1 / 29

Saddem Ramla , Toguyéni Armand , Moncef Tagina* Ecole Centrale de Lille/LAGIS (France)

Diagnostic des systèmes embarqués critiques : Application à la carte de commande du système de freinage d’un train. Saddem Ramla , Toguyéni Armand , Moncef Tagina* Ecole Centrale de Lille/LAGIS (France) {ramla.sadem|armand.toguyeni}@ec-lille.fr *ENSI de Tunis/SOIE (Tunisie)

cayla
Download Presentation

Saddem Ramla , Toguyéni Armand , Moncef Tagina* Ecole Centrale de Lille/LAGIS (France)

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Diagnostic des systèmes embarqués critiques :Application à la carte de commande du système de freinage d’un train Saddem Ramla , Toguyéni Armand, Moncef Tagina* Ecole Centrale de Lille/LAGIS (France) {ramla.sadem|armand.toguyeni}@ec-lille.fr *ENSI de Tunis/SOIE (Tunisie) *moncef.tagina@ensi.rnu.tn TOGUYENI A. Diagnostic des systèmes embarqués critiques 07/09/2014 p 1

  2. Introduction : contexte O1k IR1k DC1 IRk Ok R 2/3 IR2k DC2 O2k IR3k O3k DC3 Système Composant clock I1 I2 -controller / FPGA Il Oik In Reset TOGUYENI A. Diagnostic des systèmes embarqués critiques 07/09/2014 p 2

  3. Plan • Introduction • Diagnostic des SED • Construction d’un modèle comportemental • Construction de diagnostiqueurs • Implémentation répartie • Conclusions et perspectives TOGUYENI A. Diagnostic des systèmes embarqués critiques 07/09/2014 p 3

  4. Problématique (1) • Contexte : • Commande embarqué dans les trains • Objectifs : • Réduction du « Time to Market », • Réduction des délais de rétrofite • Réduction des coûts • Favoriser le développement de nouvelles fonctionnalités Problématique Diagnostic SED Comportemental Diagnostiqueur Implémentation Conclusion TOGUYENI A. Diagnostic des systèmes embarqués critiques 07/09/2014 p 4

  5. Problématique (2) • Moyen • Utilisation de COTS (Commercial Off-the-shelf) numériques (Micro-contrôleurs, FPGA, microprocesseurs) pour le contrôle-commande. • Contraintes • Normes de sécurité • Objectif dérivé : • Proposer une méthode efficace de diagnostic pour isoler en ligne la première défaillance des systèmes embarqués critiques. Problématique Diagnostic SED Comportemental Diagnostiqueur Implémentation Conclusion TOGUYENI A. Diagnostic des systèmes embarqués critiques 07/09/2014 p 5

  6. Diagnostic des défaillances des SED (1) • Objectif : Diagnostic des défaillances de la partie commande. • Hypothèse : La partie opérative est supposée correcte. Problématique Diagnostic SED Traitement des défaillances Comportemental Défaillances Diagnostiqueur Détection/Diagnostic Implémentation ordres Partie Opérative Partie Comande Conclusion comptes-rendus TOGUYENI A. Diagnostic des systèmes embarqués critiques 07/09/2014 p 6

  7. E2 [14,14] E1 E0 E3 [10,12] [16,18] [20,20] E4 Graphe temporel Diagnostic des défaillances des SED (2) • Deux approches possibles : • Approche chroniques ou Signatures Temporelles Causales [DER82], [TOG92], [DOU93] • Approche diagnostiqueur • Principale limite : explosion combinatoire Problématique E2 Diagnostic SED [2,4] [2,4] [14,14] E1 E0 E3 [6,6] [10,12] [16,18] Comportemental [20,20] [8,10] [2,4] Diagnostiqueur E4 [4,8] Implémentation Conclusion TOGUYENI A. Diagnostic des systèmes embarqués critiques 07/09/2014 p 7

  8. Diagnostiqueur • Un diagnostiqueur est un observateur auquel on a associé une fonction de décision afin d'évaluer si le système est dans un état normal ou défaillant. • Un observateur modélise l’ensemble des comportements observables d’un système. • les observateurs pour la reconnaissance d’états • les observateurs pour la reconnaissance d’événements • On peut faire des observateurs avec : • Automates à états finis [SAM95] • Réseaux de Petri [GIU 98][USH 98] • Automates Temporisés [CAS 08] Problématique Diagnostic SED Comportemental Diagnostiqueur Implémentation Conclusion TOGUYENI A. Diagnostic des systèmes embarqués critiques 07/09/2014 p 8

