Ecole Centrale de Lille/LAGIS (France) *ENSI de Tunis/SOIE (Tunisie)

Présentation au sujet: "Ecole Centrale de Lille/LAGIS (France) *ENSI de Tunis/SOIE (Tunisie)"— Transcription de la présentation:

1 Ecole Centrale de Lille/LAGIS (France) *ENSI de Tunis/SOIE (Tunisie)
Diagnostic des systèmes embarqués critiques : Application à la carte de commande du système de freinage d’un train Saddem Ramla , Toguyéni Armand, Moncef Tagina* Ecole Centrale de Lille/LAGIS (France) *ENSI de Tunis/SOIE (Tunisie) TOGUYENI A. Diagnostic des systèmes embarqués critiques 22/03/2017 p 1

2 Introduction : contexte
Composant DC1 DC2 R IRk 2/3 Ok IR2k IR1k O1k O2k DC3 IR3k O3k Système Reset clock -controller / FPGA Oik I1 I2 Il In TOGUYENI A. Diagnostic des systèmes embarqués critiques 22/03/2017 p 2 2

3 Plan Introduction Diagnostic des SED
Construction d’un modèle comportemental Construction de diagnostiqueurs Implémentation répartie Conclusions et perspectives TOGUYENI A. Diagnostic des systèmes embarqués critiques 22/03/2017 p 3

4 Problématique (1) Contexte : Objectifs :
Commande embarqué dans les trains Objectifs : Réduction du « Time to Market », Réduction des délais de rétrofite Réduction des coûts Favoriser le développement de nouvelles fonctionnalités Problématique Diagnostic SED Comportemental Diagnostiqueur Implémentation Conclusion TOGUYENI A. Diagnostic des systèmes embarqués critiques 22/03/ p 4

5 Problématique (2) Moyen Contraintes Objectif dérivé :
Utilisation de COTS (Commercial Off-the-shelf) numériques (Micro-contrôleurs, FPGA, microprocesseurs) pour le contrôle-commande. Contraintes Normes de sécurité Objectif dérivé : Proposer une méthode efficace de diagnostic pour isoler en ligne la première défaillance des systèmes embarqués critiques. Problématique Diagnostic SED Comportemental Diagnostiqueur Implémentation Conclusion TOGUYENI A. Diagnostic des systèmes embarqués critiques 22/03/2017 p 5

6 Diagnostic des défaillances des SED (1)
Problématique Objectif : Diagnostic des défaillances de la partie commande. Hypothèse : La partie opérative est supposée correcte. Diagnostic SED Partie Comande Partie Opérative Détection/Diagnostic comptes-rendus ordres Traitement des défaillances Défaillances Comportemental Diagnostiqueur Implémentation Conclusion TOGUYENI A. Diagnostic des systèmes embarqués critiques 22/03/2017 p 6

7 Diagnostic des défaillances des SED (2)
Problématique Deux approches possibles : Approche chroniques ou Signatures Temporelles Causales [DER82], [TOG92], [DOU93] Approche diagnostiqueur Principale limite : explosion combinatoire Diagnostic SED E0 E2 E1 E4 E3 [10,12] [16,18] [14,14] [20,20] Graphe temporel E0 E2 E1 E4 E3 [10,12] [16,18] [14,14] [20,20] [6,6] [4,8] [2,4] [8,10] Comportemental Diagnostiqueur Implémentation Conclusion TOGUYENI A. Diagnostic des systèmes embarqués critiques 22/03/2017 p 7

8 Diagnostiqueur Un diagnostiqueur est un observateur auquel on a associé une fonction de décision afin d'évaluer si le système est dans un état normal ou défaillant. Un observateur modélise l’ensemble des comportements observables d’un système. les observateurs pour la reconnaissance d’états les observateurs pour la reconnaissance d’événements On peut faire des observateurs avec : Automates à états finis [SAM95] Réseaux de Petri [GIU 98][USH 98] Automates Temporisés [CAS 08] Problématique Diagnostic SED Comportemental Diagnostiqueur Implémentation Conclusion TOGUYENI A. Diagnostic des systèmes embarqués critiques 22/03/2017 p 8

