Prise en compte des séquences de défaillances pour la conception de systèmes d'automatisation. Application au ferroutage

Clarhaut, Joffrey

23 March 2009

Cette thèse s'intéresse à la conception de systèmes complexes d'automatisation sûrs de fonctionnement dont l'évaluation est basée sur des scénarios. Pour déterminer un système optimal, il est important de disposer d'outils de modélisation et d'évaluation rapides ainsi que des algorithmes d'optimisation adaptés au sein d'une méthodologie globale de conception. Cette méthodologie doit également permettre d'étudier l'impact des défaillances sur le comportement final du système contrôlé. Dans ce cadre, la détermination d'un architecture matérielle, son optimisation vis-à-vis de critères comme la longueur minimale des scénarios et le nombre de combinaisons de scénarios sont considérés. Nous proposons une modélisation fonctionnelle et dysfonctionnelle utilisant les scénarios de modes de défaillances. Le niveau de détail considéré est suffisamment fin pour décrire différentes possibilités d'agencements des composants utilisables ainsi que plusieurs types de composants. Si la modélisation fonctionnelle est facile à appréhender, la modélisation dysfonctionnelle tenant compte des scénarios est plus difficile. Afin de répondre à ce problème, nous proposons un modèle graphique baptisé "Arbre de défaillances multiples amélioré" permettant de modéliser, à l'aide d'opérateurs temporels et de relations entre modes de défaillances, ce comportement dysfonctionnel. L'application de cette méthodologie à un système de ferroutage est présentée. Les résultats obtenus pour les fonctionnalités liées au problème de l'incendie et du désarrimage sont comparés avec une méthode classique d'évaluation afin de montrer l'efficacité de l'approche proposée. L'intégration de ces travaux dans un logiciel dédié à la conception de systèmes d'automatisation (plate forme ALoCSyS : Atelier Logiciel de Conception de Systèmes Sûrs) est décrite.

Transport multimodal - Fiabilité

Tolérance aux fautes

Optimisation combinatoire

Conception technique

Automatisation

Disponibilité

Adaptation en ligne de mécanismes de tolérance aux fautes par une approche à composants ouverts

Pareaud, Thomas

27 January 2009

L'adaptation en-ligne du logiciel de tolérance aux fautes permet de renforce la sûreté de fonctionnement du système et prenant en compte son environnement. L'adaptation nécessite de nouvelles techniques de conception. Ces travaux visent à comprendre et maîtriser l'impact des modifications du logiciel de tolérance aux fautes en opération sur les fonctionnalités du système, pour en maîtriser les effets de bords. L'approche proposée introduit une architecture réflexive à composants et une modélisation du logiciel. Un modèle structurel du logiciel permet de calculer et appliquer les modifications du contenu du logiciel. Un modèle comportemental décrit les observations attendues en fonctionnement. Il permet de déterminer les états permettant d'appliquer les modifications, d'amener et de maintenir le système dans ces états. Ces travaux montrent que, grâce aux capacités de manipulation et de contrôle en ligne du logiciel, la modification des mécanismes de tolérance aux fautes peut être réalisée en ligne de manière maîtrisée.

[INFO] Computer Science

Réflexivité

modèle à composant

Tolérance aux fautes

Modèle comportemental

Adaptation

Génération Automatique de circuits durcis aux rayonnements au niveau transistor

C., Lazzari

07 December 2007

Les technologies submicroniques ont inséré des nouveaux défis dans le projet de circuits intégrés à cause de la réduction des géométries, la réduction de la tension d'alimentation, l'augmentation de la fréquence et la densité élevée de la logique. Cette thèse est divisée dans deux contributions principales. La première contribution est liée à l'élaboration d'une nouvelle méthodologie capable de produire des circuits optimisés en ce qui concerne le retard et la puissance. On propose un nouvel flou de conception dans lequel le circuit est optimisé au niveau transistor. La deuxième contribution de cette thèse est reliée avec le développement des techniques pour les circuits durcis aux rayonnements. La technique Code Word State Preserving (CWSP) est utilisé pour appliquer la redondance dans les bascules. On propose aussi une nouvelle méthodologie dans lequel la taille de transistor est dimmensioné pour l'atténuation de faute type Single Event Transient. La méthode de sizing est basée sur un modèle analytique.

tolérance aux fautes

fautes transitoires

circuits durcis

Conception Robuste dans les Technologies CMOS et post-CMOS

Anghel, L.

