From safety analysis to experimental validation by fault injection - Case of automotive embedded systems / Des analyses de sécurité à la validation expérimentale par injection de fautes - Le cas des systèmes embarqués automobile

Pintard, Ludovic

28 May 2015

En raison de la complexité croissante des systèmes automobiles embarqués, la sûreté de fonctionnement est devenue un enjeu majeur de l’industrie automobile. Cet intérêt croissant s’est traduit par la sortie en 2011 de la norme ISO 26262 sur la sécurité fonctionnelle. Les défis auxquelles sont confrontés les acteurs du domaine sont donc les suivants : d’une part, la conception de systèmes sûrs, et d’autre part, la conformité aux exigences de la norme ISO 26262. Notre approche se base sur l’application systématique de l’injection de fautes pour la vérification et la validation des exigences de sécurité, tout au long du cycle de développement, des phases de conception jusqu’à l’implémentation. L’injection de fautes nous permet en particulier de vérifier que les mécanismes de tolérance aux fautes sont efficaces et que les exigences non-fonctionnelles sont respectées. L’injection de faute est une technique de vérification très ancienne. Cependant, son rôle lors de la phase de conception et ses complémentarités avec la validation expérimentale, méritent d’être étudiés. Notre approche s’appuie sur l’application du modèle FARM (Fautes, Activations, Relevés et Mesures) tout au long du processus de développement. Les analyses de sûreté sont le point de départ de notre approche, avec l'identification des mécanismes de tolérance aux fautes et des exigences non-fonctionnelles, et se terminent par la validation de ces mécanismes par les expériences classiques d'injection de fautes. Enfin, nous montrons que notre approche peut être intégrée dans le processus de développement des systèmes embarqués automobiles décrits dans la norme ISO 26262. Les contributions de la thèse sont illustrées sur l’étude de cas d’un système d’éclairage avant d’une automobile. / Due to the rising complexity of automotive Electric/Electronic embedded systems, Functional Safety becomes a main issue in the automotive industry. This issue has been formalized by the introduction of the ISO 26262 standard for functional safety in 2011. The challenges are, on the one hand to design safe systems based on a systematic verification and validation approach, and on the other hand, the fulfilment of the requirements of the ISO 26262 standard. Following ISO 26262 recommendations, our approach, based on fault injection, aims at verifying fault tolerance mechanisms and non-functional requirements at all steps of the development cycle, from early design phases down to implementation. Fault injection is a verification technique that has been investigated for a long time. However, the role of fault injection during design phase and its complementarities with the experimental validation of the target have not been explored. In this work, we investigate a fault injection continuum, from system design validation to experiments on implemented targets. The proposed approach considers the safety analyses as a starting point, with the identification of safety mechanisms and safety requirements, and goes down to the validation of the implementation of safety mechanisms through fault injection experiments. The whole approach is based on a key fault injection framework, called FARM (Fault, Activation, Readouts and Measures). We show that this approach can be integrated in the development process of the automotive embedded systems described in the ISO 26262 standard. Our approach is illustrated on an automotive case study: a Front-Light system.

