Développement d'applications logicielles sûres de fonctionnement : une approche dirigée par la conception / Development of dependable applications : a design-driven approach

Enard, Quentin

06 May 2013

Dans de nombreux domaines tels que l’avionique, la médecine ou la domotique, les applications logicielles jouent un rôle de plus en plus important, allant jusqu’à être critique pour leur environnement. Afin de pouvoir faire confiance à ces applications, leur développement est contraint par des exigences de sûreté de fonctionnement. En effet il est nécessaire de démontrer que ces exigences de haut-niveau sont prises en compte tout au long du cycle de développement et que des solutions concrètessont mises en œuvre pour parvenir à les respecter. De telles contraintes rendent le développement d’applications sûres de fonctionnement particulièrement complexe et difficile. Faciliter ce processus appelle à la recherche de nouvelles approches dedéveloppement qui intègrent des concepts de sûreté de fonctionnement et guident les développeurs lors de chacune des étapesnécessaires à la production d’une nouvelle application digne de confiance.Cette thèse propose ainsi de s’appuyer sur une approche dirigée par la conception pour guider le développement des applications sûres de fonctionnement. Cette approche est concrétisée à travers une suite d’outils nommée DiaSuite et offre du support dédié à chaque étape du développement. En particulier, un langage de conception permet de décrire à la fois les aspects fonctionnels et non-fonctionnels des applications en se basant sur un paradigme dédié et en intégrant des concepts de sûreté de fonctionnement tels que le traitement des erreurs. A partir de la description d’une application, du support est généré pour guider les phases d’implémentation et de vérification. En effet, la génération d’un framework de programmation dédié permet de guider l’implémentation tandis que la génération d’un modèle formel permet de guider la vérification statique de l’application et qu’un support de simulation permet de faciliter les tests. Cette approche est évaluée grâce à des cas d’études réalisés dans les domaines de l’avionique et de l’informatique ubiquitaire. / In many domains such as avionics, medecine or home automation, software applications play an increasingly important rolethat can even be critical for their environment. In order to trust these applications, their development is contrained by dependability requirements. Indeed, it is necessary to demonstrate that these high-level requirements are taken into account throughout the development cycle and concrete solutions are implemented to achieve compliance. Such constraints make the development of dependable applications particularly complex and difficult. Easing this process calls for the research of new development approaches that integrate dependability concepts and guide the developers during each step of the development of trustworthy applications.This thesis proposes to leverage a design-driven approach to guide the development of dependable applications. This approachis materialized through a tool-suite called DiaSuite and offers dedicated support for each stage of the development. Inparticular, a design language is used to describe both functional and non-functional applications. This language is based on adedicated paradigm and integrates dependability concepts such as error handling. From the description of an application, development support is generated to guide the implementation and verification stages. Indeed, the generation of a dedicated programming framework allows to guide the implementation while the generation of a formal model allows to guide the static verification and simulation support eases the testing. This approach is evaluated through case studies conducted in the domains of avionics and pervasive computing.

Développement Logiciel

Langage de Conception

Génération de Code

Sûreté de Fonctionnement

Software Development

Design Language

Code Generation

Dependability

Modélisation de l'interaction entre le cœur fondu d'un réacteur à eau pressurisée et le radier en béton du bâtiment réacteur / Modelling of the Molten Core Concrete Interaction (MCCI)