24 September 2007

Les technologies de silicium s'approchent de leurs limites physiques en termes de réduction des tailles des transistors, et de la tension d'alimentation, d'augmentation de la vitesse de fonctionnement et du nombre de dispositifs intégrés dans une puce. En s'approchant de ces limites, les circuits deviennent de plus en plus sensibles aux phénomènes parasites diverses, d'origine interne ou externe au circuit, provoquant une augmentation très importante du taux d'erreurs du fonctionnement. Le manuscrit présente un résumé de mes travaux de recherche, menés en collaboration avec les doctorants que jái co-encadrés ou que j'encadre en ce moment et avec les nombreux stagiaires qui se sont succédés au laboratoire TIMA, et dans un premier temps concerne les techniques de tolérance aux fautes permanentes et transitoires destinées aux nouvelles technologies de silicium (ciblant les technologies en dessous des 32nm) ainsi qu'aux futures technologies de remplacement du silicium, les nanotechnologies. Une partie de travaux de recherche s'articule autour de la prédiction des taux de défaillances des systèmes intégrés complexes. Des méthodologies de simulation de fautes concernant tous les niveaux d'abstraction sont présentées, tant pour les circuits numériques que pour les circuits analogiques, ainsi que la mise en place d'outils de simulation automatique. In fine, une dernière partie du manuscrit présente des activités de recherche beaucoup plus récentes, articulées autour de la modélisation et de la simulation des structures simples et complexes à base de nanotubes de carbone en vue d'une analyse prédictive de fonctionnement sans défaillances. Au passage des systèmes complexes et les outils de CAO pour les nanotechnologies sont aussi présentés.

nanotubes de carbone

robustesse

tolérance aux fautes

fiabilité

nanotechnologies

SEE

Détection et diagnostic des fautes dans des systèmes à base de réseaux de capteurs sans fils

Hamdan, Dima

20 February 2013

Les pannes sont la règle et non l'exception dans les réseaux de capteurs sans fil. Un nœud capteur est fragile et il peut échouer en raison de l'épuisement de la batterie ou de la destruction par un événement externe. En outre, le nœud peut capter et transmettre des valeurs incorrectes en raison de l'influence de l'environnement sur son fonctionnement. Les liens sont également vulnérables et leur panne peut provoquer un partitionnement du réseau et un changement dans la topologie du réseau, ce qui conduit à une perte ou à un retard des données. Dans le cas où les nœuds sont portés par des objets mobiles, ils peuvent être mis hors de portée de la communication. Les réseaux de capteurs sont également sujets à des attaques malveillantes, telles que le déni de service, l'injection de paquets défectueux, entraînant un comportement inattendu du système et ainsi de suite. En plus de ces défaillances prédéfinies (c'est-à-dire avec des types et symptômes connus), les réseaux de capteurs présentent aussi des défaillances silencieuses qui ne sont pas connues à l'avance, et qui sont très liées au système. En revanche, les applications de RCSF, en particulier les applications de sécurité critiques, telles que la détection d'incendie ou les systèmes d'alarme, nécessitent un fonctionnement continu et fiable du système. Cependant, la garantie d'un fonctionnement correct d'un système pendant l'exécution est une tâche difficile. Cela est dû aux nombreux types de pannes que l'on peut rencontrer dans un tel système vulnérable et non fiable. Une approche holistique de la gestion des fautes qui aborde tous les types de fautes n'existe pas. En effet, les travaux existants se focalisent sur certains états d'incohérence du système. La raison en est simple : la consommation d'énergie augmente en fonction du nombre d'éléments à surveiller, de la quantité d'informations à collecter et parfois à échanger. Dans cette thèse, nous proposons un "Framework " global pour la gestion des fautes dans un réseau de capteurs. Ce framework, appelé " IFTF ", fournit une vision complète de l'état du système avec la possibilité de diagnostiquer des phénomènes anormaux. IFTF détecte les anomalies au niveau des données, diagnostique les défaillances de réseau, détecte les défaillances d'applications, et identifie les zones affectées du réseau. Ces objectifs sont atteints grâce à la combinaison efficace d'un service de diagnostic réseau (surveillance au niveau des composants), un service de test d'applications (surveillance au niveau du système) et un système de validation des données. Les deux premiers services résident sur chaque nœud du réseau et le système de validation des données réside sur chaque chef de groupe. Grâce à IFTF, les opérations de maintenance et de reconfiguration seront plus efficaces, menant à un système WSN (Wireless Sensor Network) plus fiable. Du point de vue conception, IFTF fournit de nombreux paramètres ajustables qui le rendent approprié aux divers types d'applications. Les résultats de simulation montrent que la solution présentée est efficace en termes de coût mémoire et d'énergie. En effet, le système de validation des données n'induit pas un surcoût de communication. De plus, le fonctionnement des deux services test et diagnostic augmente la consommation d'énergie de 4% en moyenne, par rapport au fonctionnement du service de diagnostic uniquement.

