La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

CS Communication & Systèmes – Charte 2010 1 QDS Technical Solution Outlines.

Présentations similaires


Présentation au sujet: "CS Communication & Systèmes – Charte 2010 1 QDS Technical Solution Outlines."— Transcription de la présentation:

1 CS Communication & Systèmes – Charte 2010 1 QDS Technical Solution Outlines

2 CS Communication & Systèmes – Charte 2010 2 Agenda vs QDS QDS architecture ( HW, SW)15mn QDS development60mn liées au contexte de développement QDS advaantages 60mn Conclusion15mn

3 CS Communication & Systèmes – Charte 2010 3 QDS – Features QDS Design & Development Support HMI :Safe & Determinist Determinist Support Architecture (HW, SW) Simulation Support Development Process with very high Testing & Verification (C2) Precise and pre-established [ only] Operation & Maintenance procedures (finite use cases) implementation Safe & Determinist Operation Constrained States/Transitions/Actions for HMI Determinist Process Interface & I/O Mngt RTOS & Scheduling constraints Qualifiable HMI HMI behaviour formally verified Qualifiable HW Qualifiable SW

4 CS Communication & Systèmes – Charte 2010 4 QDS – Architecture Support Rugged HW with deterministic network and I/O Mngt Deterministic network ( TCP/IP, Ethernet based) Reflective memory to access remote I/O as local, Client/Server I/O Mngt with shadowing techniques+ Data time stamping … SW : ensuring determinism Deterministic RTOS (VxWorks,..) Synchronous approach : SCADE based solution? Global solution constraints QDS Solution for pernnety Co location with non qualified HMI Global Safety Validation How to ensure that QDS command is taken into account by I/O subsystem

5 CS Communication & Systèmes – Charte 2010 5 Typical QDS Architecture Redundant, deterministic Network IO modules x2 QDS_1 QDS_2 The N8000 Qualified Nwrk? MCS Cablage / Lien série vers CE4000-S CE4000-S Serial Nwrk? Instead of Ethernet? Field & Instruments

6 CS Communication & Systèmes – Charte 2010 6 Partitioning / DO-297 Partiotn for QDS (F1) Partiotn for F2 or F3 DS Partiotn for BAR/BMF?

7 CS Communication & Systèmes – Charte 2010 7 Conventional Island Architecture ALSPA Proposée pour EPR F1BF2NC NI : Division 1/2/3/4 GTW Auxiliaires généraux MCS Cablage / Lien série vers CE4000-S MCP CCAD Client CCAD Serveur Réseau S8000 NIRéseau S8000 Site LIAISONS OPTIQUE X3 S8000 CE4000-S LIAISONS OPTIQUE X3 S8000 CE4000-S LIAISONS OPTIQUE X3 S8000 CE4000-S LIAISONS OPTIQUE X3 S8000 CE4000-S LIAISONS OPTIQUE X3 S8000 CE4000-S TURBINE (div 2) CONTROSTEAM N8000 (plant wide) SPCC SA F2 CI : Division 2/3 SA F1B MFC4000-N MFC3000 Salle de commandeStation de repliDiversLocal Technique de crise Maintenance MFC3000 Réseau S8000 CI Serveur Temps réel (CIS) x2x2 Serveur Historian Réseau salles de contrôle Niveau 3 GTW SA NC