Guillaumé, Mathieu

12 December 2008

Les accidents graves de centrales nucléaires ont une probabilité d’occurrence très faible, mais compte tenu des risques encourus, il est nécessaire de savoir prédire l’évolution de l’accident. Dans le scénario le plus critique, le dégagement de chaleur induit par la désintégration des produits de fission entraînerait la fusion du cœur et la formation d’un magma (« corium ») qui tomberait sur le radier en béton du bâtiment réacteur, provoquant sa fusion. L’objectif des études est d’évaluer la vitesse de fusion du béton. Dans ce contexte, le travail effectué dans cette thèse se situe dans la continuité du modèle de ségrégation de phases développé par Seiler et Froment, et s’appuie sur les résultats expérimentaux des essais ARTEMIS. D’une part, nous avons développé un nouveau modèle de transferts à travers le milieu interfacial. Ce modèle fait intervenir trois mécanismes de transfert : la conduction, la convection et un dégagement de chaleur latente. D’autre part, nous avons revu la modélisation couplée du bain et du milieu interfacial, ce qui a conduit au développement de deux nouveaux modèles : « le modèle liquidus », pour lequel on suppose qu’il n’y a pas de résistance au transfert de soluté, et le « modèle à épaisseur de milieu interfacial constante », pour lequel on suppose qu’il n’y a pas de dissolution du milieu interfacial. Le modèle à épaisseur de milieu interfacial constante permet de prédire correctement les valeurs expérimentales de la vitesse de fusion du béton et de la température du bain, dans les essais 3 et 4 tandis que le modèle liquidus, appliqué aux essais 2 et 6, prédit correctement l’évolution de la vitesse de fusion et de la température du bain / Severe accidents of nuclear power plants are very unlikely to occur, yet it is necessary to be able to predict the evolution of the accident. In some situations, heat generation due to the disintegration of fission products could lead to the melting of the core. If the molten core falls on the floor of the building, it would provoke the melting of the concrete floor. The objective of the studies is to calculate the melting rate of the concrete floor. The work presented in this report is in the continuity of the segregation phase model of Seiler and Froment. It is based on the results of the ARTEMIS experiments. Firstly, we have developed a new model to simulate the transfers within the interfacial area. The new model explains how heat is transmitted to concrete: by conduction, convection and latent heat generation. Secondly, we have modified the coupled modelling of the pool and the interfacial area. We have developed two new models: the first one is the “liquidus model”, whose main hypothesis is that there is no resistance to solute transfer between the pool and the interfacial area. The second one is “the thermal resistance model”, whose main hypothesis is that there is no solute transfer and no dissolution of the interfacial area. The second model is able to predict the evolution of the pool temperature and the melting rate in the tests 3 and 4, with the condition that the obstruction time of the interfacial area is about 105 s. The model is not able to explain precisely the origin of this value. The liquidus model is able to predict correctly the evolution of the pool temperature and the melting rate in the tests 2 and 6

Sûreté nucléaire

Modélisation

Interaction corium- béton

Nuclear safety

Modelling

Molten core concrete interaction

Sûreté temporelle pour les systèmes temps réel multiprocesseurs / Temporal safety for real-time multiprocessor systems

Fauberteau, Frédéric

12 December 2011

Les systèmes temps réel à contraintes temporelles strictes sont caractérisés par des ensembles de tâches pour lesquelles sont connus l'échéance, le modèle d'arrivée (fréquence) et la durée d'exécution pire cas (WCET). Nous nous intéressons à l'ordonnancement de ces systèmes sur plate-forme multiprocesseur. Garantir le respect des échéances pour un algorithme d'ordonnancement est l'une des problématiques majeures de cette thématique. Nous allons plus loin en nous intéressant à la sûreté temporelle, que nous caractérisons par les propriétés (i) de robustesse et (ii) de viabilité. La robustesse consiste à proposer un intervalle sur les augmentations(i-a) de WCET et (i-b) de fréquence tel que les échéances soient respectées. La viabilité consiste cette fois à garantir le respect des échéances lors du relâchement des contraintes (ii-a) de WCET (réduction), (ii-b) de fréquence (réduction) et (ii-c) d'échéance(augmentation). La robustesse revient alors à tolérer l'imprévu, tandis que la viabilité est la garantie que l'algorithme d'ordonnancement n'est pas sujet à des anomalies suite à un relâchement de contraintes. Nous considérons l'ordonnancement en priorités fixes, où chaque occurrence d'une tâche est ordonnancée avec la même priorité. Dans un premier temps, nous étudions la propriété de robustesse dans les approches d'ordonnancement hors-ligne et sans migration (partitionnement). Nous traitons le cas des tâches avec ou sans partage de ressources. Dans un second temps, nous étudions la propriété de viabilité d'une approche d'ordonnancement en ligne avec migrations restreintes et sans partage de ressources / The hard real-time systems are characterized by sets of tasks for which are known the deadline, the arrival model (frequency) and the Worst-Case Execution Time (WCET). We focus on the scheduling of these systems on multiprocessor platforms. One of the main issues of this topic is to ensure that all deadlines are met. We go further by focusing on the temporal safety which we characterized by the properties of (i) robustness and (ii) sustainability. The robustness consists in providing an interval on the increases of (i-a) WCET and (i-b) frequency in such a way that the deadlines are met. The sustainability consists in ensuring that no deadline is missed when the following constraints are relaxed : (ii-a) WCET (decreasing), (ii-b) frequency (decreasing) and (ii-c) deadline (increasing). The robustness amounts to tolerate unexpected behaviors while the sustainability is the guarantee that the scheduling algorithm does not suffer from anomalies because of a relaxation of constraints. We consider fixed-priority scheduling for which any job of a task is scheduled with the same priority. Firstly, we study the property of robustness in off-line scheduling approaches without migration (partitioning). We deal with the case of tasks with or without shared resources. Secondly, we study the property of sustainability of an online restricted-migration scheduling approach without shared resources