  9. Automate temporisé • Un automate temporisé A est un tuple (L, ℓ0, X, S, E, Inv) avec : • L est un ensemble fini d’états • ℓ0 est l’état initial • X est un ensemble fini d’horloges avec xi ÎÂ+ • S est un ensemble fini d’actions • E Í L × C(X) × S × 2X × L est un ensemble fini de transitions • Inv Î C(X)L associe une contrainte à chaque état ; • Un automate temporisé étend la notion d’automate à états finis. • Le temps est ajouté par le biais d’horloge • Deux types de contraintes temporelles : les invariants et les gardes Problématique Diagnostic SED Comportemental Diagnostiqueur Implémentation x>2, e , x:=0 l1 l2 Conclusion Invariant [x<5] [x<3] Garde TOGUYENI A. Diagnostic des systèmes embarqués critiques 07/09/2014 p 9

  10. Pour construire le modèle comportemental d’une carte, on doit résoudre des contraintes : Independence vis à vis de l’application L’explosion combinatoire Formalisme à états Nombres entrées-sorties Construction du modèle comportemental (1) Problématique Diagnostic SED Comportemental Diagnostiqueur Implémentation Une piste : l’abstraction du comportement Conclusion TOGUYENI A. Diagnostic des systèmes embarqués critiques 07/09/2014 p 10

  11. Construction du modèle comportemental (2) Découpler chaque sortie de la carte de commande et l’étudier séparément, Pour chaque sortie, ne pas considérer l’ensemble des entrées qui permettent de la générer mais considérer un signal de référence, Abstraire le comportement de chaque carte fille par rapport à une sortie Ok, à une spécification temporelle entre le signal de référence et la sortie. Problématique Diagnostic SED Comportemental Diagnostiqueur Implémentation Conclusion TOGUYENI A. Diagnostic des systèmes embarqués critiques 07/09/2014 p 11

  12. Notion de signal de référence • Etant donné une sortie Ok de la carte de commande, comment lui associer un signal de référence ? • Exemple : Ok=f(Ix, Iy, Iz) Problématique wait-0 Ix / Iz / Iy/ Diagnostic SED wait-1 wait-3 wait-2 Ix / Comportemental Iz / Iy/ Ix / Iy / Iz / wait-4 wait-5 wait-6 Diagnostiqueur Iz / RIk Iy / RIk Ix /RIk Implémentation RIK Conclusion TOGUYENI A. Diagnostic des systèmes embarqués critiques 07/09/2014 p 12

  13. Abstraction temporelle du comportement Problématique Cartes filles DCi Diagnostic SED O1k RI1k DC1 RIk O1k t Comportemental 0 2 9 RIk Ok R 2/3 RI2k RIk O2k t Diagnostiqueur DC2 O2k 0 2 9 O3k RIk t Implémentation 0 2 9 Voteur 2/3 RI3k O3k DC3 RIk Ok Conclusion t 0 10 11 TOGUYENI A. Diagnostic des systèmes embarqués critiques 07/09/2014 p 13

  14. Abstraction du comportement normal du carte‘DCi’ RIk ; xi := 0 0 1 [xi  9] xi  2 ; Oik Problématique Diagnostic SED RIk Oik t Comportemental 0 2 9 Diagnostiqueur Implémentation Conclusion TOGUYENI A. Diagnostic des systèmes embarqués critiques 07/09/2014 p 14

  15. Contexte : Modèle complet : prise en compte du comportement normal et défaillant Observation uniquement locale Modèle comportemental d’une carte fille (1) Problématique Diagnostic SED Comportemental 3 RIk ; xi := 0 Evénement locaux fi -> défaillance de DCi ri -> réparation de DCi t -> time-out fi Diagnostiqueur RIk ; xi := 0 fi Etat Normal 0 1 4 Implémentation [xi  9] Etat défaillant [xi  9] xi  2 ; Oik xi = 9 ; t Conclusion 5 ri TOGUYENI A. Diagnostic des systèmes embarqués critiques 07/09/2014 p 15

