Cycle de formation MAGELLAN Etablissements CORA Systèmes embarqués Enjeux – Perspectives Systèmes électroniques embarqués dans l’automobile  15 mars 2005 Françoise Simonot-Lion (http://www.loria.fr/~simonot) Ecole Nationale Supérieure des Mines de Nancy LORIA (UMR 7503) – Projet INRIA TRIO

Exemples de systèmes embarqués Disappearing computers Systèmes ambiants Formation Magellan 15 mars 2005

Plan Généralités - Définitions Caractéristiques générales Systèmes embarqués dans l’automobile Contexte général Problématique Domaines Problèmes ouverts Standards Réglementation – « X-by-Wire » Conclusions Development process - Reference models à citer explicitement Formation Magellan 15 mars 2005

 Plan Généralités - Définitions Caractéristiques générales Systèmes embarqués dans l’automobile Contexte général Problématique Domaines Problèmes ouverts Standards Réglementation – « X-by-Wire » Conclusions Development process - Reference models à citer explicitement Formation Magellan 15 mars 2005

Définition Système embarqué : appareillage remplissant une mission spécifique en utilisant un ou plusieurs microprocesseurs (boîte noire) Électronique numérique, microprocesseurs, calculateurs, … Logiciels Formation Magellan 15 mars 2005

Système embarqué vs Autonomie Système embarqué (définition alternative) : (ensemble d’) unité(s) de traitement possédant une certaine autonomie Autonomie de fonctionnement {processeurs, mémoires, réseaux, entrées-sorties, logiciels + source d’énergie} Exemple : téléphone portable Autonomie fonctionnelle fourniture de services sans sollicitation à d’autres systèmes Exemple : calculatrice Systèmes embarqués à autonomie fonctionnelle partielle Exemple : système électronique embarqué dans l’automobile « smart fridge » Formation Magellan 15 mars 2005

Quelques données générales 1990 2000 applications industrielles / militaires / aéronautiques applications grand public 2004 marché des systèmes embarqués supérieur au marché des architectures clients / serveurs + PC 2004 le citoyen de pays développé utilise quotidiennement, de manière transparente, en moyenne 100 processeurs Formation Magellan 15 mars 2005

Un essai de classification Systèmes collectifs : large communauté d’individus (centrale nucléaire, avion, train, …) 1, 10, 100, … durée de vie longue – durée de développement longue Contraintes de sûreté fortes Coût élevé Systèmes personnels : individu, groupe d’individus (téléphone, agenda électronique, pacemaker, produits blancs, produits bruns, automobile, …) 1 000, 1 000 000, … grand public durée de vie courte – « time to market » très court Contraintes de sûreté plus ou moins fortes Coût accessible à un particulier Formation Magellan 15 mars 2005

 Plan Généralités - Définitions Caractéristiques générales Systèmes embarqués dans l’automobile Contexte général Problématique Domaines Problèmes ouverts Standards Réglementation – « X-by-Wire » Conclusions  Development process - Reference models à citer explicitement Formation Magellan 15 mars 2005

Caractéristiques générales (1/9) Complexité des systèmes et services du nombre de services fournis par le système Exemple : téléphone, … de la mission des systèmes (cf. authentification, calculs numériques, navigation / Internet, …) Exemple : agendas électroniques, systèmes de contrôle de suspension dans une automobile, … Formation Magellan 15 mars 2005

Caractéristiques générales (2/9) Complexité des architectures informatiques de la puissance et de la complexité d’architecture des processeurs architectures RISC, pipe-line, DSP, … répartition des services sur plusieurs calculateurs communicants par des bus locaux, réseaux locaux, réseaux sans fil, … exemple : équipements de téléphonie autour de Bluetooth, … Formation Magellan 15 mars 2005

Caractéristiques générales (3/9) Systèmes interagissant … Intégration de services fournis en local + services distants Exemple : téléphone, aide à la navigation par GPS, « cartes à puces », … autonomie fonctionnelle Formation Magellan 15 mars 2005

Caractéristiques générales (4/9) Cycle de renouvellement des produits 30 … ans  Diminution des temps de conception 3 à 5 ans 1 à 2 ans 1 an 6 mois Formation Magellan 15 mars 2005

Caractéristiques générales (5/9) Complexité de conception Plusieurs acteurs impliqués dans le développement Fournisseurs de matériels Fournisseurs de logiciels (drivers, OS, librairies, …) Systèmes embarqués (robot) contenant des systèmes embarqués (commande d’axe) Formation Magellan 15 mars 2005