Temps réel

Multiprocesseur

Sûreté

Robustesse

Viabilité

Ordonnancement

Real-time

Multiprocessor

Safety

Robustness

Sustainability

Scheduling

Synthèse automatique d'architectures tolérantes aux fautes / Automatic synthesis of fault tolerant archictectures

Delmas, Kévin

19 December 2017

La sûreté de fonctionnement occupe une place prépondérante dans la conception de systèmes critiques, puisqu'un dysfonctionnement peut être dangereux pour les utilisateurs ou l'environnement. Les concepteurs doivent également démontrer aux autorités de certification que les risques encourus sont acceptables. Pour cela, le concepteurs définissent une architecture contenant un ensemble de mécanismes de sûreté permettant de mitiger ou tout du moins limiter la probabilité d’occurrence des risques identifiés. L'objectif de ce travail est de développer une méthode automatique et générique de synthèse d’architecture assurant formellement le respect d’exigences de sûreté. Cette activité de synthèse est formalisée comme un problème d'exploration de l'espace des architectures c'est-à-dire trouver un candidat appartenant à un espace de recherche fini, respectant les exigences de sûreté. Ainsi nous proposons un processus de résolution complet et correct des problèmes d'exploration basé sur l'utilisation des solveurs SMT. Les contributions principales sont:1- La formalisation de la synthèse comme un problème de Satisfiabilité Modulo Théorie (SMT) afin d’utiliser les solveurs existants pour générer automatiquement une solution assurant formellement le respect des exigences;2- Le développement de méthodes d’analyse spécialement conçues pour évaluer efficacement la conformité d’une architecture vis-à-vis d’un ensemble d’exigences;3- La définition d'un langage KCR permettant de formuler les problèmes d'exploration et l'implantation des méthodes de résolution au sein de l'outil KCR Analyser. / Safety is a major issue in the design of critical systems since any failure can be hazardous to the users or the environment of such systems. In some areas, such as aeronautics, designers must also demonstrate to the certification authorities that the risks are acceptable. To do so, the designers define an architecture containing a set of security mechanisms to mitigate or at least limit the probability of occurrence of the identified risks. The objective of this work is to develop an automatic and generic method of architectural synthesis which formally ensures compliance with the safety requirements. This synthesis activity is then formalized as a design space exploration problem, i.e. find a candidate belonging to a finite set of architectures, fulfilling the safety requirements. Thus, we propose in this document a complete and correct resolution process of the design space exploration problem based on the use of SMT solvers. The main contributions are:1- the formalization of the synthesis as a problem of Satisfiability Modulo Theory (SMT) in order to use existing solvers to automatically generate a solution formally ensuring safety requirements;2- the development of analytic methods specially designed to efficiently assess the conformity of an architecture with respect to a set of safety requirements;3- the definition of a language named, KCR, allowing to formulate the design space exploration problem and the implementation of the methods of resolution presented in this work within the tool KCR Analyser.

Méthodes formelles

Sûreté de fonctionnement

Synthd'architecturesèse

SMT

Formal methods

Safety

Architecture synthesis

SMT

629.8

Diagnostic en réseau de mobiles communicants, stratégies de répartition de diagnostic en fonction de contraintes de l'application / Diagnostic of mobiles networks, strategies for the diagnostic distribution as a function of the application constraints