8 CS Communication & Systèmes – Charte 2010 8 Conventional Island Architecture ALSPA Proposée Points àmodifier/adapter pour qualification F1BF2NC Division 1/2/3/4 GTW Auxiliaires généraux MCS Cablage / Lien série vers CE4000-S MCP CCAD Client CCAD Serveur Réseau S8000 NIRéseau S8000 Site LIAISONS OPTIQUE X3 S8000 CE4000-S LIAISONS OPTIQUE X3 S8000 CE4000-S LIAISONS OPTIQUE X3 S8000 CE4000-S LIAISONS OPTIQUE X3 S8000 CE4000-S LIAISONS OPTIQUE X3 S8000 CE4000-S TURBINE (div 2) CONTROSTEAM N8000 (plant wide) SA F2 CI : Division 2/3 SA F1B MFC4000-N MFC3000 Salle de commandeStation de repliDiversLocal Technique de crise Maintenance MFC3000 Réseau S8000 CI Serveur Temps réel (CIS) x2x2 Serveur Historian Réseau salles de contrôle Niveau 3 GTW SA NC 1: safety network pour échanges F1B 2: MFC4000-N : Tëte de cellule pour I/O CE4000 (F2) 3 : Base de données temps réel sur RTOS 4: Suppression des fonctions OPC 5: Code sûr Controcad pour contrôles F1B 6 : Développements QDS 7: Carte actionneur 8: Segregation des réseaux entre divisions/classes de sûreté/lignes de défenses 9: Communication entre ilots 10: Amélioration sûreté du réseau S8000 11: Import dun chaine CAO externe 12: Fonctions IHM F2 13: Gateway pour catégorie A SPCC

9 CS Communication & Systèmes – Charte 2010 9 SW Architecture & Development process Cyclic /synchronous application deterministic connection to I/O SCADE based solution

10 CS Communication & Systèmes – Charte 2010 10 OS QDS.Architecture.SW (cyclic task SYNCHRONOUS APPROACH ) Loop Get I/O data Display data Process inputs Send I/O data end loop Display GPU OpenGL Renderer ComChip TCP/IP Driver Ntwk BUS Network ComChip os CPU Network Driver CPU/GPU GRAPHIC Driver CPU Application Task TouchScreen Trackball Keyboard Inputs Driver KB,Mouse, Touch inputs I/O Data, Status Commands Display Configuration

11 CS Communication & Systèmes – Charte 2010 11 SW Architecture based on SCADE + SCADE-Display

12 CS Communication & Systèmes – Charte 2010 12 RT Vizu of SW Spec

13 CS Communication & Systèmes – Charte 2010 13 Typical SW architecture for graphics

14 CS Communication & Systèmes – Charte 2010 14 Verification integration

15 CS Communication & Systèmes – Charte 2010 15 SCADE based Development Process One periodic task with 4 code units : OGLX library SCADE display code for HMI SCADE code Manual glue code Solution built by CS on Arinc 653 platform Allowing partitioned applications running on the same CPU Allowing safe and deterministic behaviour of each application Co-simulation – interactive HMI Mitigation of Project risks through prototyping Deterministic scheduling may impact response time?

16 CS Communication & Systèmes – Charte 2010 16 Qualifiable HMI Development Process using Scade-Display Incremental Approach : Capture & model requirement using Scade system (SysML: structured, semi-informal capture (state transition diagram, use cases,..)) Formal verification of associated state transition systems Automated translation of HMI automata to SCADE Display Early Co-Simulation (Scade-suite _ Scade Display) and formal validation for each new requirement Prototyping Support of incremental qualification : Automated non regression testing (mode batch) Automatic code generation from simulation to target

17 CS Communication & Systèmes – Charte 2010 17 QDS development Specifics RCC-E-2005 C 6342-2 : Les principaux utilisateurs de chaque groupe d'écrans doivent être consultés pour la définition des exigences de conception. C 6342-3: Exigences ergonomiques - CEl 61772 - § 4.4 " … Il convient que la surveillance, par des moyens informatisés, des fonctions classées de sûreté soit basée de préférence sur des images ou des graphiques." C 6342-3 : Conception et réalisation des images - lCEl 61772 - § 5 et annexe F - indique les principaux sujets à aborder et peut aider le concepteur à spécifier les exigences détaillées correspondantes. C 6342-5: Moyens de désignation C 6342-6: Moyens de navigation C 6343 : Autres exigences pour les moyens de conduite conventionnels IEC 61513 6.1.1.4: Interfaces avec les utilisateurs