Injection de fautes

Automobile

Systèmes Embarqués

Sécurité

Vérification

ISO 26262

Fault Injection

Automotive

Embedded Systems

Safety

Verification

ISO 26262

Outils de calcul quantique tolérant aux fautes

Duclos-Cianci, Guillaume

January 2015

Le développement de qubits quantiques robustes représente un défi technologique de taille. Malgré plus d'une décennie de progrès et de percées, nous sommes toujours à la recherche du candidat idéal. La difficulté réside dans la nécessité de respecter une panoplie de critères stricts: on doit pouvoir préparer et mesurer les qubits rapidement et de manière fiable, préserver leur état pour de longs temps, appliquer avec précision un continuum de transformations, les coupler les uns aux autres, en entasser des milliers, voire des millions sur un seul dispositif, etc. Parallèlement à ces recherches, un autre groupe de scientifiques travaillent plutôt à l'élaboration de l'architecture permettant d'opérer ces qubits. Cette architecture inclut une couche logicielle de base dont l'étude constitue le domaine du calcul tolérant aux fautes: en encodant l'information dans des qubits logiques à l'aide des qubits physiques disponibles, il est possible d'obtenir un dispositif quantique dont les propriétés effectives sont supérieures à celles des composantes physiques sous-jacentes. En contrepartie, une surcharge doit être payée. Celle-ci peut être interprétée comme une forme de redondance dans l'information. De plus, les portes logiques applicables aux qubits encodés sont souvent trop limitées pour être utiles. La recherche dans ce domaine vise souvent à limiter la surcharge et à étendre l'ensemble des opérations applicables. Cette thèse présente les travaux que j'ai publiés avec mes collaborateurs durant mes études de doctorat. Ceux-ci touchent deux aspects importants du calcul tolérant aux fautes: l'élaboration de protocoles de calcul universel et la conception et l'étude d'algorithmes de décodage de codes topologiques stabilisateurs. Concernant l'élaboration de protocoles de calcul universel, j'ai développé avec l'aide de Krysta Svore chez Microsoft Research une nouvelle famille d'états ressources (Chapitre 2). Celle-ci permet, par l'injection d'états, d'effectuer une opération unitaire arbitraire à un qubit à un coût plus faible que les méthodes existant à ce moment. Plus tard, j'ai poursuivi ces travaux avec David Poulin pour élaborer une autre famille d'états ressources qui diminuent encore davantage les coûts de compilation de diverses portes unitaires à un qubit (Chapitre 3). Finalement, Jonas Anderson, David Poulin et moi avons montré comment il est possible de passer de manière tolérante aux fautes d'un encodage à un autre (Chapitre 4). Cette approche est qualitativement différente, car elle fournit un ensemble universel de portes sans passer par l'injection d'états. Durant mon doctorat, j'ai aussi généralisé de plusieurs manières la méthode de décodage par renormalisation du code topologique de Kitaev que j'ai développée au cours de ma maîtrise. Tout d'abord, j'ai collaboré avec Héctor Bombin et David Poulin dans le but de montrer que tous les codes topologiques stabilisateurs invariants sous translation sont équivalents, c'est-à-dire qu'ils appartiennent à la même phase topologique (Chapitre 5). Ce résultat m'a aussi permis d'adapter mon décodeur aux codes topologiques de couleurs stabilisateurs et à sous-systèmes. Puis, je l'ai adapté à une généralisation du code topologique de Kitaev sur des qudits (Chapitre 6). Ensuite, je l'ai généralisé au cas tolérant aux fautes, où les erreurs dans les mesures du syndrome sont prises en compte (Chapitre 7). Finalement, je l'ai appliqué à un nouveau code élaboré par Sergey Bravyi, le code de surface à sous-systèmes (Chapitre 8).

Calcul quantique tolérant aux fautes

Ensemble universel de portes

Distillation d'états magiques

Déformation de codes

Conception d'architectures reconfigurables dynamiquement : Du silicium au système