  16. Contexte : Modèle complet : prise ne compte du comportement normal et défaillant Observation globale (prise en compte des événements observables des autres composants) Modèle comportemental d’une carte fille (2) Problématique Diagnostic SED 3 Comportemental fi RIk ; xi := 0 Ojk Diagnostiqueur fi RIk ; xi := 0 0 1 4 Ojk [xi  11] [xi  9] Implémentation Oik ; xi  2 10  xi ; Ok Ok ; xi  10 Conclusion 2 Ojk 5 [xi  11] ri TOGUYENI A. Diagnostic des systèmes embarqués critiques 07/09/2014 p 16

  17. Construction d’un diagnostiqueur (1) : approche standard Spécification du sous-système Etape 3: Déterminisation Etape 1 : Modélisation du sous-système Observateur Modèle comportemental complet avec observation globale S1 Modèle comportemental complet avec observation globale Sn Etape 4: Renseignement de l’observateur Etape 2 : Produit Synchrone Diagnostiqueur global du système Modèle comportemental global du système TOGUYENI A. Diagnostic des systèmes embarqués critiques 07/09/2014 p 17

  18. Construction d’un diagnostiqueur (2) : approche standard f1 RIk; x1:=0; x2:=0 Ok; x110; x2 10 5 9 13 x1,2  9 f2 x1,2  9 f2 f1 r2 r1 RIk; x1:=0 x2:=0 1 r1 4 O2k; x22 f2 Ok; x110; x2 10 14 10 16 x1,2  9 x1,2  11 f1 f1 f1 x1  9 r1 RIk; x1:=0 x2:=0 r2 f2 O1k; x12 f1 2 11 15 17 6 Ok; 10x2 9 ; 10 x1  11 0 r2 x1  11; x2  9 x1,2  9 x1,2  9 RIk; x1:=0 ;x2:=0 O2k; x22 7 f2 O1k; x12 x1  9 x1  11; x2  11 3 12 12 Normal O1k; x12 O2k; x22 16 F1 8 Ok; 10x1,211 17 F2 x2  9 9 F1&F2 TOGUYENI A. Diagnostic des systèmes embarqués critiques 07/09/2014 p 18

  19. Construction d’un diagnostiqueur (3) : approche standard • Taille du modèle d’une carte fille • 6 états, 7 transitions • Taille du modèle de comportement global • 54 états, 97 transitions pour une sortie de la carte de commande • Explosion combinatoire • Besoin d’une nouvelle approche Problématique Diagnostic SED Comportemental Diagnostiqueur Implémentation Conclusion TOGUYENI A. Diagnostic des systèmes embarqués critiques 07/09/2014 p 19

  20. Diagnostiqueur du système : 2 cartes filles r2 ; x1:=0, x2:=0 5 Problématique F2 10x111 , 10x211 Ok ; x1:=0, x2:=0 3 Diagnostic SED 2x19 ; O1k 2x29; O2k x111; x211 RIk; x1:=0; x2:=0 Comportemental 4 0 1 x111; x211 x111; x211 Diagnostiqueur 2x29 ; O2k 2x19; O1k 6 Implémentation x111; x211 10x111 , 10x211 Ok ; x1:=0, x2:=0 10x111 , 10x211 Ok ; x1:=0, x2:=0 7 F1 10x111 , 10x211 Ok ; x1:=0, x2:=0 Conclusion 8 r1 ; x1:=0, x2:=0 TOGUYENI A. Diagnostic des systèmes embarqués critiques 07/09/2014 p 20

  21. Construction d’un diagnostiqueur (4) : approche proposée Spécification du sous-système Etape 3: Renseignement de l’observateur Etape 1 : Modélisation du sous-système Diagnostiqueur local S1 Diagnostiqueur local Sn Modèle comportemental complet avec observation globale Etape 4: Produit Synchrone Etape 2: Déterminisation Diagnostiqueur global du système Observateur TOGUYENI A. Diagnostic des systèmes embarqués critiques 07/09/2014 p 21