Caractéristiques générales (6/9) Complexité de conception Production artisanale  « Automatisation » de la production Systèmes « dédiés » Matériel + logiciel spécifiquement développés Systèmes « programmables » Applications diverses / systèmes divers construits sur une technologie commune Réutilisation de composants Reconfiguration des systèmes au cours de leur vie Formation Magellan 15 mars 2005

Caractéristiques générales (7/9) « Business model » – métiers client fournisseurs client = fournisseurs = … Expression des besoins ? Propriété intellectuelle ? Responsabilité ? Validation ? client fournisseur fournisseur client … Formation Magellan 15 mars 2005

Caractéristiques générales (8/9) Validation : sûreté versus qualité Risques supportés / satisfaction + confiance des utilisateurs Deux aspects imbriqués : Sûreté de fonctionnement (dependability) Qualité de service Fiabilité Disponibilité Maintenabilité … Sécurité confidentialité Sécurité innocuité Qualité du service telle que perçue par l’utilisateur Performances Formation Magellan 15 mars 2005

Caractéristiques générales (9/9) Paradigmes de conception « design for cost » « design for performance » « design for safety » … Un challenge : la certification contexte de réglementation standards procédure de certification organismes de certification Formation Magellan 15 mars 2005

 Plan Généralités - Définitions Caractéristiques générales Systèmes embarqués dans l’automobile Contexte général Problématique Domaines Problèmes ouverts Standards Réglementation – « X-by-Wire » Conclusions  Development process - Reference models à citer explicitement Formation Magellan 15 mars 2005

Contexte général (1/6) Production de véhicules 40 millions (1998)  60 millions (2010) Coût des systèmes électroniques embarqués 37 000 M$ (1995)  60 000 M$ (2000) Coût de l’électronique embarquée Coût du véhicule > 20% Croissance etn embarquée : +10% Coût de l’etn > coût du groupe moto-propulseur Part du logiciel : croissance exponentielle (10MO en 2004) Logiciel 1,1 KBytes (1980)  2MBytes (2000)  10MBytes (2004) Formation Magellan 15 mars 2005

Contexte Général (2/6) Extrait de la présentation de Joseph Beretta / PSA - 16 et 17 Juin 2003 – http://www.systemes-critiques.org/SECC/ Intégration et maturité des systèmes électriques & électroniques Génèse de l’électronique automobile Prolifération de l’électronique Électricité de base % du coût de l ’électronique dans le véhicule 35 Multimédia, Soupapes électromagnétiques Télématique, alternodémarreurGestion d’énergie 30 GMP 25 Multiplexage, ABS 20 Injection électronique Régulateur de vitesse 15 Allumage électronique Alternateur 10 Lampes, radio, démarreur, dynamo 5 1920 1940 1960 1980 2000 2010 Formation Magellan 15 mars 2005

Technologie logicielle Contexte Général (3/6) Lois sur le niveau d’émission de gaz d’échappement Demande du client final Demande du constructeur Confort Sécurité Coût nouveaux services Time to market Coût développés facilement 90% innovation par l’électronique embarquée chez Daimler Chrysler Customer requirements : la voiture communicante – intelligente (anti collision ….) Technologie logicielle Formation Magellan 15 mars 2005

Contexte Général (4/6) coût des composants matériels performance et fiabilité des composants matériels loi de Moore domaine automobile versus composants électroniques Customer requirements : la voiture communicante – intelligente (anti collision ….) Formation Magellan 15 mars 2005

Contexte Général (5/6) Composants électroniques et le contexte automobile Puissance des processeurs Taille des circuits imprimés GHz mm 3,4GHz 1 300 125mm 0,1 100 56MHz 80mm Customer requirements : la voiture communicante – intelligente (anti collision ….) 1992 2000 2004 2008 1992 2000 2004 2008 Composants électroniques Composants électroniques dans l’automobile Formation Magellan 15 mars 2005

Contexte Général (6/6) Émergence des réseaux et instruments de terrain Réduction de câblage 40% poids pour une portière Mercedes 41% de longueur de câble entre les Peugeot 306 et 307 Partage des capteurs Amélioration des fonctions disponibilités d’informations sur l’état des autres systèmes embarqués évolutivité des systèmes embarqués (« plug and play ») Customer requirements : la voiture communicante – intelligente (anti collision ….) Formation Magellan 15 mars 2005