Pillement, Sébastien

22 October 2010

Les travaux de recherche, dont la synthèse est présentée dans ce manuscrit, portent sur la conception de systèmes reconfigurables dynamiquement. L'évolution constante des applications et le besoin toujours croissant de performances imposent le développement de nouvelles architectures performantes et flexibles. Ces contraintes ont amené à une complexification des architectures, de leurs mécanismes de reconfiguration et de leur gestion. Dans le premier axe de travail, nous proposons des architectures offrant un bon compromis performances, consommation d'énergie, flexibilité. Afin de simplifier la conception de ces architectures et de leur gestion nous avons proposé un langage de description haut niveau qui permet de générer l'architecture mais aussi de paramétrer ses outils de développement. Les systèmes sur puce moderne incluent un grand nombre de fonctionnalités hétérogènes, et doivent faire face à des problèmes liés à la réduction des dimensions technologiques. Pour répondre à ces difficultés, le concept de réseau intégré sur silicium semble prometteur. Dans notre deuxième axe, nous étudions de nouveaux codages et l'utilisation de nouvelles technologies pour réduire la consommation des interconnexions tout en améliorant leur fiabilité. Nous travaillons également à la définition de réseaux flexibles adaptés au paradigme de la reconfiguration dynamique. L'émergence de systèmes intégrant une zone reconfigurable dynamiquement nécessite l'emploi d'outils et de mécanismes spécifiques. En particulier, la présence d'un système d'exploitation adapté devient nécessaire. Celui-ci doit être capable, au minimum, d'ordonnancer les tâches à exécuter, d'assurer le partage des moyens de communication et d'offrir un modèle de déploiement d'applications indépendant de l'architecture cible. Le deuxième enjeu de cet axe vient de la nécessité de développer des architectures tolérantes aux fautes. Ainsi la mise en place de gestions spécifiques permet de développer des systèmes reconfigurables dynamiquement sûrs de fonctionnement.

Architecture reconfigurable

conception

OS embarqué

FPGA

Tolérance aux fautes

Interconnexions

NoC

Architectures innovantes de systèmes de commandes de vol / Innovative Architectures of Flight Control Systems

Sghairi Haouati, Manel

27 May 2010

L'aboutissement aux Commandes de Vol Électriques (CDVE) des avions civils actuels s'est fait par étapes, après une longue maturation des différentes technologies mises en place. La prochaine étape est l'utilisation de communications intégralement numériques et d'actionneurs intelligents. Cette thèse propose de nouvelles architectures, en rupture avec l'état de l'art, avec de nouvelles répartitions des fonctions intelligentes entre l'avionique centrale (calculateurs de commandes de vols) et l'avionique déportée (électroniques locales des actionneurs) dont l'avantage est d'exiger moins de ressources par rapport aux architectures conventionnelles tout en satisfaisant les mêmes exigences de sécurité et de disponibilité ainsi que les exigences croissantes en fiabilité opérationnelle de la part des compagnies aériennes. La sûreté de fonctionnement et la robustesse des nouvelles architectures proposées ont été validées respectivement sous OCAS/Altarica et Matlab/Simulink. / The current civil aircraft's electrical flight control has been changed to take benefit of technical improvements. New technologies, when mature, can be incorporated in aircrafts. Evolutions are considered towards a digital communication and intelligent actuators. This thesis is aiming at proposing alternative architectures with distribution of system functionality between flight control computers and actuators with less hardware and software resources. New architectures must meet the same safety and availability requirements with additional operational reliability (required by airlines). Dependability and robustness of new architectures have been validated trough respectively OCAS / AltaRica and Matlab / Simulink

Architectures distribuées

Commandes de vol électriques

Actionneurs intelligents

Communications numériques

Tolérance aux fautes

Analyses de sécurité

Distributed architectures

Electrical flight control

Intelligent actuators

Digital communication

Fault tolerance

Safety analysis

Contribution à la compréhension de la structure de Li2MnO3, de ses défauts et de phases dérivées / Contribution to the understanding of the structure of Li2MnO3, of its defects and of derivative phases