[INFO:INFO_OH] Computer Science/Other

[INFO:INFO_OH] Informatique/Autre

Réseau des capteurs

Tolérance aux fautes

Diagnostic

Test

Consommation d'énergie

Robustesse du logiciel embarqué multicouche par une approche réflexive: application à l'automobile

Lu, Caroline

14 December 2009

Les mécanismes de détection et de recouvrement d'erreur doivent être soigneusement sélectionnés pour les applications embarquées automobiles, principalement à cause de ressources limitées et de contraintes économiques. Cependant, des exigences de sûreté importantes, aggravées par la complexité croissante du logiciel, motive l'industrie automobile à chercher des solutions techniques pour améliorer la robustesse à l'exécution. Le défi est de concevoir une solution de tolérance aux fautes portable, flexible, à forte contraintes économique, en examinant différemment les techniques classiques de redondance et de diversification. Le principe directeur est de contrôler rigoureusement quelle information et quand elle est essentielle à récupérer; quelle instrumentation est nécessaire pour réaliser de la tolérance aux fautes et où il faut la placer dans le programme. La thèse propose une approche pour développer un logiciel de défense, tel un composant externe configurable, reposant sur l'observabilité et la contrôlabilité de mécanismes fournis par un standard d'architecture logicielle automobile émergent AUTOSAR.

[INFO] Computer Science

[INFO] Informatique

Tolérance aux fautes

Logiciel embarqué automobile

Réflexivité

Sécurités (immunité et innocuité) des architectures ouvertes à niveaux de criticité multiples : application en avionique

Laarouchi, Youssef

30 November 2009

La conception et le développement des applications critiques en avionique sont soumis à des contraintes strictes visant à assurer un niveau de confiance compatible avec les exigences de sécurité-innocuité (au sens safety) des tâches mises en Suvre. Ces contraintes induisent un accroissement considérable des coûts de production et de maintenance, ce qui rend le prix de revient de tels systèmes prohibitif. D'un autre côté, les composants sur étagère (Commercial Off-The-Shelf, COTS), matériels et logiciels, sont maintenant d'usage courant et offrent des services étendus pour un coût faible. Cependant, les COTS ne répondent pas aux contraintes d'innocuité exigées pour les tâches critiques ; de plus, ils présentent des vulnérabilités facilement exploitables par des attaques, les rendant incompatibles avec des exigences élevées de sécurité-immunité (au sens security). Il serait toutefois intéressant de profiter de tels composants dans un contexte avionique, mais en faisant en sorte qu'ils ne puissent affecter de façon préjudiciable les tâches critiques. Intégrer de tels composants dans les systèmes avioniques conduit donc à prendre en considération l'hétérogénéité des niveaux de confiance entre d'une part les applications critiques classiques, et d'autre part de nouvelles applications utilisant des composants sur étagère. Dans le cadre de cette thèse, nous proposons une architecture autorisant de telles interactions tout en préservant les propriétés de safety et security. La définition de cette architecture s'appuie sur le modèle Totel, et elle utilise la virtualisation afin de faciliter la mise en Suvre des mécanismes de tolérance aux fautes destinés à augmenter la crédibilité d'une application exécutée de façon répliquée sur des plateformes d'exécution COTS de niveau de confiance faible. Afin de valider notre approche, nous avons réalisé un prototype en nous appuyant sur deux cas d'étude identifiés avec Airbus et concernant tous deux des ordinateurs portables : un dédié à la maintenance et un au calcul du profil de décollage d'un avion.

