantees offered by our proposed RDC, we considered two metrics: the end-to-end latency and the induced AFDX bandwidth consumption. Furthermore, an optimization process was proposed to achieve an optimal configuration of our proposed RDC, i.e., minimizing the bandwidth utilization while meeting the real-time constraints of communication. Finally, the capacity of our proposed RDC to meet the emerging avionics requirements has been validated through a realistic avionics case study.

Réseaux avioniques

Analyse de performances

Réseaux hétérogènes

Équipements d’interconnection

Afdx

Can

Multi-Cluster avionics networks

Afdx

Can

RDC design

Timing analysis

Performance optimization

Validation

Risk assessment and intrusion detection for airbone networks / Analyse de risque et détection d'intrusions pour les réseaux avioniques

Gil Casals, Silvia

21 July 2014

L'aéronautique connaît de nos jours une confluence d'événements: la connectivité bord-sol et au seinmême de l’avion ne cesse d'augmenter afin, entre autres, de faciliter le contrôle du trafic aérien et lamaintenabilité des flottes d’avions, offrir de nouveaux services pour les passagers tout en réduisant lescoûts. Les fonctions avioniques se voient donc reliées à ce qu’on appelle le Monde Ouvert, c’est-à-direle réseau non critique de l’avion ainsi qu’aux services de contrôle aérien au sol. Ces récentesévolutions pourraient constituer une porte ouverte pour les cyber-attaques dont la complexité necesse de croître également. Cependant, même si les standards de sécurité aéronautique sont encoreen cours d'écriture, les autorités de certification aéronautiques demandent déjà aux avionneursd'identifier les risques et assurer que l'avion pourra opérer de façon sûre même en cas d'attaque.Pour répondre à cette problématique industrielle, cette thèse propose une méthode simple d'analysede risque semi-quantitative pour identifier les menaces, les biens à protéger, les vulnérabilités etclasser les différents niveaux de risque selon leur impact sur la sûreté de vol et de la potentiellevraisemblance de l’attaque en utilisant une série de tables de critères d’évaluation ajustables. Ensuite,afin d'assurer que l'avion opère de façon sûre et en sécurité tout au long de son cycle de vie, notredeuxième contribution consiste en une fonction générique et autonome d'audit du réseau pour ladétection d'intrusions basée sur des techniques de Machine Learning. Différentes options sontproposées afin de constituer les briques de cette fonction d’audit, notamment : deux façons demodéliser le trafic au travers d’attributs descriptifs de ses caractéristiques, deux techniques deMachine Learning pour la détection d’anomalies : l’une supervisée basée sur l’algorithme One ClassSupport Vector Machine et qui donc requiert une phase d’apprentissage, et l’autre, non superviséebasée sur le clustering de sous-espace. Puisque le problème récurrent pour les techniques dedétection d’anomalies est la présence de fausses alertes, nous prônons l’utilisation du Local OutlierFactor (un indicateur de densité) afin d’établir un seuil pour distinguer les anomalies réelles desfausses alertes. / Aeronautics is actually facing a confluence of events: connectivity of aircraft is graduallyincreasing in order to ease the air traffic management and aircraft fleet maintainability, andto offer new services to passengers while reducing costs. The core avionics functions are thuslinked to what we call the Open World, i.e. the non-critical network of an aircraft as well asthe air traffic services on the ground. Such recent evolutions could be an open door to cyberattacksas their complexity keeps growing. However, even if security standards are still underconstruction, aeronautical certification authorities already require that aircraft manufacturersidentify risks and ensure aircraft will remain in a safe and secure state even under threatconditions.To answer this industrial problematic, this thesis first proposes a simple semi-quantitative riskassessment framework to identify threats, assets and vulnerabilities, and then rank risk levelsaccording to threat scenario safety impact on the aircraft and their potential likelihood byusing adjustable attribute tables. Then, in order to ensure the aircraft performs securely andsafely all along its life-cycle, our second contribution consists in a generic and autonomousnetwork monitoring function for intrusion detection based on Machine Learning algorithms.Different building block options to compose this monitoring function are proposed such as:two ways of modeling the network traffic through characteristic attributes, two MachineLearning techniques for anomaly detection: a supervised one based on the One Class SupportVector Machine algorithm requiring a prior training phase and an unsupervised one based onsub-space clustering. Since a very common issue in anomaly detection techniques is thepresence of false alarms, we prone the use of the Local Outlier Factor (a density indicator) toset a threshold in order to distinguish real anomalies from false positives.This thesis summarizes the work performed under the CIFRE (Convention Industrielle deFormation par la Recherche) fellowship between THALES Avionics and the CNRS-LAAS atToulouse, France.