Sassi, Insaf

27 November 2017

Dans la robotique mobile, le réseau de communication est un composant important du système global pour que le système accomplisse sa mission. Dans un tel type de système, appelé un système commandé en réseau sans fil (SCR sans fil ou WNCS), l’intégration du réseau sans fil dans la boucle de commande introduit des problèmes qui ont un impact sur la performance et la stabilité i.e, sur la qualité de commande (QoC). Cette QoC dépend alors de la qualité de service (QoS) et la performance du système va donc dépendre des paramètres de la QoS. C’est ainsi que l’étude de l’influence des défauts du réseau sans fil sur la QoC est cruciale. Le WNCS est un système temps réel qui a besoin d’un certain niveau de QoS pour une bonne performance. Cependant, la nature probabiliste du protocole de communication CSMA/CA utilisé dans la plupart des technologies sans fil ne garantit pas les contraintes temps réel. Il faut alors une méthode probabiliste pour analyser et définir les exigences de l’application en termes de QoS, c’est-à-dire en termes de délai, de gigue, de débit, et de perte de paquets. Une première contribution de cette thèse consiste à étudier les performances et la fiabilité d’un réseau sans fil IEEE 802.11 pour des WNCSs qui partagent le même réseau et le même serveur de commandes en développant un modèle stochastique. Ce modèle est une chaîne de Markov qui modélise la méthode d’accès au canal de communication. Ce modèle a servi pour définir les paramètres de la QoS qui peuvent garantir une bonne QoC. Nous appliquons notre approche à un robot mobile commandé par une station distante. Le robot mobile a pour mission d’atteindre une cible en évitant les obstacles. Pour garantir l’accomplissement de cette mission, une méthode de diagnostic probabiliste est primordiale puisque le comportement du système n’est pas déterministe. La deuxième contribution a été d’établir la méthode probabiliste qui sert à surveiller le bon déroulement de la mission et l’état du robot. C’est un réseau bayésien (RB) modulaire qui modélise les relations de dépendance cause-à-effet entre les défaillances qui ont un impact sur la QoC du système. La dégradation de la QoC peut être due soit à un problème lié à l’état interne du robot, soit à un problème lié à la QoS, soit à un problème lié au contrôleur lui-même. Les résultats du modèle markovien sont utilisés dans le RB modulaire pour définir l'espace d'état de ses variables (étude qualitative) et pour définir les probabilités conditionnelles de l'état de la QoS (étude quantitative). Le RB permet d’éviter la dégradation de la QoC en prenant la bonne décision qui assure la continuité de la mission. En effet, dans une approche de co-design, quand le RB détecte une dégradation de la QoC due à une mauvaise QoS, la station envoie un ordre au robot pour qu'il change son mode de fonctionnement ou qu'il commute sur un autre contrôleur débarqué. Notre hypothèse est que l’architecture de diagnostic est différente en fonction des modes de fonctionnement : nous optons pour un RB plus global et partagé lorsque le robot est connecté à la station et pour RB interne au robot lorsqu’il est autonome. La commutation d’un mode de fonctionnement débarqué à un mode embarqué implique la mise à jour du RB. Un autre apport de cette thèse est la définition d’une stratégie de commutation entre les modes de diagnostic : commutation d’un RB distribué à un RB monolithique embarqué quand le réseau de communication ne fait plus partie de l'architecture du système et vice-versa. Les résultats d’inférence et de scénario de diagnostic ont montré la pertinence de l’utilisation des RBs distribués modulaires. Ils ont aussi montré la capacité du RB développé à détecter la dégradation de la QoC et de la QoS et à superviser l’état du robot. L’aspect modulaire du RB a permis de faciliter la reconfiguration de l’outil de diagnostic selon l’architecture de commande ou de communication adaptée (RB distribué ou RB monolithique embarqué). / In mobile robotics systems, the communication network is an important component of the overall system, it enables the system to accomplish its mission. Such a system is called Wireless Networked Control System WNCS where the integration of the wireless network into the control loop introduces problems that impact its performance and stability i.e, its quality of control (QoC). This QoC depends on the quality of service (QoS) therefore, the performance of the system depends on the parameters of the QoS. The study of the influence of wireless network defects on the QoC is crucial. WNCS is considered as a real-time system that requires a certain level of QoS for good performance. However, the probabilistic behavior of the CSMA / CA communication protocol used in most wireless technologies does not guarantee real-time constraints. A probabilistic method is then needed to analyze and define the application requirements in terms of QoS: delay, jitter, rate, packet loss. A first contribution of this thesis is to study the performance and reliability of an IEEE 802.11 wireless network for WNCSs that share the same network and the same control server by developing a stochastic model. This model is a Markov chain that models the access procedure to the communication channel. This model is used to define the QoS parameters that can guarantee the good QoC. In this thesis, we apply our approach to a mobile robot controlled by a remote station. The mobile robot aims to reach a target by avoiding obstacles, a classic example of mobile robotics applications. To ensure that its mission is accomplished, a probabilistic diagnostic method is essential because the system behavior is not deterministic. The second contribution of this thesis is to establish the probabilistic method used to monitor the robot mission and state. It is a modular Bayesian network BN that models cause-and-effect dependency relationships between failures that have an impact on the system QoC. The QoC degradation may be due either to a problem related to the internal state of the robot, a QoS problem or a controller problem. The results of the Markov model analysis are used in the modular BN to define its variables states (qualitative study) and to define the conditional probabilities of the QoS (quantitative study). It is an approach that permits to avoid the QoC degradation by making the right decision that ensures the continuity of the mission. In a co-design approach, when the BN detects a degradation of the QoC due to a bad QoS, the station sends an order to the robot to change its operation mode or to switch to another distant controller. Our hypothesis is that the diagnostic architecture depends on the operation mode. A distributed BN is used when the robot is connected to the station and a monolithic embedded BN when it is autonomous. Switching from a distributed controller to an on-board one involves updating the developed BN. Another contribution of this thesis consists in defining a switching strategy between the diagnostic modes: switching from a distributed BN to an on-board monolithic BN when the communication network takes no longer part of the system architecture and vice versa -versa. The inference and diagnostic scenarii results show the relevance of using distributed modular BNs. They also prove the ability of the developed BN to detect the degradation of QoC and QoS and to supervise the state of the robot. The modular structure of the BN facilitates the reconfiguration of the diagnostic policy according to the adapted control and communication architecture (distributed BN or on-board monolithic RB).