Boulineau, Adrien

19 December 2008

Afin de mieux comprendre les évolutions structurales mises en évidence dans les oxydes lamellaires de formule générale Li1+x(Ni0.425Mn0.425Co0.15)O2 utilisés comme électrode positive pour batterie lithium-ion, la structure du composé Li2MnO3 a été étudiée en détail. Obtenu selon différentes voies de synthèses, réalisées à différentes températures, ce matériau qui peut être considéré comme un matériau model à fait l’objet d’une étude cristallographique où l’utilisation de la microscopie électronique a été privilégiée. Deux types de défauts ont été identifiés. D’une part, l’existence de fautes d’empilement au sein du matériau a été démontrée. Leurs conséquences sur les clichés de diffraction électronique et les diagrammes de diffraction des rayons-X ont étés expliquées permettant d’unifier les controverses présentent à ce sujet dans la littérature. D’autre part, l’étude de la stabilité thermique du composé Li2MnO3 a mis en évidence l’apparition de défauts de type « phase spinelle » en surface des grains lorsque la température de traitement thermique devient supérieure ou égale à 900°C. Le traitement du matériau par la voie acide a pu être étudié et le mécanisme de désintercalation chimique du lithium par la voie acide a finalement pu être précisé. Il est montré que ce mécanisme est le même quelle que soit la taille des particules. / In order to get a better understanding of the complex structural evolutions occurring in the layered oxides like Li1+x(Ni0.425Mn0.425Co0.15)O2 materials when they are used as positive electrodes in lithium batteries, the structure of Li2MnO3 has been studied in detail. Obtained from several synthesis ways, annealed at various temperatures, this compound that can be considered as a model one regarding these complex materials has been the object of a crystallographic study where the use of electron microscopy was privileged. Two kinds of defects could be identified. From one part, the existence of stacking faults in the Li2MnO3 material has been proved and they have been visualized for the first time. Their consequences on X ray and electron diffraction patterns are explained allowing the unification of discrepancies existing in the bibliography. For other part, the study of the thermal stability of Li2MnO3 evidenced the appearance of spinel type defects when the annealing treatment is performed above 900°C. Finally the delithiation by acid leaching is studied and the lithium extraction mechanism is clarified. It is shown that this mechanism is the same whatever the particle size is.

Li2MnO3

Fautes d’empilement

Diffraction des rayons X

Oxydes lamellaires

Intercroissance de défauts

Microscopie électronique

Li2MnO3

Stacking faults

X ray diffraction

Layered oxides

Defect intergrowth

Electron microscopy

Étude des architectures de sécurité de systèmes autonomes : formalisation et évaluation en Event B / Model based safety of FDIR architectures for autonomous systems : formal specification and assessment with Event-B

Chaudemar, Jean-Charles

27 January 2012

La recherche de la sûreté de fonctionnement des systèmes complexes impose une démarche de conception rigoureuse. Les travaux de cette thèse s’inscrivent dans le cadre la modélisation formelle des systèmes de contrôle autonomes tolérants aux fautes. Le premier objectif a été de proposer une formalisation d’une architecture générique en couches fonctionnelles qui couvre toutes les activités essentielles du système de contrôle et qui intègre des mécanismes de sécurité. Le second objectif a été de fournir une méthode et des outils pour évaluer qualitativement les exigences de sécurité. Le cadre formel de modélisation et d’évaluation repose sur le formalisme Event-B. La modélisation Event-B proposée tire son originalité d’une prise en compte par raffinements successifs des échanges et des relations entre les couches de l’architecture étudiée. Par ailleurs, les exigences de sécurité sont spécifiées à l’aide d’invariants et de théorèmes. Le respect de ces exigences dépend de propriétés intrinsèques au système décrites sous forme d’axiomes. Les preuves que le principe d’architecture proposé satisfait bien les exigences de sécurité attendue ont été réalisées avec les outils de preuve de la plateforme Rodin. L’ensemble des propriétés fonctionnelles et des propriétés relatives aux mécanismes de tolérance aux fautes, ainsi modélisées en Event-B, renforce la pertinence de la modélisation adoptée pour une analyse de sécurité. Cette approche est par la suite mise en œuvre sur un cas d’étude d’un drone ONERA. / The study of complex system safety requires a rigorous design process. The context of this work is the formal modeling of fault tolerant autonomous control systems. The first objective has been to provide a formal specification of a generic layered architecture that covers all the main activities of control system and implement safety mechanisms. The second objective has been to provide tools and a method to qualitatively assess safety requirements. The formal framework of modeling and assessment relies on Event-B formalism. The proposed Event-B modeling is original because it takes into account exchanges and relations betweenarchitecture layers by means of refinement. Safety requirements are first specified with invariants and theorems. The meeting of these requirements depends on intrinsic properties described with axioms. The proofs that the concept of the proposed architecture meets the specified safety requirements were discharged with the proof tools of the Rodin platform. All the functional properties and the properties relating to fault tolerant mechanisms improve the relevance of the adopted Event-B modeling for safety analysis. Then, this approach isimplemented on a study case of ONERA UAV.