9 Automate temporisé Un automate temporisé A est un tuple (L, ℓ0, X, S, E, Inv) avec : L est un ensemble fini d’états ℓ0 est l’état initial X est un ensemble fini d’horloges avec xi ÎÂ+ S est un ensemble fini d’actions E Í L × C(X) × S × 2X × L est un ensemble fini de transitions Inv Î C(X)L associe une contrainte à chaque état ; Un automate temporisé étend la notion d’automate à états finis. Le temps est ajouté par le biais d’horloge Deux types de contraintes temporelles : les invariants et les gardes Problématique Diagnostic SED Comportemental Diagnostiqueur Implémentation [x<5] l1 l2 [x<3] x>2, e , x:=0 Invariant Garde Conclusion TOGUYENI A. Diagnostic des systèmes embarqués critiques 22/03/2017 p 9

10 Construction du modèle comportemental (1)
Problématique Pour construire le modèle comportemental d’une carte, on doit résoudre des contraintes : Independence vis à vis de l’application L’explosion combinatoire Formalisme à états Nombres entrées-sorties Diagnostic SED Comportemental Diagnostiqueur Implémentation Une piste : l’abstraction du comportement Conclusion TOGUYENI A. Diagnostic des systèmes embarqués critiques 22/03/2017 p 10

11 Construction du modèle comportemental (2)
Problématique Découpler chaque sortie de la carte de commande et l’étudier séparément, Pour chaque sortie, ne pas considérer l’ensemble des entrées qui permettent de la générer mais considérer un signal de référence, Abstraire le comportement de chaque carte fille par rapport à une sortie Ok, à une spécification temporelle entre le signal de référence et la sortie. Diagnostic SED Comportemental Diagnostiqueur Implémentation Conclusion TOGUYENI A. Diagnostic des systèmes embarqués critiques 22/03/2017 p 11

12 Notion de signal de référence
Etant donné une sortie Ok de la carte de commande, comment lui associer un signal de référence ? Exemple : Ok=f(Ix, Iy, Iz) Problématique Diagnostic SED wait-0 wait-1 wait-3 wait-4 wait-5 wait-6 RIK Ix / Iy/ Iz / Ix / Ix /RIk Iy / RIk wait-2 Iy / Iz / RIk Comportemental Diagnostiqueur Implémentation Conclusion TOGUYENI A. Diagnostic des systèmes embarqués critiques 22/03/2017 p 12

13 Abstraction temporelle du comportement
Problématique RIk O1k 2 9 t O2k O3k 10 Ok 11 Cartes filles DCi Voteur 2/3 DC1 DC2 R RIk 2/3 Ok RI2k RI1k O1k O2k DC3 RI3k O3k Diagnostic SED Comportemental Diagnostiqueur Etat référent? Implémentation Conclusion TOGUYENI A. Diagnostic des systèmes embarqués critiques 22/03/2017 p 13 13

14 Abstraction du comportement normal du carte‘DCi’
Problématique Diagnostic SED RIk ; xi := 0 1 xi  2 ; Oik [xi  9] RIk Oik 2 9 t Comportemental Diagnostiqueur Implémentation Conclusion TOGUYENI A. Diagnostic des systèmes embarqués critiques 22/03/2017 p 14 14 14

15 Modèle comportemental d’une carte fille (1)
Contexte : Modèle complet : prise en compte du comportement normal et défaillant Observation uniquement locale Problématique Diagnostic SED Comportemental RIk ; xi := 0 1 xi  2 ; Oik [xi  9] 3 4 fi [xi  9] 5 xi = 9 ; t ri Evénement locaux fi -> défaillance de DCi ri -> réparation de DCi t -> time-out Diagnostiqueur Implémentation Etat Normal Etat défaillant Conclusion TOGUYENI A. Diagnostic des systèmes embarqués critiques 22/03/2017 p 15 15 15