Diagnostic

Réseaux bayésiens

Réseau de communication

Sûreté de fonctionnement

Diagnostic

Bayesian network

Communication networks

Dependability

004

620

Quatre essais sur l'économie de la réglementation de la sûreté nucléaire / Facing rare and catastrophic disasters : Four essays on the economics of nuclear safety regulation

Bizet, Romain

15 November 2017

Les quatre chapitres de cette thèse s’attachent à répondre à deux questions de recherche.Dans un premier temps, je développe des outils théoriques et statistiques visant à mesurer la sûreté nucléaire malgré la rareté des accidents nucléaires majeurs. En particulier, j’applique des résultats de théorie de la décision afin de déterminer le coût social espéré d’un accident nucléaire majeur, en prenant en compte les attitudes individuelles envers les incertitudes qui le caractérisent. Ensuite, j’utilise des données récentes concernant des incidents de sûreté déclarés dans les réacteurs Français afin de mener une analyse statistique de l’évolution de la sûreté nucléaire au cours des 20 dernières années.Dans la seconde partie de cette thèse, j’aborde la question de l’implémentation de réglementations de la sûreté nucléaire et des politiques post-accidentelles face à des risques rares et catastrophiques. En particulier, j’évalue empiriquement l’effet d’une politique publique française encadrant la surveillance des opérateurs nucléaires par des commissions locales sur le comportement déclaratif des opérateurs et sur leur conformité avec les réglementations existantes. Je propose ensuite une analyse par la théorie des jeux des problèmes de coordination qui existent entre les stratégies de communications de crises et les politiques publiques de prévention et de compensation post-accidentelles. / The four chapters of this Ph.D. thesis follow two research axes.First, I develop theoretical and statistical tools for the measurement of nuclear safety, when rare occurrences of accidents preclude the measurement of objective probabilities of incurring harm. In particular, using recent results from decision theory, I develop a framework for the assessment of the expected social cost of major nuclear accidents that accounts for the attitude of individuals towards the uncertainties that characterize their likelihood of occurrence. Next, I provide an empirical analysis of the French nuclear safety based on a novel dataset containing all the significant safety events reported in the currently-operated French reactors. Despite their minor consequences, I show how valuable information regarding safety can be drawn from this data.In the second part of the thesis, I tackle the question of the implementation of safety regulations and disaster management strategies when risks are rare and catastrophic. I first focus on identifying the causal impact of an information-based incentive mechanism implemented in France on the levels of safety care and compliance exerted by nuclear plant managers. I then develop a cheap-talk model to analyse the coordination of disaster communication strategies with several preparedness and disaster response policies.