Méthode formelle

Event-B

Raffinement

Architectures tolérantes aux fautes

Sécurité

Formal method

Event-B

Refinement

Fault tolerant architectures

Safety

Dependability

000

Surveillance comportementale de systèmes et logiciels embarqués par signature disjointe / Behavioral monitoring for embedded systems and software by disjoint signature analysis

Bergaoui, Selma

06 June 2013

Les systèmes critiques, parmi lesquels les systèmes embarqués construits autour d'un microprocesseur mono-cœur exécutant un logiciel d'application, ne sont pas à l'abri d'interférences naturelles ou malveillantes qui peuvent provoquer des fautes transitoires. Cette thèse porte sur des protections qui peuvent être implantées pour détecter les effets de telles fautes transitoires sans faire d'hypothèses sur la multiplicité des erreurs générées. De plus, ces erreurs peuvent être soit des erreurs de flot de contrôle soit des erreurs sur les données. Une nouvelle méthode de vérification de flot de contrôle est tout d'abord proposée. Elle permet de vérifier, sans modifier le système initial, que les instructions du programme d'application sont lues sans erreur et dans le bon ordre. Les erreurs sur les données sont également prises en compte par une extension de la vérification de flot de contrôle. La méthode proposée offre un bon compromis entre les différents surcoûts, le temps de latence de détection et la couverture des erreurs. Les surcoûts peuvent aussi être ajustés aux besoins de l'application. La méthode est mise en œuvre sur un prototype, construit autour d'un microprocesseur Sparc v8. Les fonctions d'analyse de criticité développées dans le cadre de la méthodologie proposée sont également utilisées pour évaluer l'impact des options de compilation sur la robustesse intrinsèque du logiciel d'application. / Critical systems, including embedded systems built around a single core microprocessor running a software application, can be the target of natural or malicious interferences that may cause transient faults. This work focuses on protections that can be implemented to detect the effects of such transient faults without any assumption about the multiplicity of generated errors. In addition, those errors can be either control flow errors or data errors. A new control flow checking method is first proposed. It monitors, without modifying the original system, that the instructions of the microprocessor application program are read without error and in the proper order. Data errors are also taken into account by an extension of the control flow checking. The proposed method offers a good compromise between overheads, latency detection and errors coverage. Trade-offs can also be tuned according to the application constraints. The methodology is demonstrated on a prototype built around a Sparc v8 microprocessor. Criticality evaluation functions developed in the frame of the proposed methodology are also used to evaluate the impact of compilation options on the intrinsic robustness of the application software.

Vérification de flot de contrôle

Watchdog

GCC

Criticité des variables

Fautes transitoires

Control Flow Checking

Watchdog

GCC

Variable criticalitieS

Transient faults

Compilation effect on robustness

Localisation et détection de fautes dans les réseaux de capteurs sans fil / Localization and fault detection in wireless sensor networks

