La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

QDS Technical Solution Outlines

Présentations similaires


Présentation au sujet: "QDS Technical Solution Outlines"— Transcription de la présentation:

1 QDS Technical Solution Outlines

2 Agenda vs QDS QDS architecture ( HW, SW) 15mn QDS development 60mn
liées au contexte de développement QDS advaantages 60mn Conclusion 15mn

3 QDS Design & Development Support
QDS – Features Qualifiable HMI HMI behaviour formally verified Qualifiable HW Qualifiable SW QDS Design & Development Support HMI :Safe & Determinist Determinist Support Architecture (HW, SW) Simulation Support Development Process with very high Testing & Verification (C2) Precise and pre-established [ only] Operation & Maintenance procedures (finite use cases) implementation Safe & Determinist Operation Constrained States/Transitions/Actions for HMI Determinist Process Interface & I/O Mngt RTOS & Scheduling constraints

4 QDS – Architecture Support
Rugged HW with deterministic network and I/O Mngt Deterministic network ( TCP/IP, Ethernet based) Reflective memory to access remote I/O as local, Client/Server I/O Mngt with shadowing techniques+ Data time stamping SW : ensuring determinism Deterministic RTOS (VxWorks, ..) Synchronous approach : SCADE based solution? Global solution constraints QDS Solution for pernnety Co location with non qualified HMI Global Safety Validation How to ensure that QDS command is taken into account by I/O subsystem

5 Typical QDS Architecture
x2 x2 MCS QDS_2 Cablage / Lien série vers CE4000-S QDS_1 Serial Nwrk? Instead of Ethernet? The N8000 Qualified Nwrk? Redundant, deterministic Network Field & Instruments CE4000-S IO modules

6 Partitioning / DO-297 Partiotn for F2 or F3 DS Partiotn for QDS (F1)
Partiotn for BAR/BMF?

7 Architecture ALSPA Proposée pour EPR
Conventional Island Salle de commande Station de repli Divers Local Technique de crise Maintenance Niveau 3 CCAD Client GTW MCP MCS Cablage / Lien série vers CE4000-S Réseau salles de contrôle x2 Serveur Temps réel (CIS) Serveur Historian CCAD Serveur Ce slide essaye d’abstraire les différents sous-systèmes Réseaux CRN Réseaux S8000 level 2 Réseaux S800 plant level On ne montre pas les niveaux de redondance, mais la ségrégation géographique et les interconnections, et les niveaux de classification Est-il correct? Réseau S8000 NI Réseau S8000 CI Réseau S8000 Site S8000 S8000 LIAISONS OPTIQUE X3 S8000 CE4000-S LIAISONS OPTIQUE X3 S8000 CE4000-S LIAISONS OPTIQUE X3 S8000 CE4000-S GTW MFC3000 MFC4000-N MFC4000-N MFC3000 MFC3000 MFC3000 CE4000-S CE4000-S LIAISONS OPTIQUE X3 CE4000-S LIAISONS OPTIQUE X3 CE4000-S TURBINE (div 2) CONTROSTEAM CE4000-S SPCC CE4000-S N8000 (plant wide) SA F1B SA F2 SA NC Auxiliaires généraux CI : Division 2/3 NI : Division 1/2/3/4 P <#> F1B F2 NC

8 Réseau salles de contrôle Serveur Temps réel (CIS)
Architecture ALSPA Proposée Points àmodifier/adapter pour qualification Conventional Island 6 : Développements QDS Salle de commande Station de repli Divers Local Technique de crise Maintenance Niveau 3 12: Fonctions IHM F2 CCAD Client GTW MCP 5: Code sûr Controcad pour contrôles F1B MCS 3 : Base de données temps réel sur RTOS Cablage / Lien série vers CE4000-S Réseau salles de contrôle 4: Suppression des fonctions OPC x2 Serveur Temps réel (CIS) Serveur Historian CCAD Serveur 11: Import d’un chaine CAO externe 10: Amélioration sûreté du réseau S8000 8: Segregation des réseaux entre divisions/classes de sûreté/lignes de défenses Ce slide essaye d’abstraire les différents sous-systèmes Réseaux CRN Réseaux S8000 level 2 Réseaux S800 plant level On ne montre pas les niveaux de redondance, mais la ségrégation géographique et les interconnections, et les niveaux de classification Est-il correct? Réseau S8000 NI Réseau S8000 CI Réseau S8000 Site S8000 S8000 LIAISONS OPTIQUE X3 S8000 CE4000-S LIAISONS OPTIQUE X3 S8000 CE4000-S LIAISONS OPTIQUE X3 S8000 CE4000-S GTW MFC3000 MFC4000-N MFC4000-N MFC3000 MFC3000 MFC3000 2: MFC4000-N : Tëte de cellule pour I/O CE4000 (F2) CE4000-S CE4000-S LIAISONS OPTIQUE X3 CE4000-S LIAISONS OPTIQUE X3 CE4000-S TURBINE (div 2) CONTROSTEAM 7: Carte actionneur CE4000-S SPCC CE4000-S N8000 (plant wide) 9: Communication entre ilots 13: Gateway pour catégorie A SA F1B 1: safety network pour échanges F1B SA F2 SA NC Auxiliaires généraux CI : Division 2/3 Division 1/2/3/4 P <#> F1B F2 NC