Sûreté nucléaire

Réglementation

Incertitudes

Conformité

Désastres

Nuclear safety

Regulation

Uncertainty

Compliance

Disasters

363.1

Une approche adaptative basée sur la diversité pour la gestion des fautes dans les services Web / An adaptive diversity-based approach for managing faults in Web services

Abdeldjelil, Hanane

20 November 2013

Les services Web tolérants aux fautes sont des composants avec une grande résilience aux défaillances qui résultent de différentes fautes imprévues, par exemple des bugs logiciels ou crash de machine. Comme il est impossible de prévoir l'apparition d'éventuelles fautes, de nombreuses stratégies consistent à dupliquer, d'une manière passive ou active, les composants critiques (eg. services Web) qui interagissent durant une exécution d'application distribuée (eg. composition). La capacité d'une application à continuer l exécution en présence de défaillances de composants référé a la Tolérance aux Fautes (TF). La duplication est la solution largement utilisée pour rendre les composants tolérants aux fautes. La TF peut être assurée à travers la réplication ou la diversité. Nous nous intéressons particulièrement dans cette thèse à la diversité, et nous montrons comment un ensemble de services Web sémantiquement équivalents qui fournissent la même fonctionnalité (eg. prévisions météo), mais qui l'implémentent différemment, collaborent pour rendre un service Web TF. Nous illustrons les limites de la réplication (présence de fautes répliquées), et proposons la diversité comme une solution alternative. En effet, la littérature a révélé un intérêt limité dans l'utilisation de la diversité pour rendre les services Web tolérants aux fautes / Fault Tolerant Web services are components with higher resilience to failures that result out of various unexpected faults for instance software bugs and machine crashes. Since it is impractical to predict the potential occurrence of a fault, a widely used strategy consists of duplicating, in a passive or active way, critical components (e.g., Web services) that interact during a distributed application execution (e.g., composition). The ability of this application to continue operation despite component failures is referred to as Fault Tolerance (FT). Duplication is usually put forward as a solution to make these components fault tolerant. It is achieved through either replication or diversity. In this thesis, we are particularly interested in diversity, and we show how semantically similar Web services, i.e., offer same functionality (e.g., Weather Forecast) but implement this functionality differently in terms of business logic and technical resources, collaborate together to make web services fault tolerant. We illustrate the limitations of replication (e.g., presence of replicated faults) and suggests diversity as an alternative solution. Our literature review revealed a limited interest in diversity for FT Web services

Service Web

Sûreté de fonctionnement

Tolérance aux fautes

Diversité

Web service

Dependability

Fault tolerant

Diversity

025

Vers une approche intégrée d'analyse de sureté de fonctionnement des systèmes mécatroniques / Safety analysis integration in a systems engineering approach for mechatronic systems design

Mhenni, Faïda

12 December 2014

Les systèmes modernes sont caractérisés par l’intégration de plusieurs composants de technologies diverses interagissant dans le but d’offrir de plus en plus de fonctionnalités aux utilisateurs. La complexité croissante dans ces systèmes pluridisciplinaires dits mécatroniques nécessite la mise en place de nouveaux processus, outils et méthodes pour la conception, l’analyse et la validation de ces derniers en respectant les contraintes de coût et de délais imposés par la concurrence. Ces systèmes doivent également satisfaire des contraintes de fiabilité et surtout de sûreté de fonctionnement. Seule une intégration du processus d’analyse de sûreté de fonctionnement tout au long du processus de développement peut assurer la satisfaction de ces contraintes de manière optimale.Les travaux de cette thèse ont pour objectif de contribuer à l’intégration des analyses de sûreté de fonctionnement dans le processus d’ingénierie système basée sur SysML afin de rendre ces analyses plus rapides et plus efficaces. Pour ce faire, nous avons traité les axes suivants : la formalisation d’une méthodologie de conception basée sur SysML et qui sera le support des analyses de sûreté de fonctionnement ; l’extension du langage SysML afin de pouvoir intégrer des spécificités des systèmes mécatroniques ainsi que des aspects de sûreté de fonctionnement dans le modèle système; l’exploration automatique des modèles SysML afin d’en extraire les données nécessaires pour l’élaboration des artefacts de la SdF et la génération (semi)/automatique de ces derniers (FMEA et FTA). Nous avons également intégré la vérification formelle d’exigences de sûreté de fonctionnement.Cette méthodologie nommée SafeSysE a été appliquée sur des cas d’étude du domaine de l’aéronautique : EMA (Electro-Mechenical Actuator) et WBS (Wheel Brake System). / Modern systems are getting more complex due to the integration of several interacting components with different technologies in order to offer more functionality to the final user. The increasing complexity in these multi-disciplinary systems, called mechatronic systems, requires new appropriate processes, tools and methodologies for their design, analysis and validation whilst remaining competitive with regards to cost and time-to-market constraints.The main objective of this thesis is to contribute to the integration of safety analysis in a SysML-based systems engineering approach in order to make it more efficient and faster. To achieve this purpose, we tackled the following axes: formalizing a SysML-based design methodology that will be the support for safety analyses; providing an extension of SysML in order to enable the integration of specific needs for mechatronic systems modeling as well as safety concepts in the system model; allowing the automated exploration of the SysML models in order to extract necessary information to elaborate safety artefacts (such as FMEA and FTA) and the semi-automated generation of the latters. We have also integrated formal verification to verify if the system behaviors satisfy some safety requirements.The proposed methodology named SafeSysE was applied to case studies from the aeronautics domain: EMA (Electro Mechanical Actuator) and WBS (Wheel Brake System).