Khan, Safdar Abbas

16 December 2011

Dans cette thèse, on s'est intéressé à trois problématiques des réseaux de capteurs sans fil (WSN). Dans un premier temps nous avons analysé l'impact de la chute de tension dans la batterie du nœud sur la puissance du signal en réception. On propose alors une méthode pour compenser l'augmentation apparente de la distance calculée entre les nœuds due à la diminution de l'énergie de la batterie. Pour les nœuds passant par deux états principaux endormi et actif, on propose d'étudier, la relation entre la diminution de la tension de la batterie en fonction du temps passé par un nœud dans l'état actif. Ensuite, on calcule le rapport entre la RSS et la distance entre les nœuds connectés avec des batteries complètement chargées. Après on mesure la RSS en faisant varier la tension de la batterie du nœud émetteur et en gardant le nœud récepteur à une distance constante. Finalement, on propose une relation entre la RSS observée et la tension actuelle de la batterie du nœud émetteur. Cette fonction permet de calculer la valeur corrigée de la RSS qui correspond à la distance réelle entre les nœuds connectés. Ainsi l'efficacité des méthodes de la localisation basée sur la RSS se trouvent améliorées. Dans la deuxième partie de cette thèse on propose une méthode d'estimation des positions des nœuds dans un WSN. Dans l'algorithme de localisation proposé, on utilise des nœuds ancres comme des points de référence. On a utilisé une approche heuristique pour trouver la topologie relative avec l'aide de la matrice de distance. Le but de la matrice de distance est d'indiquer s'il existe une connexion entre une paire de nœuds donnée et en cas de connectivité, la distance estimée entre ces nœuds. En utilisant les informations de connectivité entre les nœuds et leurs distances, on obtient la topologie du réseau. La méthode proposée utilise la solution de l'intersection de deux cercles au lieu de la méthode classique de triangulation, où un système quadratique de trois équations avec deux variables est utilisé ce qui rend la complexité de calcul augmentée. Lorsque deux nœuds connectés ont un autre nœud en commun, puis en utilisant les informations de distances entre ces nœuds interconnectés, nous pouvons calculer deux positions possibles pour le troisième nœud. La présence ou l'absence d'un lien entre le troisième nœud et un quatrième nœud, permet de trouver la position précise. Ce processus est réitéré jusqu'à ce que toutes les positions des nœuds aient été obtenues. Une fois la topologie relative calculée, il faut trouver la symétrie, l'orientation et la position de cette topologie dans le plan. C'est à ce moment que la connaissance des positions des trois nœuds entre en action. La topologie donne les coordonnées temporaires des nœuds. En ayant une comparaison de certaines caractéristiques entre les coordonnées temporaires et les coordonnées exactes, on trouve d'abord la symétrie de la topologie relative qui correspondrait à la topologie originale. En d'autres termes on vérifie si oui ou non la topologie relative est une image miroir de la topologie originale. Des opérateurs géométriques sont alors utilisés pour corriger la topologie relative par rapport à la topologie réelle. Ainsi, on localise tous les nœuds dans un WSN en utilisant exactement trois ancres. Dans la dernière partie de cette thèse, on propose une méthode pour la détection de défauts dans un WSN. Il y a toujours une possibilité qu'un capteur d'un nœud ne donne pas toujours des mesures précises. On utilise des systèmes récurrents et non récurrents pour la modélisation et on prend comme variable d'entrée, en plus des variables du nœud en question, les informations des capteurs voisins. La différence entre la valeur estimée et celle mesurée est utilisée pour déterminer la possibilité de défaillance d'un nœud / In this thesis three themes related to wireless sensor networks (WSNs) are covered. The first one concerns the power loss in a node signal due to voltage droop in the battery of the node. In the first part of the thesis a method is proposed to compensate for the apparent increase in the calculated distance between the related nodes due to decrease in the energy of the signal sending node battery. A function is proposed whose arguments are the apparently observed RSS and the current voltage of the emitter node battery. The return of the function is the corrected RSS that corresponds to the actual distance amongst the connected nodes. Hence increasing the efficiency of the RSS based localization methods in WSNs. In the second part of the thesis a position estimation method for localization of nodes in a WSN is proposed. In the proposed localization algorithm anchor nodes are used as landmark points. The localization method proposed here does not require any constraint on the placement of the anchors; rather any three randomly chosen nodes can serve as anchors. A heuristic approach is used to find the relative topology with the help of distance matrix. The purpose of the distance matrix is to indicate whether or not a pair of nodes has a connection between them and in case of connectivity it gives the estimated distance between the nodes. By using the information of connectivity between the nodes and their respective distances the topology of the nodes is calculated. This method is heuristic because it uses the point solution from the intersection of two circles instead of conventional triangulation method, where a system of three quadratic equations in two variables is used whereby the computational complexity of the position estimation method is increased. When two connected nodes have another node in common, then by using the information of distances between these interconnected nodes, two possible positions are calculated for the third node. The presence or absence of a connection between the third node and a fourth node helps in finding the accurate possibility out of the two. This process is iterated till all the nodes have been relatively placed. Once the relative topology has been calculated, we need to find the exact symmetry, orientation, and position of this topology in the plane. It is at this moment the knowledge of three nodes positions comes into action. From the relative topology we know the temporary coordinates of the nodes. By having a comparison of certain characteristics between the temporary coordinates and the exact coordinates; first the symmetry of relative topology is obtained that would correspond to the original topology. In other words it tells whether or not the relative topology is a mirror image of the original topology. Some geometrical operators are used to correct the topology position and orientation. Thus, all the nodes in the WSN are localized using exactly three anchors. The last part of the thesis focuses on the detection of faults in a WSN. There is always a possibility that a sensor of a node is not giving accurate measurements all of the time. Therefore, it is necessary to find if a node has developed a faulty sensor. With the precise information about the sensor health, one can determine the extent of reliance on its sensor measurement. To equip a node with multiple sensors is not an economical solution. Thus the sensor measurements of a node are modeled with the help of the fuzzy inference system (FIS). For each node, both recurrent and non-recurrent systems are used to model its sensor measurement. An FIS for a particular node is trained with input variables as the actual sensor measurements of the neighbor nodes and with output variable as the real sensor measurements of that node. The difference between the FIS approximated value and the actual measurement of the sensor is used as an indication for whether or not to declare a node as faulty