[INFO] Computer Science

[INFO] Informatique

Systèmes critiques

Avionique

Multiniveaux d'intégrité

Tolérance aux fautes

Virtualisation

Architecture pour la reconfiguration en temps réel des systèmes complexes / An architecture for real time reconfiguration of complex systems

Guadri, Ahmed

15 December 2009

Nous proposons une méthodologie de conception pour les systèmes de commande tolérants aux fautes en partant d’un modèle de base exhaustif pour le système complexe à superviser. En pratique, la modélisation exhaustive est réalisée grâce à un automate hybride enrichi par des paramètres quantifiant les défaillances possibles. Ceci permet de modéliser les défaillances partielles. Dans la phase hors ligne, ce système complexe est transformé en un système discret abstrait et exploitable selon des techniques dédiées. Un superviseur est alors construit selon les objectifs de fonctionnement.Lors du fonctionnement du système, l’occurrence d’une défaillance se traduit par l’invalidation de plusieurs comportements dans le modèle abstrait et l’introduction d’incertitudes. Par la suite, les modules de diagnostic et d’identification (qui ne rentrent pas dans l’objet de notre thèse) réduisent de façon progressive le modèle hybride au cours du temps. Afin de pouvoir mettre à jour le modèle discret abstrait, on a développé des algorithmes de calcul d’atteignabilité, de vérification et de génération de régions stabilisées.Pour pouvoir superviser un tel système, l’utilisation de méthodologies d’abstraction est nécessaire afin de transformer le modèle bas niveau exhaustif en un modèle discret approprié. Nous réalisons cette abstraction en proposant des algorithmes qui tiennent compte du contexte d’utilisation (objectifs, contraintes…). Lorsqu’une défaillance est détectée, la reconfiguration est déclenchée en essayant, au fur et à mesure de l’enrichissement du modèle abstrait, de réduire le fonctionnement du système défaillant dans un des schémas prédéfinis / We propose a methodology for the design of fault tolerant control systems for the supervision of complex systems. First, the system is exhaustively described through a hybrid automaton which is enriched with parameters that quantifies the possible complete or partial faults. In the offline stage, the complex system is abstracted into a useful discrete event system with dedicated approaches. After, a supervisor is designed according to the standard objectives.In the online stage, fault detection can be interpreted by prohibiting some behaviours and introducing uncertainties. Thereafter, the diagnosis and identification modules (that are not treated in this work) reduce progressively the hybrid system. In order to update the abstract model, we developed some algorithms for reachability calculus, verification and generation of stabilized regions.In order to supervise the faulty system, the use of abstraction methodologies is necessary in order to transform the low level exhaustive model into an abstract and appropriate model. This abstraction is realized through algorithms that takes into account the abstraction context (objectives, constraints…). When a fault is detected, the reconfiguration is triggered by trying, as the abstract model is enriched, to reduce the behaviour of the faulty system into a preconceived model

Tolérance aux fautes

Reconfiguration

Sûreté de fonctionnement

Abstraction

Systèmes hybrides

Fault tolerance

Reconfiguration

Safety

Abstraction

Hybrid systems

Etude de la migration de tâches dans une architecture multi-tuile. Génération automatique d'une solution basée sur des agents / Study of task migration in a multi-tiled architecture. Automatic generation of an agent based solution