Ingénierie système

Sûreté de fonctionnement

Systèmes mécatroniques

Systems Engineering

Safety analysis

Mechatronic systems

Nouvelle méthodologie de synthèse de lois de commande tolérante aux fautes garantissant la fiabilité des systèmes / New Methodology for Active Fault Tolerant Control Design with Respect to System Reliability

Khelassi, Ahmed

11 July 2011

Les travaux développés dans ce mémoire de thèse portent sur la contribution à une méthodologie de synthèse de lois de commande tolérante aux fautes garantissant la fiabilité des systèmes. Cette nouvelle méthodologie nécessite l'adaptation des différents outils de caractérisation de la fiabilité avec la théorie de la commande. L'intégration explicite de l'aspect charge dans les lois modélisant la fiabilité en ligne est considérée. Une première partie des travaux est consacrée à la reconfigurabilité des systèmes tolérants aux fautes. Une analyse de reconfigurabilité en présence de défauts basée sur la consommation d'énergie ainsi que des objectifs liés à la fiabilité globale du système sont proposés. Un indice de reconfigurabilité est proposé définissant les limites fonctionnelles d'un système commandé en ligne en fonction de la sévérité des défauts et de la dégradation des actionneurs en terme de fiabilité. Dans la deuxième partie, le problème d'allocation et ré-allocation de la commande est considéré. Des solutions sont développées tenant compte de l'état de dégradation et du vieillissement des actionneurs. Les entrées de commande sont attribuées au système en tenant compte de la fiabilité des actionneurs ainsi que les éventuels défauts. Des indicateurs de fiabilité sont proposés et intégrés dans la solution du problème d'allocation et ré-allocation de la commande. La dernière partie est entièrement consacrée à la synthèse d'une loi de commande tolérante aux fautes garantissant la fiabilité globale du système. Une procédure d'analyse de fiabilité des systèmes commandés en ligne est proposée en se basant sur une étude de sensibilité et de criticité des actionneurs. Ainsi, une méthode de commande tolérante aux fautes en tenant compte de la criticité des actionneurs est synthétisée sous une formulation LMI / The works developed in this thesis deal with the active fault tolerant control design incorporating actuators reliability. This new methodology requires the adaptation of the reliability analysis tools with the system control field. The explicit integration of load in the actuators reliability models is considered. First, the reconfigurability analysis of fault tolerant control systems is treated. A reliable reconfigurability analysis based on the energy consumption with respect to overall system reliability is presented. A reconfigurability index which defines the functional limitation of the system is proposed based on fault severity and actuators reliability degradation. The second part of the developed works is devoted to control allocation and re-allocation. Two approaches of control re-allocation are proposed by taking into consideration actuator degradation health. The control inputs are applied to the system with respect to actuators reliability and faults. The third part contributes to a fault tolerant controller design incorporating actuator criticality. A sensitivity analysis of the overall system reliability and criticality indicator are proposed. A new method of active fault tolerant control is developed with Linear Matrix Inequality (LMI) formulation based on actuator criticality

Commande tolérante aux fautes

Défauts actionneurs

Fiabilité

Sûreté de fonctionnement

Conception architecturale haut débit et sûre de fonctionnement pour les codes correcteurs d'erreurs / Design of high speed and dependable architectures for error correcting codes