 Plan Généralités - Définitions Caractéristiques générales Systèmes embarqués dans l’automobile Contexte général Problématique Domaines Problèmes ouverts Standards Réglementation – « X-by-Wire » Conclusions  Development process - Reference models à citer explicitement Formation Magellan 15 mars 2005

Problématique (1/5) Complexité fonctionnelle Lois de contrôle multi-variables Modes de fonctionnement Interactions entre les fonctions Fonctions critiques :sécurité – fiabilité – disponibilité performances / contraintes de temps Fonctions critiques : importantes pour la sécurité – dont la SdF doit être garantie. Interactions entre fonctions (motor controller / wheel controller – steering controller / ABS (Braking assistance – IHM / motor controller informatif uniquement- climate controller / motor controller)) Formation Magellan 15 mars 2005

PSA communication service Problématique (2/5) Complexité architecturale Fonctions critiques Architecture de communication complexe Airbags Doors Steering Wheel -ctl ABS Power Train A-C Radio ... Amplifier Chassis - Power Train Network ISU Comfort Network Body Network Calculateurs Calculateurs hétérogènes Réseaux hétérogènes PSA communication service Formation Magellan 15 mars 2005

PSA communication service Problématique (3/5) Complexité architecturale Nombre de réseaux 3 (voiture de gamme moyenne)  10 (VW Phaeton) Nombre de calculateurs ~30 (voiture de gamme moyenne), 61 (VW Phaeton), 70 (BMW Séries 7)  80 dans les modèles haut de gamme DC Nombre d’informations échangées au sein du véhicule ~2500 (VW Phaeton) Calculateurs hétérogènes Réseaux hétérogènes PSA communication service Formation Magellan 15 mars 2005

Problématique (4/5) Complexité architecturale Extrait de la présentation de Joseph Beretta / PSA 16 et 17 Juin 2003 http://www.systemes-critiques.org/SECC/ Complexité architecturale A340 = ?? Taille mémoire A330 = 12 Mo MULTIMEDIA 10Mo A320 = 5 Mo 607 Peugeot = 2 Mo. 1Mo Airbus Automobile. Augmentation de la taille du code 100Ko A300 = 23 Ko 10Ko Calculateurs hétérogènes Réseaux hétérogènes 1Ko CX Citroën = 1,1 Ko. 1970 1980 1990 2000 2010 Formation Magellan 15 mars 2005

Problématique (5/5) Développement Coût d’une étude Coût d’une piece plusieurs millions d’euros Coût d’une piece 40/80 Euros Développement Partagé entre plusieurs acteurs Équipementiers (« suppliers » / « subcontractors ») / rang 1 / rang 2 Constructeurs Interactions entre partenaires Boîtes noires / Boîtes blanches / Boîtes grises Propriétés intellectuelles (IP) Processus Top - Down Bottom - Up (réutilisabilité) Standards Services et maintenance à assurer pendant ~15 ans Sous contraintes Coût Qualité Variantes Sécurité Formation Magellan 15 mars 2005

 Plan Généralités - Définitions Caractéristiques générales Systèmes embarqués dans l’automobile Contexte général Problématique Domaines Problèmes ouverts Standards Réglementation – « X-by-Wire » Conclusions  Development process - Reference models à citer explicitement Formation Magellan 15 mars 2005

Domaine moto-propulseur (Powertrain) Peu de variantes Pédale d’accélérateur de frein Agrément de conduite Consommation Pollution Contrôleur A-C Contrôleur ESP … Contrôle-commande du moteur Lois de contrôle complexes Multi-tâches instants d’échantillonnage / temps moteur (~ 0,1ms.) périodiques (~ 1 à 5ms) Contraintes de temps strictes Échéances Fraîcheur / promptitude Importante puissance de calcul (coprocesseurs, mP 16/32 bits, DSP, …) Formation Magellan 15 mars 2005

Lois de contrôle complexes Domaine Chassis Peu de variantes Colonne de direction Pédale de frein Forces sol air Contrôle-commande des roues, de la suspension, … (ABS – ESP – ASC – 4WD - …) Lois de contrôle complexes autres systèmes Sécurité X-by-Wire Importante puissance de calcul (coprocesseurs) Multi-tâches périodes d’échantillonnage différentes (0,1 ms 100ms.) Distribution Contraintes de temps strictes ABS Antilock Braking System ESP Electronic Stability Program ASC – Automatic Stability Control 4WD – 4 wheel drive Formation Magellan 15 mars 2005