Localisation

Réseaux de capteurs

RSSi

Réseau de neurones artificiels

Communication sans fil

Détection de fautes

Localization

Sensor networks

RSSi

Artificial neural networks

Wireless communication

Fault detection

Test and diagnosis of discrete event systems using Petri nets / Test et diagnostic des systèmes à événements discrets par les réseaux de Petri

Pocci, Marco

23 September 2013

Le test d’identification d’état d’un système à événement discret (SED) a pour but d’en identifier l’état final, lorsque son état initial est inconnu. Une solution classique à ce problème, en supposant que le SED n’ait pas de sorties observables, consiste à déterminer une séquences de synchronisation, c.à-d., une séquence d’événements d’entrée qui conduit le SED sur un état connu. Ce problème a été résolu dans les années 60’ à l’aide des automates. L’objectif principal de cette thèse est d’utiliser les réseaux de Petri (RdP) pour obtenir une résolution plus optimal de ce problème et pour une plus large classe de systèmes.Initialement, nous montrons que la méthode classique peut être aisément étendue aux RdP synchronisés. Pour cette classe de réseaux non-autonomes, toute transition est associée à un événement d’entrée.L’approche proposée est générale, dans la mesure où elle s’applique à des RdP bornés arbitraires. Cependant, elle engendre le problème d’explosion combinatoire du nombre d’états. Pour obtenir des meilleures solutions, nous considérons une classe spéciale de RdP : les graphes d’état (GdE). Pour ces réseaux, nous considérons d’abord les GdE fortement connexes et proposons des approches pour la construction de SS, qui exploitent les propriétés structurelles du réseau en évitant ainsi une énumération exhaustive de l’espace d’état. Ces résultats s’étendent aux GdE non fortement connexes et à tout RdP synchronisé composé de GdE. Enfin, nous considérons la classe des RdP non bornés et proposons des séquences qui synchronisent le marquage des places non bornées. Une boîte à outils fournit toutes les approches décrites et est appliquée à des différents bancs d’essai. / State-identification experiments are designed to identify the final state of a discrete event system (DES) when its initial state is unknown. A classical solution, assuming the DES has no observable outputs, consists in determining a synchronizing sequence (SS), i.e., a sequence of input events that drives the system to a known state. This problem was essentially solved in the 60’ using automata. The main objective of this thesis is to use Petri nets (PNs) for solving the state-identification problem more efficiently and for a wider class of systems.We start showing that the classical SS construction method based on automata can be easily applied to synchronized PNs, a class of non-autonomous nets where each transition is associated with an input event. The proposed approach is fairly general and it works for arbitrary bounded nets with a complexity that is polynomial with the size of the state space. However, it incurs in the state-space explosion problem.Looking for more efficient solutions, we begin by considering a subclass of PNs called state machines (SMs). We first consider strongly connected SMs and propose a framework for SS construction that exploits structural criteria, not requiring an exhaustive enumeration of the state space of the net. Results are further extended to larger classes of nets, namely non strongly connected SMs and nets containing SM subnets. Finally we consider the class of unbounded nets that describe infinite state systems: even in this case we are able to compute sequences to synchronize the marking of bounded places. A Matlab toolbox implementing all approaches previously described has been designed and applied to a series of benchmarks.