Jaber, Houssein

09 December 2009

Les systèmes de communication modernes exigent des débits de plus en plus élevés afin de traiter des volumes d'informations en augmentation constante. Ils doivent être flexibles pour pouvoir gérer des environnements multinormes, et évolutifs pour s'adapter aux normes futures. Pour ces systèmes, la qualité du service (QoS) doit être garantie malgré l'évolution des technologies microélectroniques qui augmente la sensibilité des circuits intégrés aux perturbations externes (impact de particules, perte de l'intégrité du signal, etc.). La tolérance aux fautes devient un critère important pour améliorer la fiabilité et par conséquence la qualité de service. Cette thèse s'inscrit dans la continuité des travaux menés au sein du laboratoire LICM concernant la conception architecturale d'une chaîne de transmission à haut débit, faible coût, et sûre de fonctionnement. Elle porte sur deux axes de recherche principaux : le premier axe porte sur les aspects rapidité et flexibilité, et en particulier sur l'étude et l'implantation d'architectures parallèles-pipelines dédiées aux codeurs convolutifs récursifs. Le principe repose sur l'optimisation des blocs calculant le reste de la division polynomiale qui constitue l'opération critique du codage. Cette approche est généralisée aux filtres récursifs RII. Les caractéristiques architecturales principales recherchées sont une grande flexibilité et une extensibilité aisée, tout en préservant la fonctionnalité ainsi qu'un bon équilibre entre quantité de ressources utilisées (et donc surface consommée) et performances obtenues (vitesse de fonctionnement) ; le deuxième axe de recherche porte sur le développement d'une méthodologie de conception de codeurs sûrs en présence de fautes, améliorant ainsi la tolérance de circuits intégrés numériques. L’approche proposée consiste à ajouter aux codeurs des blocs supplémentaires permettant la détection matérielle en ligne de l'erreur afin d'obtenir des architectures sûrs en présence des fautes. Les solutions proposées permettent d'obtenir un bon compromis entre complexité et fréquence de fonctionnement. Afin d'améliorer encore le débit du fonctionnement, nous proposons également des versions parallèles-pipelines des codeurs sûrs. Différents campagnes d'injection de fautes simples, doubles, et aléatoires ont été réalisées sur les codeurs afin d'évaluer les taux de détection d’erreurs. L'étude architectures sûrs de fonctionnement a ensuite été étendue aux décodeurs parallèles-pipeline pour les codes cycliques en blocs. L'approche choisie repose sur une légère modification des architectures parallèles-pipeline développées / Nowadays, modern communication systems require higher and higher data throughputs to transmit increasing volumes of data. They must be flexible to handle multi-norms environments, and progressive to accommodate future norms. For these systems, quality of service (QoS) must be guaranteed despite the evolution of microelectronics technologies that increase the sensitivity of integrated circuits to external perturbations (impact of particles, loss of signal integrity, etc). Fault-tolerance techniques are becoming more and more an important criteria to improve the dependability and the quality of service. This thesis’work continues previous research undertaken at the LICM laboratory on the architectural design of high-speed, low-cost, and dependable transmission systems. It focuses on two principal areas of research : The first research area concerns the speed and flexibility aspects, particularly on the study and implementation of parallel-pipelined architectures dedicated to recursive convolutional encoders. The principle is based on the optimization of blocks that calculate the remainder of the polynomial division which constitute the critical operation of the encoding. This approach is generalized to recursive IIR filters. The main architectural characteristics being aimed are high flexibility and scalability, yet preserving a good trade-off between the amount of resources used (and hence, area consumption) and the obtained performance (operation speed). The second topic concerns the developing of a methodology for designing FS (fault-secure) encoders, improving the tolerance of digital integrated circuits. The proposed approach consists in adding an extra blocks to the encoders, allowing online error detection. The proposed solutions offer a good compromise between complexity and frequency operation. For even higher throughput, parallel-pipelined implementations of FS encoders were considered. Different fault injection campaigns of single, double, and random errors were applied to the encoders in order to evaluate error detection rates. The study of dependable architecture was extended to pipeline-parallel decoders for cyclic block codes. This approach is based on a slight modification of the parallel-pipeline architectures developed at LICM laboratory, introducing some redundancy in order to make it dependable

Sûreté de fonctionnement

Transmission haut débit

Codes en blocs

Codes convolutifs

Architectures parallèle-pipeline

Injection de fautes

Modélisation RTL