Sécurité des réseaux avioniques

Analyse de risque

Processus

Détection d’anomalies/d’intrusions

Machine Learning

Airworthiness security

Process

Risk assessment

Intrusion/anomaly detection

Machine Learning

629.135 5

Architecture logicielle générique et approche à base de modèles pour la sûreté de fonctionnement des systèmes interactifs critiques / Genetic software architecture and model-based approach for the dependability of interactive critical

Fayollas, Camille

21 July 2015

Depuis l'introduction au début des années 2000 du standard ARINC 661 (définissant les interfaces graphiques dans les cockpits), les avions modernes, tels que l'A380, l'A350 ou le B787, intègrent des systèmes interactifs permettant à l'équipage d'interagir avec des applications interactives. Ces applications sont affichées sur des écrans à travers l'utilisation d'un dispositif similaire à un clavier et une souris. Pour des raisons d'exigences de sûreté de fonctionnement, l'utilisation de ces systèmes est limitée, à l'heure actuelle, à la commande et au contrôle de fonctions avioniques non critiques. Cependant, l'utilisation de ces systèmes dans les cockpits d'avions civils apporte de nombreux avantages (tels qu'une amélioration de l'évolutivité du cockpit) qui amènent les industriels à chercher comment l'étendre à la commande et le contrôle de systèmes avioniques critiques. Dans cette optique, nous proposons une approche duale et homogène de prévention et de tolérance aux fautes pour concevoir et développer des systèmes interactifs tolérants aux fautes. Celle-ci repose, dans un premier temps, sur une approche à base de modèles permettant de décrire de manière complète et non ambiguë les composants logiciels des systèmes interactifs et de prévenir les fautes logicielles de développement. Dans un second temps, elle repose sur une approche de tolérance aux fautes naturelles et certaines fautes logicielles résiduelles en opération, grâce à la mise en œuvre d'une solution architecturale fondée sur le principe des composants autotestables. Les contributions de la thèse sont illustrées sur une étude de cas de taille industrielle : une application interactive inspirée du système de commande et contrôle de l'autopilote de l'A380. / Since the introduction of the ARINC 661 standard (that defines graphical interfaces in the cockpits) in the early 2000, modern aircrafts such as the A380, the A350 or the B787 possess interactive systems. The crew interacts, through physical devices similar to keyboard and mouse, with interactive applications displayed on screens. For dependability reasons, only non-critical avionics systems are managed using such interactive systems. However, their use brings several advantages (such as a better upgradability), leading aircraft manufacturers to generalize the use of such interactive systems to the management of critical avionics functions. To reach this goal, we propose a dual and homogeneous fault prevention and fault tolerance approach. Firstly, we propose a model-based approach to describe in a complete and unambiguous way interactive software components to prevent as much as possible development software faults. Secondly, we propose a fault tolerant approach to deal with operational natural faults and some residual software faults. This is achieved through the implementation of a fault tolerant architecture based on the principle of self-checking components. Our approach is illustrated on a real size case study: an interactive application based on the command and control system of the A380 autopilot.

Systèmes interactifs critiques

Sûreté de fonctionnement

Architecture logicielle

Approche à base de modèles

Tolérance aux fautes

Cockpits avioniques

Interactive Critical Systems

Dependability

Software Architecture

Model-Based Approach

Fault-tolerance

Aircraft cockpits

Algorithmes de filtrage et systèmes avioniques pour véhicules aériens autonomes

Salaün, Erwan

13 January 2009

Le travail présenté dans ce mémoire concerne le développement théorique et la validation expérimentale d'algorithmes de fusion de données originaux pour mini-drones, dépassant les limitations des estimateurs communément utilisés (e.g. le Filtre de Kalman Etendu ou les filtres particulaires) et pouvant être implémentés aisément et efficacement dans une avionique bas-coûts. Nous proposons tout d'abord des observateurs invariants "génériques'', préservant les symétries naturelles du système physique. Ces observateurs fusionnent les mesures de capteurs bon marché usuels (tels que les capteurs inertiels, magnétomètres, GPS ou baromètres) afin d'estimer avec précision l'état de l'appareil (angles d'attitude et de cap, vitesse et position) sans modèle dynamique de l'engin. Ils possèdent un large domaine de convergence; ils sont également faciles à régler et très économiques en temps de calcul. Puis nous développons des observateurs "spécifiques'', adaptés au type de véhicule aérien considéré, en l'occurence un mini-quadrotor. Basés sur un modèle physique tenant compte de la traînée de rotor, les observateurs présentés estiment la vitesse du quadrotor à partir de mesures uniquement inertielles, menant à un contrôle en vitesse de l'appareil. Cette approche est validée par des vols stabilisés autonomes. Enfin, nous présentons en détail l'intégration du système avionique bas-coûts utilisé, composé de capteurs "bruts'' et d'un microcontrôleur sur lequel sont implémentés les observateurs précédents. Nous validons ces algorithmes en comparant leurs estimations avec celles fournies par un produit commercial coûteux, mettant ainsi en évidence leur excellent rapport "qualité/prix''.

véhicules aériens autonomes

fusion de données

solutions de navigation

observateurs non-linéaires

invariance

symétrie

filtre de Kalman étendu

quadrotor

traînée de rotor