16 Modèle comportemental d’une carte fille (2)
Contexte : Modèle complet : prise ne compte du comportement normal et défaillant Observation globale (prise en compte des événements observables des autres composants) Problématique Diagnostic SED Evts Description Observable ? Ok Sortie votée k Oui RIk Signal de référence de Ok Oik kème sortie de la carte i Ojk kème sortie de la carte j fi Défaillance de DCi Non Ri Réparation de DCi RIk ; xi := 0 5 1 2 4 Oik ; xi  2 Ok ; xi  10 [xi  9] fi [xi  11] 10  xi ; Ok Ojk 3 ri Comportemental Diagnostiqueur Implémentation Conclusion TOGUYENI A. Diagnostic des systèmes embarqués critiques 22/03/2017 p 16

17 Construction d’un diagnostiqueur (1) : approche standard
Spécification du sous-système Etape 3: Déterminisation Etape 1 : Modélisation du sous-système Observateur Modèle comportemental complet avec observation globale S1 Modèle comportemental complet avec observation globale Sn Etape 4: Renseignement de l’observateur Etape 2 : Produit Synchrone Diagnostiqueur global du système Modèle comportemental global du système TOGUYENI A. Diagnostic des systèmes embarqués critiques 22/03/2017 p 17

18 Construction d’un diagnostiqueur (2) : approche standard
3 2 1 f1 f2 RIk; x1:=0 x2:=0 4 5 x1,2  9 6 7 8 O2k; x22 O1k; x12 RIk; x1:=0 ;x2:=0 9 10 O2k; x22 RIk; x1:=0; x2:=0 11 12 x1  9 x2  9 13 14 15 16 17 Ok; x110; x2 10 x1,2  11 Ok; 10x2  9 ; 10 x1  11 x1  11; Ok; 10x1,211 r2 r1 x2  11 12 Normal 16 F1 17 F2 9 F1&F2 TOGUYENI A. Diagnostic des systèmes embarqués critiques 22/03/2017 p 18

19 Construction d’un diagnostiqueur (3) : approche standard
Problématique Taille du modèle d’une carte fille 6 états, 7 transitions Taille du modèle de comportement global 54 états, 97 transitions pour une sortie de la carte de commande Explosion combinatoire Besoin d’une nouvelle approche Diagnostic SED Comportemental Diagnostiqueur Implémentation Conclusion TOGUYENI A. Diagnostic des systèmes embarqués critiques 22/03/2017 p 19

20 Diagnostiqueur du système : 2 cartes filles
r1 ; x1:=0, x2:=0 RIk; x1:=0; x2:=0 3 1 6 2x29 ; O2k x111; x211 10x111 , 10x211 Ok ; x1:=0, x2:=0 2x19 ; O1k 4 2x29; O2k 2x19; O1k 5 7 F1 F2 r2 ; x1:=0, x2:=0 8 Problématique Diagnostic SED Comportemental Diagnostiqueur Implémentation Conclusion TOGUYENI A. Diagnostic des systèmes embarqués critiques 22/03/2017 p 20

21 Construction d’un diagnostiqueur (4) : approche proposée
Spécification du sous-système Etape 3: Renseignement de l’observateur Etape 1 : Modélisation du sous-système Diagnostiqueur local S1 Diagnostiqueur local Sn Modèle comportemental complet avec observation globale Etape 4: Produit Synchrone Etape 2: Déterminisation Diagnostiqueur global du système Observateur TOGUYENI A. Diagnostic des systèmes embarqués critiques 22/03/2017 p 21