Systèmes à événement discret

Réseaux de Petri

Réseaux de Petri synchronisés

Test

Diagnostic de fautes

Réseaux de petri étiquetés

Discrete event systems

Petri nets

Synchronized Petri nets

Testing

Fault diagnosis

Labeled Petri nets

Diagnostic de pannes électriques dans les systèmes logiques / Diagnosis of Electrical Failures in Logic Systems

Ben Abboud, Youssef

30 April 2010

Les dernières technologies comme la 65nm, 45nm et la nouvelle technologie 32nm qui sera disponible à la fin de 2010, permettent la production de circuits de plus en plus complexes avec des performances très élevées. Ces nouvelles technologies imposent donc de nouveaux challenges pour la conception de circuits, mais également pour les méthodologies de test de fabrication et de diagnostic. De ce point de vue, les défaillances observées dans ces technologies ne peuvent pas être modélisées par des fautes classiques de collage. Les fautes de délai, de court-circuit, de circuit ouvert, etc. doivent également être prises en compte. Dans ce contexte, l'objectif de cette thèse a été de développer une méthode de diagnostic logique capable à la fois de traiter un ensemble complet de modèles de fautes et de fournir une localisation fiable et précise des défaillances dans un système sur puce. Ce manuscrit est organisé comme suit. Dans la première partie, les modèles de faute existants sont analysés afin de montrer les conditions de sensibilisation de chacun d'eux. La deuxième partie présente une méthode de diagnostic logique basée sur une approche « Effet-à-Cause». La dernière partie propose une nouvelle technique de diagnostic basée sur une approche « Cause-à-Effet » et permettant de traiter les circuits séquentiels. Les deux approches de diagnostic proposées exploitent les conditions de sensibilisations afin de cibler un ensemble élargi de modèles de fautes durant le processus de diagnostic. Les deux techniques sont validées sur un ensemble important de circuits benchmark et sur des systèmes sur puce fournis par la société STMicroelectronics. / Latest technologies like 65nm, 45nm and the next 32nm technology available at the end of 2010, allow the production of more and more complex and vey high performance circuits. These technologies lead to face with new challenges related to design, test and diagnosis. From this perspective, failures observed in these recent technologies can no longer be modeled by the classical stuck-at fault model. Delay faults, short-circuits, opens, etc. have also to be considered. In this context, the purpose of this thesis has been to develop a logic diagnosis approach able to deal with many types of faults as well as providing an accurate and reliable localization of failures in a system on chip. This manuscript is organized as follows. In the first part, existing fault models are analyzed in order to show the sensitization conditions related to each of them. The second part presents a logic diagnosis method based on the 'Effect-Cause' paradigm. The last part proposes another diagnosis technique based on the 'Cause-Effect' paradigm to deal with sequential circuits. The two proposed diagnosis approaches exploit the sensitization conditions in order to be able to consider a large set of fault models during the diagnosis process. Both techniques have been validated on a large set of benchmark circuits and on System-On-Chips provided by STMicroelectronics.

Diagnostic

modèles de fautes

simulation de faute

Cause-à-Effet

Effet-à-Cause

Système sur puce

Diagnosis

fault models

fault simulation

Cause-Effect

Effect-Cause

System-On-Chip