18 CS Communication & Systèmes – Charte 2010 18 QDS Qualification Process

19 CS Communication & Systèmes – Charte 2010 19 QDS Qualification

20 CS Communication & Systèmes – Charte 2010 20 Différences RCC-E-2005/IEC 62138 et DO-178B pour le niveau C2 AMDECRequis au niveau logiciel – Analyse réalisée au niveau système dans le domaine aéronautique Analyse sécuritéRequis au niveau logiciel – Non requis au niveau logiciel ni dans lissue B (ni dans lissue C) du DO-178 Plans et standards Le PQL reprend les conclusions de lAMDEC et de lanalyse de sécurité. Le Plan de développement est inclus dans le PQL, notamment les moyens de sassurer de lefficacité des dispositions prises (conclusions AMDEC et Analyse de sécurité) y sont à décrire. Configuration Notion de dossier de fabrication à comparer avec lindex de configuration du logiciel et lindex de configuration de lenvironnement de développement complété des procédures dinstallation. Développement Découpage à priori entre logiciel "Application" et logiciel "Système". Le niveau de détail de la spécification est adaptable à la classe de sûreté. Les méthodes de spécification doivent être adaptées aux ingénieurs de "Fonctionnement". Transition entre phases obligatoire et formalisée pour tout niveau de sûreté. La phase de conception est explicitement composée dune phase CP et dune phase CD. La phase CD saccompagne de la fourniture des PTUs. Vérifications et Tests logiciels Deux Plans séparés (Plan DO-178B unique SVP) : Plan de Test et de Vérifications incluant un Plan dintégration, Plan de validation. Les Tests Unitaires sont obligatoires pour tous les modules logiciels à partir de C2. Indépendance (vis-à-vis de léquipe de réalisation) requise pour le niveau C2 pour lécriture des plans et non pour lexécution des tests. Pour C2, aucun critère darrêt des tests par atteinte dun pourcentage de couverture fonctionnelle et/ou structurel nest fixé par la norme. Ce pourcentage est à définir dans la stratégie de test (Plans) de chaque projet. Qualification (aspects logiciels) Constitution du référentiel pour la Qualification - équivalent à lélaboration du PSAC. Définition dun programme de Qualification préétabli - pas déquivalence DO-178B. Exécution du programme de Qualification- équivalent Audit de Certification. Etablissement du Compte-rendu de Qualification- équivalent Rapport dAudit. LIEC 62138 stipule pour les logiciels de catégorie B : " Si des langages orientés application sont disponibles, il convient de leur accorder la préférence. " " Il convient que les langages généralistes utilisés aient des caractéristiques facilitant lanalyse statique des programmes par des outils."

21 CS Communication & Systèmes – Charte 2010 21 Les principes et règles à adopter en vue de la Qualification (C2 au sens RCC-E-2005) Réaliser une AMDEC précise et détaillée Réaliser une analyse des menaces et des vulnérabilités pour les aspects logiciels de la sécurité (IEC 62138) Choisir un process de développement et les outils support pour atteindre le niveau C2 (ou catégorie B IEC 62138) – sassurer de la qualification des outils Etablir le référentiel pour la Qualification et définir le programme de Qualification Décrire le process et prendre en compte les conclusions de lAMDEC et les dispositions pour la sécurité dans le Plan Qualité Logiciel (PQL) puis faire pré-valider le PQL et le programme de Qualification (si possible) avant le démarrage du projet par lIRSN Définir les normes et règles de réalisation Réaliser des documents de spécification et de conception conformément aux normes et règles de réalisation retenues (granularité, précision, traçabilité des exigences, vérifiabilité, …) Définir une architecture dynamique dont la preuve de déterminisme est aisée à produire Concevoir des tests et produire des analyses en vue de démontrer la fiabilité et le déterminisme du système : Tests de robustesse vis-à-vis des modes de défaillance évalués par lAMDEC Tests de performances WCET (Worst Case Execution Time) – solution AIT dAbsint ou RAPITIME Documenter lensemble des preuves (résultats de tests et des analyses) et sassurer que lensemble des objectifs requis pour la qualification sont couverts par la documentation projet produite et par ces preuves formalisées