22 Diagnostiqueur local (1/2) : déterminisation
Fi 3 RIk ; xi := 0 Oj1 Fi RIk ; xi := 0 1 4 Ojk [xi  9] [xi  11] Oik; xi2 10  xi ; Ok 3 RIk ; xi := 0 Ok; xi  10 Fi 2 Ojk 5 [xi11] Ri Ojk RIk ; xi:=0 Ok; 10xi11 Fi 0,3 1 1,4 5 4 Ojk [xi  11] [xi  9] [xi  11] Ri 10  xi ; Ok Oik ; xi  2 Normal Ok ; xi 10 2 Incertain Ojk 5 [xi  11] F1 Ri TOGUYENI A. Diagnostic des systèmes embarqués critiques 22/03/2017 p 22

23 Diagnostiqueur local (2/3) : 1 carte fille
Problématique Ri Diagnostic SED a RIk; xi := 0 d b c Oik; 2xi9 Ok; 10  xi  11 [xi  11] Ojk Comportemental Diagnostiqueur Normal Implémentation Incertain F1 Conclusion TOGUYENI A. Diagnostic des systèmes embarqués critiques 22/03/2017 p 23

24 Diagnostiqueur local (3/3) : 2 cartes filles
<a,a> RIk; x1:=0; x2:=0 <c,b> 1 <b,b> <b,c> 2x29 ; O2k x111; x211 10x111 , 10x211 Ok ; x1:=0, x2:=0 2x19 ; O1k 4 <c,c> 2x29; O2k 2x19; O1k <a,d> <d,a> F1 F2 r2 ; x1:=0, x2:=0 r1 ; x1:=0, x2:=0 <d,d> Problématique Diagnostic SED Comportemental Diagnostiqueur Implémentation Conclusion TOGUYENI A. Diagnostic des systèmes embarqués critiques 22/03/2017 p 24

25 Diagnostiqueur global : 3 cartes filles
a1 a2 a3 RIk; x1:=0 ; x2:=0; x3:=0 b1 b2 b3 O1; 10x111 10x211 10x311 x111 x211 x311 d1 d2 d3 c1 b2 b1 c2 c3 c1 c2 a1 d2 d1 a2 O1k; 2x19 O2k; 2x29 O3k; 2x39 Ok; 10x111 F2 & F3 F1 & F2 & F3 F3 F2 F1 F1 & F3 F1 & F2

26 Implémentation répartie (1)
Modèle global du système Observateur local i Observateur local k Diagnostiqueur local i Diagnostiqueur localk Coordinateur décision i décision k décision Décentralisée Modèle local i Modèle local k Observateur local i Observateur local k Diagnostiqueur local i Diagnostiqueur local k Décideur i Décideur k protocole de communication pour propager les décisions des voisins décision Distribuée TOGUYENI A. Diagnostic des systèmes embarqués critiques 22/03/2017 p 26

27 Implémentation répartie (2)
Problématique Modèle local i Modèle local k Observateur global/{Fi} Observateur global/{Fk} Diagnostiqueur global/{Fi} Diagnostiqueur global/{Fk} décision/{Fi} décision/{Fk} Diagnostic SED Comportemental Diagnostiqueur Implémentation Conclusion TOGUYENI A. Diagnostic des systèmes embarqués critiques 22/03/2017 p 27

28 Conclusions et perspectives
L’approche diagnostiqueur est possible pour la surveillance des cartes électroniques Il est possible de limiter l’explosion combinatoire Découplage des sorties, abstraction de comportement, observation globale … Possibilité de mise en œuvre répartie Chaque diagnostiqueur s’occupe d’une partition des défaillances Pas d’ambigüité Perspectives Diagnostic de plusieurs défaillances Couplage avec le graphe fonctionnel pour l’isolation Problématique Diagnostic SED Comportemental Diagnostiqueur Implémentation Conclusion TOGUYENI A. Diagnostic des systèmes embarqués critiques 22/03/2017 p 28

29 Merci pour votre attention ….
Diagnostic des systèmes embarqués critiques : Application à la carte de commande du système de freinage d’un train Merci pour votre attention …. TOGUYENI A. Diagnostic des systèmes embarqués critiques 22/03/2017 p 29