Domaine Carosserie (Body) Conducteur Passagers Variantes nombreuses Systèmes réactifs Fonctions nombreuses Wipers Lights Doors Windows Seats Mirrors … Central Body Electronic Autres domaines Entité critique Tolérance aux fautes Contraintes de temps temps de réponse, cohérence temporelle Ordonnancement optimal des tâches Réactivité Conception incrémentale Sous-système mécatronique Système distribué hiérarchisé s a LIN ISU – BSI = coeur du domaine Body Set of mechatronic subsystems PSA communication service Formation Magellan 15 mars 2005

Interface Homme-Machine Applications multimédia Domaine Télématique Nombreuses variantes (hors domaine) Conducteur Passagers Internet GPS Télédiagnostic … Interface Homme-Machine Voiture communicante Applications multimédia Equipements « upgradable » Applications « upgradable » Téléchargement Conception « Plug and Play » Constraintes de sécurité Partage de ressources « Fluid data streams » Bande passante QoS multimedia Formation Magellan 15 mars 2005

Caractéristiques des domaines Garantie en moyenne Caractéristiques des domaines Garantie stricte de sûreté et qualité Applications type Contraintes Modèles Power train Systèmes continus Temps réel dur Matlab/Simulink Chassis Temps réel dur (sécurité – innocuité)) Body Systèmes à événements discrets Temps réel State machine (SDL, Statecharts) Telematic - HMI Traitement de données multimédia Temps réel souple (sécurité–confidentialité) XML, HTML, … Formation Magellan 15 mars 2005

 Plan Généralités - Définitions Caractéristiques générales Systèmes embarqués dans l’automobile Contexte général Problématique Domaines Problèmes ouverts Standards Réglementation – « X-by-Wire » Conclusions  Development process - Reference models à citer explicitement Formation Magellan 15 mars 2005

Informatique embarquée – problèmes ouverts Développement de standards Réglementation (X-by-Wire) Configuration - intégration Formation Magellan 15 mars 2005

Développement de standards Pourquoi ? Composants dédiés  Système Optimisation de ressources, flexibilité, réutilisabilité, portabilité Approches Standardiser les architectures de calculateurs identifier les composants standardiser les interfaces d’utilisation des composants Standardiser les données échangées diagnostic données capteurs Langage de description des architectures Formation Magellan 15 mars 2005

Exemple d’architecture standardisée ECU Network Application software component Hardware Abstraction Layer (IO Library) IO drivers Local sensor/actuator data base server Sensors Actuators Operating System (software components) Middleware Communication layer Driver (CAN, LIN, …) Formation Magellan 15 mars 2005

Exemple de langages de description des architectures AIL_Transport (projet Architecture Electronique Embarquée AEE) EAST – ADL (projet européen ITEA EAST-EEA) Pour mémoire, dans l’aéronautique : AADL COTRE Formation Magellan 15 mars 2005

Rôle d’un langage de description des architectures Outil-Validation Outil - Gén. test Outil Spécification développement Spécification système Conception Système Validation Intégration Testeur Outil - Validation Outil - placement Outil - Evaluation de performances Outil-calibration Code Analyseur de code Générateur de code Description d’architecture Langage de description d’architecture Formation Magellan 15 mars 2005

Réglementation Pourquoi une réglementation ? fiabilité des systèmes électroniques non maîtrisée actuellement, environnement agressif et mal connu, avènement des systèmes X-by-Wire pour des fonctions liées à la sécurité Formation Magellan 15 mars 2005

Sûreté de fonctionnement des architectures électroniques embarquées dans l’automobile Quelques éléments de comparaison entre l’avionique et l’automobile (source P. Koopmann – Carnegie Mellon) Automobiles (USA) Avions commerciaux (USA) Unités déployées Heures opérationnelles / an Coût par véhicule Mortalité / an Accidents / an Mortalité / million d’heures Qualification des opérateurs Niveau de redondance 100 000 000 30 000 millions 20 000 $ 42 000 21 millions 0,71 Faible Uniquement sur les freins 10 000 55 millions 65 millions $ 350 170 6,4 Élevée Tout système critique Formation Magellan 15 mars 2005

