Ecole Centrale de Lille/LAGIS (France) *ENSI de Tunis/SOIE (Tunisie) Diagnostic des systèmes embarqués critiques : Application à la carte de commande du système de freinage d’un train Saddem Ramla , Toguyéni Armand, Moncef Tagina* Ecole Centrale de Lille/LAGIS (France) {ramla.sadem|armand.toguyeni}@ec-lille.fr *ENSI de Tunis/SOIE (Tunisie) *moncef.tagina@ensi.rnu.tn TOGUYENI A. Diagnostic des systèmes embarqués critiques 22/03/2017 p 1
Introduction : contexte Composant DC1 DC2 R IRk 2/3 Ok IR2k IR1k O1k O2k DC3 IR3k O3k Système Reset clock -controller / FPGA Oik I1 I2 Il In TOGUYENI A. Diagnostic des systèmes embarqués critiques 22/03/2017 p 2 2
Plan Introduction Diagnostic des SED Construction d’un modèle comportemental Construction de diagnostiqueurs Implémentation répartie Conclusions et perspectives TOGUYENI A. Diagnostic des systèmes embarqués critiques 22/03/2017 p 3
Problématique (1) Contexte : Objectifs : Commande embarqué dans les trains Objectifs : Réduction du « Time to Market », Réduction des délais de rétrofite Réduction des coûts Favoriser le développement de nouvelles fonctionnalités Problématique Diagnostic SED Comportemental Diagnostiqueur Implémentation Conclusion TOGUYENI A. Diagnostic des systèmes embarqués critiques 22/03/2017 p 4
Problématique (2) Moyen Contraintes Objectif dérivé : Utilisation de COTS (Commercial Off-the-shelf) numériques (Micro-contrôleurs, FPGA, microprocesseurs) pour le contrôle-commande. Contraintes Normes de sécurité Objectif dérivé : Proposer une méthode efficace de diagnostic pour isoler en ligne la première défaillance des systèmes embarqués critiques. Problématique Diagnostic SED Comportemental Diagnostiqueur Implémentation Conclusion TOGUYENI A. Diagnostic des systèmes embarqués critiques 22/03/2017 p 5
Diagnostic des défaillances des SED (1) Problématique Objectif : Diagnostic des défaillances de la partie commande. Hypothèse : La partie opérative est supposée correcte. Diagnostic SED Partie Comande Partie Opérative Détection/Diagnostic comptes-rendus ordres Traitement des défaillances Défaillances Comportemental Diagnostiqueur Implémentation Conclusion TOGUYENI A. Diagnostic des systèmes embarqués critiques 22/03/2017 p 6
Diagnostic des défaillances des SED (2) Problématique Deux approches possibles : Approche chroniques ou Signatures Temporelles Causales [DER82], [TOG92], [DOU93] Approche diagnostiqueur Principale limite : explosion combinatoire Diagnostic SED E0 E2 E1 E4 E3 [10,12] [16,18] [14,14] [20,20] Graphe temporel E0 E2 E1 E4 E3 [10,12] [16,18] [14,14] [20,20] [6,6] [4,8] [2,4] [8,10] Comportemental Diagnostiqueur Implémentation Conclusion TOGUYENI A. Diagnostic des systèmes embarqués critiques 22/03/2017 p 7
Diagnostiqueur Un diagnostiqueur est un observateur auquel on a associé une fonction de décision afin d'évaluer si le système est dans un état normal ou défaillant. Un observateur modélise l’ensemble des comportements observables d’un système. les observateurs pour la reconnaissance d’états les observateurs pour la reconnaissance d’événements On peut faire des observateurs avec : Automates à états finis [SAM95] Réseaux de Petri [GIU 98][USH 98] Automates Temporisés [CAS 08] Problématique Diagnostic SED Comportemental Diagnostiqueur Implémentation Conclusion TOGUYENI A. Diagnostic des systèmes embarqués critiques 22/03/2017 p 8
Automate temporisé Un automate temporisé A est un tuple (L, ℓ0, X, S, E, Inv) avec : L est un ensemble fini d’états ℓ0 est l’état initial X est un ensemble fini d’horloges avec xi ÎÂ+ S est un ensemble fini d’actions E Í L × C(X) × S × 2X × L est un ensemble fini de transitions Inv Î C(X)L associe une contrainte à chaque état ; Un automate temporisé étend la notion d’automate à états finis. Le temps est ajouté par le biais d’horloge Deux types de contraintes temporelles : les invariants et les gardes Problématique Diagnostic SED Comportemental Diagnostiqueur Implémentation [x<5] l1 l2 [x<3] x>2, e , x:=0 Invariant Garde Conclusion TOGUYENI A. Diagnostic des systèmes embarqués critiques 22/03/2017 p 9