Elantably, Ashraf

16 December 2015

Les systèmes multiprocesseurs sur puce (MPSoC) mis en oeuvre dans les architecturesmulti-tuiles fournissent des solutions prometteuses pour exécuter des applicationssophistiquées et modernes. Une tuile contient au moins un processeur, unemémoire principale privée et des périphériques nécessaires associés à un dispositifchargé de la communication inter-tuile. Cependant, la fiabilité de ces systèmesest toujours un problème. Une réponse possible à ce problème est la migrationde tâches. Le transfert de l’exécution d’une tâche d’une tuile à l’autre permet degarder une fiabilité acceptable de ces systèmes. Nous proposons dans ce travail unetechnique de migration de tâches basée sur des agents. Cette technique vise lesapplications de flot de données en cours d’exécution sur des architectures multituiles.Une couche logicielle “middleware” est conçue pour supporter les agentsde migration. Cette couche rend la solution transparente pour les programmeursd’applications et facilite sa portabilité sur architectures multi-tuiles différentes. Afinque cette solution soit évolutive, une chaîne d’outils de génération automatique estconçue pour générer les agents de migration. Grâce à ces outils, ces informationssont extraites automatiquement des graphes de tâches et du placement optimisésur les tuiles du système. L’algorithme de migration est aussi détaillé, en montrantles phases successives et les transferts d’information nécessaires. La chaîne d’outilsest capable de générer du code pour les architectures ARM et x86. Cette techniquede migration de tâche peut être déployée sur les systèmes d’exploitation quine supportent ni chargement dynamique ni unité de gestion mémoire MMU. Lesrésultats expérimentaux sur une plateforme x86 matérielle et une plateforme ARMde simulation montrent peu de surcoût en terme de mémoire et de performance, cequi rend cette solution efficace. / Fully distributed memory multi-processors (MPSoC) implemented in multi-tiled architectures are promising solutions to support modern sophisticated applications, however, reliability of such systems is always an issue. As a result, a system-level solution like task migration keeps its importance. Transferring the execution of a task from one tile to another helps keep acceptable reliability of such systems. A tile contains at least one processor, private main memory and associated peripherals with a communication device responsible for inter-tile communications. We propose in this work an agent based task migration technique that targets data-flow applications running on multi-tiled architectures. This technique uses a middleware layer that makes it transparent to application programmers and eases its portability over different multi-tiled architectures. In order for this solution to be scalable to systems with more tiles, an automatic generation tool-chain is designed to generate migration agents and provide them with necessary information enabling them to execute migration processes properly. Such information is extracted automatically from application(s) task graphs and mapping on the system tiles. We show how agents are placed with applications and how such necessary information is generated and linked with them. The tool-chain is capable of generating code for ARM and x86 architectures. This task migration technique can be deployed on small operating systems that support neither MMU nor dynamic loading for task code. We show that this technique is operational on x86 based real hardware platform as well as on an ARM based simulation platform. Experimental results show low overhead both in memory and performance. Performance overhead due to migration of a task in a typical small application where it has one predecessor and one successor is 18.25%.

Migration de tâches

Architectures de mémoire distribuées

La tolérance aux fautes

Task migration

Distributed architectures

Fault tolerance

620

Résilience des systèmes informatiques adaptatifs : modélisation, analyse et quantification

Excoffon, William

08 June 2018

On appelle résilient un système capable de conserver ses propriétés de sûreté de fonctionnement en dépit des changements (nouvelles menaces, mise-à-jour,…). Les évolutions rapides des systèmes, y compris des systèmes embarqués, implique des modifications des applications et des configurations des systèmes, en particulier au niveau logiciel. De tels changements peuvent avoir un impact sur la sûreté de fonctionnement et plus précisément sur les hypothèses des mécanismes de tolérance aux fautes. Un système est donc résilient si de pareils changements n’invalident pas les mécanismes de sûreté de fonctionnement, c’est-à-dire, si les mécanismes déjà en place restent cohérents malgré les changements ou dont les incohérences peuvent être rapidement résolues. Nous proposons tout d’abord dans cette thèse un modèle pour les systèmes résilients. Grâce à ce modèle nous pourrons évaluer les capacités d’un ensemble de mécanismes de tolérance aux fautes à assurer les propriétés de sûreté issues des spécifications non fonctionnelles. Cette modélisation nous permettra également de définir un ensemble de mesures afin de quantifier la résilience d’un système. Enfin nous discuterons dans le dernier chapitre de la possibilité d’inclure la résilience comme un des objectifs du processus de développement

Cryptographie et sécurité

Performance et fiabilité

Calcul formel

Tolérance aux fautes

Résilience

Métriques d’évaluation