22 CS Communication & Systèmes – Charte 2010 22 Environnement de développement (suite) Solution intégrée avec Scade system Formalise les besoins recueillis Lintégration avec Scade Display-Scade suite facilite la traçabilité avec les besoins recueillis Utilisation de techniques de vérification formelle : Utilisation doutillage de Model-Checking – solution déployée par CS sur ATC pour Airbus Utilisation de Frama-C - solution déployée par CS sur projet spatial embarqué Nosyca Utilisation de process transverses éprouvés dans le domaine aéronautique : Traçabilité des artefacts de développement (DOORS et/ou Reqtify) : Besoins Spécification Design code Traçabilité artefacts de développement vs tests (DOORS et/ou Reqtify) : Besoins tests de validation système Spécification SW Tests de validation SW Architecture SW Tests dIntégration Conception Détaillée TU Gestion de configuration éprouvée et outillée (SVN) RT-RT pour les TU (solution déployée sur lensemble des systèmes Airbus certifiés) Chaîne de compilation fonction de la cible et de lOS retenus

23 CS Communication & Systèmes – Charte 2010 23 Possibilité offerte par la Simulation Scade Basée sur la ré-utilisation des scénarii déjà mis au point sur machine hôte en co-simulation le bénéfice est double : Couplée avec la couverture du modèle durant la simulation – les objectifs de vérification de la Conception sont satisfaits Les procédures de tests issus des scénarii mis au point permettent de satisfaire les objectifs de Validation Le passage dans lenvironnement de test est facilité par une passerelle qualifiée vers loutillage RT-RT

24 CS Communication & Systèmes – Charte 2010 24 Argumentaire QDS pour client final

25 CS Communication & Systèmes – Charte 2010 25 Points forts techniques de la solution outils utilisés qualifiés Scade-Display couplé à Scade-suite Code sûr généré automatiquement Solution intrinsèquement déterministe Capacité de mise au point rapide par co-simulation (Scade-suite – Scade Display) Rejeu en environnement Target des scénarii mis au point en simulation Maintenabilité facilitée par lapproche graphique Solution certifiée IEC 61508 et conforme à lIEC 60880 (et utilisée dans le projet LMC-MFD A400M certifiable DO-178B pour un niveau de criticité B – équivalent C2)

26 CS Communication & Systèmes – Charte 2010 26 QDS Exploitation & Maintenance Deterministtic Solution Simulation for validating changes/updates of HMI Replay in target environment of scénarii debugged in simulation Maintenability through graphical approach Solution certifiée IEC 61508 et conforme à lIEC 60880 (et utilisée dans le projet LMC-MFD A400M certifiable DO-178B pour un niveau de criticité B – équivalent C2)

27 CS Communication & Systèmes – Charte 2010 27 QDS FAQs & Issues SCADE toolset license costs? ~20-30K SCADE display vs Host OS SCADE limitations ( - Resources ) Max object displayabkes or Display on several screens Large displays? Refresh rate ( 300ms to 1s) How to verify that a given value is refreshed? SCADE perennity?

28 CS Communication & Systèmes – Charte 2010 28 Summary Solution allowing: SW Architecture HW indépendant qualifiable Maintenance Upstream simulation, automated porting on target environnement automation of verification procedures (tests) Fast Operation & Exploitation after updates Pérennity ?? HW independancy SCADE tooset? But C language

29 CS Communication & Systèmes – Charte 2010 29 Additional slides 4

30 CS Communication & Systèmes – Charte 2010 30 QDS SW Architecture

31 CS Communication & Systèmes – Charte 2010 31 Dev i S_CP Dev i S_CP Initialisation goInitDev Init maxD_log Dev 1 Dev 2 login i ackLog ( id ) operate (op) ackOper ( role ) logout i...... maxD_oper

32 CS Communication & Systèmes – Charte 2010 32 Safety & Control Integration

33 CS Communication & Systèmes – Charte 2010 33 ARINC 653 based Architecture

34 CS Communication & Systèmes – Charte 2010 34 ARINC 653 RTOS Architecture Priority-Preemptive Inside Partitions


Télécharger ppt "CS Communication & Systèmes – Charte 2010 1 QDS Technical Solution Outlines."

Présentations similaires


Annonces Google