9 SW Architecture & Development process
Cyclic /synchronous application deterministic connection to I/O SCADE based solution

10 QDS.Architecture.SW (cyclic task SYNCHRONOUS APPROACH )
Loop Get I/O data Display data Process inputs Send I/O data end loop QDS.Architecture.SW (cyclic task SYNCHRONOUS APPROACH ) Inputs Driver GPU OpenGL Renderer GRAPHIC Driver Application Task Network Driver TCP/IP Driver os Network OS Display Configuration I/O Data, Status KB,Mouse, Touch inputs Commands Display CPU/GPU CPU CPU ComChip ComChip Ntwk BUS TouchScreen Trackball Keyboard

11 SW Architecture based on SCADE + SCADE-Display

12 RT Vizu of SW Spec

13 Typical SW architecture for graphics

14 Verification integration

15 SCADE based Development Process
One periodic task with 4 code units : OGLX library SCADE display code for HMI SCADE code Manual “glue” code Solution built by CS on Arinc 653 platform Allowing partitioned applications running on the same CPU Allowing safe and deterministic behaviour of each application Co-simulation – interactive HMI Mitigation of Project risks through prototyping Deterministic scheduling may impact response time?

16 Qualifiable HMI Development Process using Scade-Display
Incremental Approach : Capture & model requirement using Scade system (SysML: structured , semi-informal capture (state transition diagram, use cases,..)) Formal verification of associated state transition systems Automated translation of HMI automata to SCADE Display Early Co-Simulation (Scade-suite _ Scade Display) and formal validation for each new requirement Prototyping Support of incremental qualification : Automated non regression testing (mode batch) Automatic code generation from simulation to target

17 QDS development Specifics
RCC-E-2005 C : Les principaux utilisateurs de chaque groupe d'écrans doivent être consultés pour la définition des exigences de conception. C : Exigences ergonomiques - CEl § 4.4 " … Il convient que la surveillance, par des moyens informatisés, des fonctions classées de sûreté soit basée de préférence sur des images ou des graphiques." C : Conception et réalisation des images - lCEl § 5 et annexe F - indique les principaux sujets à aborder et peut aider le concepteur à spécifier les exigences détaillées correspondantes. C : Moyens de désignation C : Moyens de navigation C : Autres exigences pour les moyens de conduite conventionnels IEC 61513 : Interfaces avec les utilisateurs

18 QDS Qualification Process

19 QDS Qualification

20 Différences RCC-E-2005/IEC 62138 et DO-178B pour le niveau C2
AMDEC Requis au niveau logiciel – Analyse réalisée au niveau système dans le domaine aéronautique Analyse sécurité Requis au niveau logiciel – Non requis au niveau logiciel ni dans l’issue B (ni dans l’issue C) du DO-178 Plans et standards Le PQL reprend les conclusions de l’AMDEC et de l’analyse de sécurité. Le Plan de développement est inclus dans le PQL, notamment les moyens de s’assurer de l’efficacité des dispositions prises (conclusions AMDEC et Analyse de sécurité) y sont à décrire. Configuration Notion de dossier de fabrication à comparer avec l’index de configuration du logiciel et l’index de configuration de l’environnement de développement complété des procédures d’installation. Développement Découpage à priori entre logiciel "Application" et logiciel "Système". Le niveau de détail de la spécification est adaptable à la classe de sûreté. Les méthodes de spécification doivent être adaptées aux ingénieurs de "Fonctionnement".  Transition entre phases obligatoire et formalisée pour tout niveau de sûreté. La phase de conception est explicitement composée d’une phase CP et d’une phase CD. La phase CD s’accompagne de la fourniture des PTUs. Vérifications et Tests logiciels Deux Plans séparés (Plan DO-178B unique SVP) : Plan de Test et de Vérifications incluant un Plan d’intégration, Plan de validation. Les Tests Unitaires sont obligatoires pour tous les modules logiciels à partir de C2. Indépendance (vis-à-vis de l’équipe de réalisation) requise pour le niveau C2 pour l’écriture des plans et non pour l’exécution des tests. Pour C2, aucun critère d’arrêt des tests par atteinte d’un pourcentage de couverture fonctionnelle et/ou structurel n’est fixé par la norme. Ce pourcentage est à définir dans la stratégie de test (Plans) de chaque projet. Qualification (aspects logiciels) Constitution du référentiel pour la Qualification - équivalent à l’élaboration du PSAC. Définition d’un programme de Qualification préétabli - pas d’équivalence DO-178B. Exécution du programme de Qualification - équivalent Audit de Certification. Etablissement du Compte-rendu de Qualification - équivalent Rapport d’Audit. L’IEC stipule pour les logiciels de catégorie B : "Si des langages orientés application sont disponibles, il convient de leur accorder la préférence." "Il convient que les langages généralistes utilisés aient des caractéristiques facilitant l’analyse statique des programmes par des outils."