Construction du modèle comportemental (1) Problématique Pour construire le modèle comportemental d’une carte, on doit résoudre des contraintes : Independence vis à vis de l’application L’explosion combinatoire Formalisme à états Nombres entrées-sorties Diagnostic SED Comportemental Diagnostiqueur Implémentation Une piste : l’abstraction du comportement Conclusion TOGUYENI A. Diagnostic des systèmes embarqués critiques 22/03/2017 p 10
Construction du modèle comportemental (2) Problématique Découpler chaque sortie de la carte de commande et l’étudier séparément, Pour chaque sortie, ne pas considérer l’ensemble des entrées qui permettent de la générer mais considérer un signal de référence, Abstraire le comportement de chaque carte fille par rapport à une sortie Ok, à une spécification temporelle entre le signal de référence et la sortie. Diagnostic SED Comportemental Diagnostiqueur Implémentation Conclusion TOGUYENI A. Diagnostic des systèmes embarqués critiques 22/03/2017 p 11
Notion de signal de référence Etant donné une sortie Ok de la carte de commande, comment lui associer un signal de référence ? Exemple : Ok=f(Ix, Iy, Iz) Problématique Diagnostic SED wait-0 wait-1 wait-3 wait-4 wait-5 wait-6 RIK Ix / Iy/ Iz / Ix / Ix /RIk Iy / RIk wait-2 Iy / Iz / RIk Comportemental Diagnostiqueur Implémentation Conclusion TOGUYENI A. Diagnostic des systèmes embarqués critiques 22/03/2017 p 12
Abstraction temporelle du comportement Problématique RIk O1k 2 9 t O2k O3k 10 Ok 11 Cartes filles DCi Voteur 2/3 DC1 DC2 R RIk 2/3 Ok RI2k RI1k O1k O2k DC3 RI3k O3k Diagnostic SED Comportemental Diagnostiqueur Etat référent? Implémentation Conclusion TOGUYENI A. Diagnostic des systèmes embarqués critiques 22/03/2017 p 13 13
Abstraction du comportement normal du carte‘DCi’ Problématique Diagnostic SED RIk ; xi := 0 1 xi 2 ; Oik [xi 9] RIk Oik 2 9 t Comportemental Diagnostiqueur Implémentation Conclusion TOGUYENI A. Diagnostic des systèmes embarqués critiques 22/03/2017 p 14 14 14
Modèle comportemental d’une carte fille (1) Contexte : Modèle complet : prise en compte du comportement normal et défaillant Observation uniquement locale Problématique Diagnostic SED Comportemental RIk ; xi := 0 1 xi 2 ; Oik [xi 9] 3 4 fi [xi 9] 5 xi = 9 ; t ri Evénement locaux fi -> défaillance de DCi ri -> réparation de DCi t -> time-out Diagnostiqueur Implémentation Etat Normal Etat défaillant Conclusion TOGUYENI A. Diagnostic des systèmes embarqués critiques 22/03/2017 p 15 15 15
Modèle comportemental d’une carte fille (2) Contexte : Modèle complet : prise ne compte du comportement normal et défaillant Observation globale (prise en compte des événements observables des autres composants) Problématique Diagnostic SED Evts Description Observable ? Ok Sortie votée k Oui RIk Signal de référence de Ok Oik kème sortie de la carte i Ojk kème sortie de la carte j fi Défaillance de DCi Non Ri Réparation de DCi RIk ; xi := 0 5 1 2 4 Oik ; xi 2 Ok ; xi 10 [xi 9] fi [xi 11] 10 xi ; Ok Ojk 3 ri Comportemental Diagnostiqueur Implémentation Conclusion TOGUYENI A. Diagnostic des systèmes embarqués critiques 22/03/2017 p 16
Construction d’un diagnostiqueur (1) : approche standard Spécification du sous-système Etape 3: Déterminisation Etape 1 : Modélisation du sous-système Observateur Modèle comportemental complet avec observation globale S1 Modèle comportemental complet avec observation globale Sn Etape 4: Renseignement de l’observateur Etape 2 : Produit Synchrone Diagnostiqueur global du système Modèle comportemental global du système TOGUYENI A. Diagnostic des systèmes embarqués critiques 22/03/2017 p 17
Construction d’un diagnostiqueur (2) : approche standard 3 2 1 f1 f2 RIk; x1:=0 x2:=0 4 5 x1,2 9 6 7 8 O2k; x22 O1k; x12 RIk; x1:=0 ;x2:=0 9 10 O2k; x22 RIk; x1:=0; x2:=0 11 12 x1 9 x2 9 13 14 15 16 17 Ok; x110; x2 10 x1,2 11 Ok; 10x2 9 ; 10 x1 11 x1 11; Ok; 10x1,211 r2 r1 x2 11 12 Normal 16 F1 17 F2 9 F1&F2 TOGUYENI A. Diagnostic des systèmes embarqués critiques 22/03/2017 p 18