Sûreté de fonctionnement des architectures électroniques embarquées dans l’automobile Pourquoi ne pas utiliser les mêmes approches dans l’automobile et l’avionique ? (source P. Koopmann – Carnegie Mellon) Redondance massive du matériel ? espace, poids, coût Logiciel sans faute ? 10 nouvelles fonctions / mois 200 fonctions  800 fonctions sur 25 calculateurs Maintenance non systématisée – qualité des véhicules Démarrage avec un réservoir presque vide, une niveau d’huile critique Ignorance des indicateurs (huile, …) Les vieux véhicules continuent à rouler Opérateurs Non qualifiés Pas de contrôle annuel … coûteux Formation Magellan 15 mars 2005

Probabilité d’occurrence d’une défaillance en une heure <= 10 -9 Sûreté de fonctionnement des architectures électroniques embarquées dans l’automobile Réglementation Rien pour l’instant aux niveaux nationaux ou internationaux – des préconisations internes TüV Certification Standardisation DO 178B (aéronautique) EN 50128 (transports ferroviaires) MISRA IEC 61 508 Définition de niveau de criticité (Safety Integrity Level SIL1, … SIL4) Probabilité d’occurrence d’une défaillance en une heure <= 10 -9 Formation Magellan 15 mars 2005

Système X-by-Wire et sûreté de fonctionnement « Brake by Wire » poids, confort, souplesse, suppression de liquides polluants, Système électronique capteurs, actionneurs, calculateurs, logiciels, réseaux Frein (actionneur) Pédale de frein PSA communication service Formation Magellan 15 mars 2005

Système X-by-Wire et sûreté de fonctionnement « Steer by Wire » sécurité, poids, confort, souplesse 1 Des fonctions critiques implantées sur des calculateurs connectés sur des réseaux de communication Crédit photographique PSA Peugeot - Citroën Formation Magellan 15 mars 2005

Sûreté des applications X-by-Wire Les systèmes de direction ou freinage « tout électronique » sont des systèmes critiques pour la sécurité System Integrity Level (SIL) 4 Probabilité d’avoir une défaillance en une heure < 10-9 Comment garantir / vérifier cette propriété sur une architecture opérationnelle ? Formation Magellan 15 mars 2005

Sûreté des applications X-by-Wire Probabilité d’avoir une défaillance en une heure < 10-9 Architecture matérielle Prise en compte des fautes transitoires (perturbations électromagnétiques, surcharges, …) affectant le système électronique Temps de réponse du système Temps de réponse du système électronique Aspects dynamiques Formation Magellan 15 mars 2005

Sûreté des applications X-by-Wire Changement d’angle volant Réaction souhaitée temps Position axe de direction Réaction réelle retard « mécanique » retard « électronique » Formation Magellan 15 mars 2005

Sûreté des applications X-by-Wire Retard « électronique » t Évolution de l’angle volant Calculateur angle volant Réseau Calculateur crémaillère Retard Formation Magellan 15 mars 2005

Sûreté des applications X-by-Wire Retard « électronique » sous perturbations t radar Évolution de l’angle volant Calculateur angle volant Réseau Calculateur crémaillère ???? Retard Formation Magellan 15 mars 2005

 Plan Généralités - Définitions Caractéristiques générales Systèmes embarqués dans l’automobile Contexte général Problématique Domaines Problèmes ouverts Standards Réglementation – « X-by-Wire » Conclusions Development process - Reference models à citer explicitement  Formation Magellan 15 mars 2005

En guise de conclusions Les systèmes embarqués sont omniprésents à l’heure actuelle, interagissent au sein de systèmes plus vastes Les challenges : coût, performances, qualité réglementations, responsabilités, sûreté : disponibilité, fiabilité, sécurité-innocuité, sécurité-confidentialité, maîtrise de leur développement, de leur évaluation logiciels prépondérants + systèmes (environnement, matériels)  nouveaux métiers pour les informaticiens Formation Magellan 15 mars 2005

Quelques pointeurs Projet européen ITEA EAST-EEA (2001/2004) http://www.east-eea.net/ Projet industriel international AUTOSAR (2004/2006) http://www.autosar.org/ Quelques bons papiers Expanding Automotive Electronic Systems – G. Leen, D. Heffernan, IEEE Computer Society, janvier 2002. Les systèmes électroniques embarqués, un enjeu majeur pour l’automobile - J. Beretta - PSA Peugeot-Citroen, journées de réflexion et de prospective sur les systèmes embarqués, juin 2003, http://www.systemes-critiques.org/SECC/ Sans vouloir faire de publicité : travaux du LORIA (projet TRIO) http://www.loria.fr/equipes/TRIO/ Formation Magellan 15 mars 2005