21 Les principes et règles à adopter en vue de la Qualification (C2 au sens RCC-E-2005)
Réaliser une AMDEC précise et détaillée Réaliser une analyse des menaces et des vulnérabilités pour les aspects logiciels de la sécurité (IEC 62138) Choisir un process de développement et les outils support pour atteindre le niveau C2 (ou catégorie B IEC 62138) – s’assurer de la qualification des outils Etablir le référentiel pour la Qualification et définir le programme de Qualification Décrire le process et prendre en compte les conclusions de l’AMDEC et les dispositions pour la sécurité dans le Plan Qualité Logiciel (PQL) puis faire pré-valider le PQL et le programme de Qualification (si possible) avant le démarrage du projet par l’IRSN Définir les normes et règles de réalisation Réaliser des documents de spécification et de conception conformément aux normes et règles de réalisation retenues (granularité, précision, traçabilité des exigences, vérifiabilité, …) Définir une architecture dynamique dont la preuve de déterminisme est aisée à produire Concevoir des tests et produire des analyses en vue de démontrer la fiabilité et le déterminisme du système : Tests de robustesse vis-à-vis des modes de défaillance évalués par l’AMDEC Tests de performances WCET (Worst Case Execution Time) – solution AIT d’Absint ou RAPITIME Documenter l’ensemble des preuves (résultats de tests et des analyses) et s’assurer que l’ensemble des objectifs requis pour la qualification sont couverts par la documentation projet produite et par ces preuves formalisées

22 Environnement de développement (suite)
Solution intégrée avec Scade system Formalise les besoins recueillis L’intégration avec Scade Display-Scade suite facilite la traçabilité avec les besoins recueillis Utilisation de techniques de vérification formelle : Utilisation d’outillage de Model-Checking – solution déployée par CS sur ATC pour Airbus Utilisation de Frama-C - solution déployée par CS sur projet spatial embarqué Nosyca Utilisation de process transverses éprouvés dans le domaine aéronautique : Traçabilité des artefacts de développement (DOORS et/ou Reqtify) : Besoins  Spécification  Design  code Traçabilité artefacts de développement vs tests (DOORS et/ou Reqtify) : Besoins  tests de validation système Spécification SW  Tests de validation SW Architecture SW  Tests d’Intégration Conception Détaillée  TU Gestion de configuration éprouvée et outillée (SVN) RT-RT pour les TU (solution déployée sur l’ensemble des systèmes Airbus certifiés) Chaîne de compilation fonction de la cible et de l’OS retenus

23 Possibilité offerte par la Simulation Scade
Basée sur la ré-utilisation des scénarii déjà mis au point sur machine hôte en co-simulation le bénéfice est double : Couplée avec la couverture du modèle durant la simulation – les objectifs de vérification de la Conception sont satisfaits Les procédures de tests issus des scénarii mis au point permettent de satisfaire les objectifs de Validation Le passage dans l’environnement de test est facilité par une passerelle qualifiée vers l’outillage RT-RT

24 Argumentaire QDS pour client final

25 Points forts techniques de la solution outils utilisés qualifiés
Scade-Display couplé à Scade-suite Code sûr généré automatiquement Solution intrinsèquement déterministe Capacité de mise au point rapide par co-simulation (Scade-suite – Scade Display) Rejeu en environnement Target des scénarii mis au point en simulation Maintenabilité facilitée par l’approche graphique Solution certifiée IEC et conforme à l’IEC (et utilisée dans le projet LMC-MFD A400M certifiable DO-178B pour un niveau de criticité B – équivalent C2)

26 QDS Exploitation & Maintenance
Deterministtic Solution Simulation for validating changes/updates of HMI Replay in target environment of scénarii debugged in simulation Maintenability through graphical approach Solution certifiée IEC et conforme à l’IEC (et utilisée dans le projet LMC-MFD A400M certifiable DO-178B pour un niveau de criticité B – équivalent C2)

27 QDS FAQs & Issues SCADE toolset license costs? ~20-30K
SCADE display vs Host OS SCADE limitations ( - Resources ) Max object displayabkes or Display on several screens Large displays? Refresh rate ( 300ms to 1s) How to verify that a given value is refreshed? SCADE perennity?

28 Summary Solution allowing: SW Architecture HW indépendant qualifiable
Maintenance Upstream simulation , automated porting on target environnement automation of verification procedures (tests) Fast Operation & Exploitation after updates Pérennity ?? HW independancy SCADE tooset? But C language

29 Additional slides 4

30 QDS SW Architecture

31 . Dev i S_CP S_CP Dev 1 Init goInitDev login i Initialisation Dev 2
maxD_log ackLog ( id ) . operate (op) maxD_oper ackOper ( role ) logout i Dev i

32 Safety & Control Integration

33 ARINC 653 based Architecture

34 ARINC 653 RTOS Architecture
Priority-Preemptive Inside Partitions


Télécharger ppt "QDS Technical Solution Outlines"

Présentations similaires


Annonces Google