Construction d’un diagnostiqueur (3) : approche standard Problématique Taille du modèle d’une carte fille 6 états, 7 transitions Taille du modèle de comportement global 54 états, 97 transitions pour une sortie de la carte de commande Explosion combinatoire Besoin d’une nouvelle approche Diagnostic SED Comportemental Diagnostiqueur Implémentation Conclusion TOGUYENI A. Diagnostic des systèmes embarqués critiques 22/03/2017 p 19
Diagnostiqueur du système : 2 cartes filles r1 ; x1:=0, x2:=0 RIk; x1:=0; x2:=0 3 1 6 2x29 ; O2k x111; x211 10x111 , 10x211 Ok ; x1:=0, x2:=0 2x19 ; O1k 4 2x29; O2k 2x19; O1k 5 7 F1 F2 r2 ; x1:=0, x2:=0 8 Problématique Diagnostic SED Comportemental Diagnostiqueur Implémentation Conclusion TOGUYENI A. Diagnostic des systèmes embarqués critiques 22/03/2017 p 20
Construction d’un diagnostiqueur (4) : approche proposée Spécification du sous-système Etape 3: Renseignement de l’observateur Etape 1 : Modélisation du sous-système Diagnostiqueur local S1 Diagnostiqueur local Sn Modèle comportemental complet avec observation globale Etape 4: Produit Synchrone Etape 2: Déterminisation Diagnostiqueur global du système Observateur TOGUYENI A. Diagnostic des systèmes embarqués critiques 22/03/2017 p 21
Diagnostiqueur local (1/2) : déterminisation Fi 3 RIk ; xi := 0 Oj1 Fi RIk ; xi := 0 1 4 Ojk [xi 9] [xi 11] Oik; xi2 10 xi ; Ok 3 RIk ; xi := 0 Ok; xi 10 Fi 2 Ojk 5 [xi11] Ri Ojk RIk ; xi:=0 Ok; 10xi11 Fi 0,3 1 1,4 5 4 Ojk [xi 11] [xi 9] [xi 11] Ri 10 xi ; Ok Oik ; xi 2 Normal Ok ; xi 10 2 Incertain Ojk 5 [xi 11] F1 Ri TOGUYENI A. Diagnostic des systèmes embarqués critiques 22/03/2017 p 22
Diagnostiqueur local (2/3) : 1 carte fille Problématique Ri Diagnostic SED a RIk; xi := 0 d b c Oik; 2xi9 Ok; 10 xi 11 [xi 11] Ojk Comportemental Diagnostiqueur Normal Implémentation Incertain F1 Conclusion TOGUYENI A. Diagnostic des systèmes embarqués critiques 22/03/2017 p 23
Diagnostiqueur local (3/3) : 2 cartes filles <a,a> RIk; x1:=0; x2:=0 <c,b> 1 <b,b> <b,c> 2x29 ; O2k x111; x211 10x111 , 10x211 Ok ; x1:=0, x2:=0 2x19 ; O1k 4 <c,c> 2x29; O2k 2x19; O1k <a,d> <d,a> F1 F2 r2 ; x1:=0, x2:=0 r1 ; x1:=0, x2:=0 <d,d> Problématique Diagnostic SED Comportemental Diagnostiqueur Implémentation Conclusion TOGUYENI A. Diagnostic des systèmes embarqués critiques 22/03/2017 p 24
Diagnostiqueur global : 3 cartes filles a1 a2 a3 RIk; x1:=0 ; x2:=0; x3:=0 b1 b2 b3 O1; 10x111 10x211 10x311 x111 x211 x311 d1 d2 d3 c1 b2 b1 c2 c3 c1 c2 a1 d2 d1 a2 O1k; 2x19 O2k; 2x29 O3k; 2x39 Ok; 10x111 F2 & F3 F1 & F2 & F3 F3 F2 F1 F1 & F3 F1 & F2
Implémentation répartie (1) Modèle global du système Observateur local i Observateur local k Diagnostiqueur local i Diagnostiqueur localk Coordinateur décision i décision k décision Décentralisée Modèle local i Modèle local k Observateur local i Observateur local k Diagnostiqueur local i Diagnostiqueur local k Décideur i Décideur k protocole de communication pour propager les décisions des voisins décision Distribuée TOGUYENI A. Diagnostic des systèmes embarqués critiques 22/03/2017 p 26
Implémentation répartie (2) Problématique Modèle local i Modèle local k Observateur global/{Fi} Observateur global/{Fk} Diagnostiqueur global/{Fi} Diagnostiqueur global/{Fk} décision/{Fi} décision/{Fk} Diagnostic SED Comportemental Diagnostiqueur Implémentation Conclusion TOGUYENI A. Diagnostic des systèmes embarqués critiques 22/03/2017 p 27
Conclusions et perspectives L’approche diagnostiqueur est possible pour la surveillance des cartes électroniques Il est possible de limiter l’explosion combinatoire Découplage des sorties, abstraction de comportement, observation globale … Possibilité de mise en œuvre répartie Chaque diagnostiqueur s’occupe d’une partition des défaillances Pas d’ambigüité Perspectives Diagnostic de plusieurs défaillances Couplage avec le graphe fonctionnel pour l’isolation Problématique Diagnostic SED Comportemental Diagnostiqueur Implémentation Conclusion TOGUYENI A. Diagnostic des systèmes embarqués critiques 22/03/2017 p 28
Merci pour votre attention …. Diagnostic des systèmes embarqués critiques : Application à la carte de commande du système de freinage d’un train Merci pour votre attention …. TOGUYENI A. Diagnostic des systèmes embarqués critiques 22/03/2017 p 29