  22. Diagnostiqueur local (1/2) : déterminisation 3 Fi RIk ; xi := 0 Oj1 Fi RIk ; xi := 0 0 1 4 Ojk [xi  9] [xi  11] Oik; xi2 10  xi ; Ok Ok; xi  10 3 RIk ; xi := 0 Fi 2 Ojk 5 [xi11] Ri Ojk Fi RIk ; xi:=0 Ok; 10xi11 0,3 1,4 5 0 1 4 Ojk [xi  11] [xi  9] [xi  11] Ri 10  xi ; Ok Oik ; xi  2 Normal Ok ; xi 10 Incertain 2 Ojk 5 F1 [xi  11] Ri TOGUYENI A. Diagnostic des systèmes embarqués critiques 07/09/2014 p 22

  23. Diagnostiqueur local (2/3) : 1 carte fille Ojk Ok; 10  xi  11 RIk; xi := 0 d a b [xi  11] Oik; 2xi9 Ok; 10  xi  11 c Ojk [xi  11] Problématique Ri Diagnostic SED Comportemental Diagnostiqueur Normal Implémentation Incertain F1 Conclusion TOGUYENI A. Diagnostic des systèmes embarqués critiques 07/09/2014 p 23

  24. Diagnostiqueur local (3/3) : 2 cartes filles r2 ; x1:=0, x2:=0 <a,d> Problématique F2 10x111 , 10x211 Ok ; x1:=0, x2:=0 <c,b> Diagnostic SED 2x19 ; O1k 2x29; O2k x111; x211 RIk; x1:=0; x2:=0 Comportemental 4 <c,c> 0 <a,a> 1 <b,b> x111; x211 x111; x211 Diagnostiqueur 2x29 ; O2k 2x19; O1k <b,c> Implémentation x111; x211 10x111 , 10x211 Ok ; x1:=0, x2:=0 10x111 , 10x211 Ok ; x1:=0, x2:=0 <d,a> F1 10x111 , 10x211 Ok ; x1:=0, x2:=0 Conclusion <d,d> r1 ; x1:=0, x2:=0 TOGUYENI A. Diagnostic des systèmes embarqués critiques 07/09/2014 p 24

  25. Diagnostiqueur global : 3 cartes filles F2 & F3 Ok; 10x111 10x211 10x311 Ok; 10x111 10x211 10x311 a1 a2 d3 F3 a1 d2 d3 Ok; 10x111 10x211 10x311 O2k; 2x29 O3k; 2x39 c1 b2 b3 c1 c2 b3 c1 c2 c3 O1k; 2x19 O3k; 2x39 RIk; x1:=0 ; x2:=0; x3:=0 a1 a2 a3 b1 b2 b3 O2k; 2x29 O1k; 2x19 O2k; 2x29 x111 x211 x311 a1 d2 a3 c1 b2 c3 F2 b1 c2 b3 Ok; 10x111 10x211 10x311 O3k; 2x39 O1; 10x111 10x211 10x311 O3k; 2x39 O1k; 2x19 O1k; 2x19 Ok; 10x111 10x211 10x311 d1 d2 d3 b1 b2 c3 b1 c2 c3 d1 a2 a3 F1 O2k; 2x29 Ok; 10x111 10x211 10x311 F1 & F2 & F3 d1 a2 d3 Ok; 10x111 10x211 10x311 F1 & F3 d1 d2 a3 F1 & F2

  26. Implémentation répartie (1) Décentralisée Distribuée Modèle global du système Modèle local i Modèle local k Observateur local i Observateur local k Observateur local i Observateur local k Diagnostiqueur local i Diagnostiqueur localk Diagnostiqueur local i Diagnostiqueur local k décision i décision k décision décision Décideur i Décideur k Coordinateur protocole de communication pour propager les décisions des voisins décision TOGUYENI A. Diagnostic des systèmes embarqués critiques 07/09/2014 p 26

  27. Implémentation répartie (2) Problématique Modèle local i Modèle local k Diagnostic SED Observateur global/{Fi} Observateur global/{Fk} Comportemental Diagnostiqueur Diagnostiqueur global/{Fi} Diagnostiqueur global/{Fk} décision/{Fi} décision/{Fk} Implémentation Conclusion TOGUYENI A. Diagnostic des systèmes embarqués critiques 07/09/2014 p 27

  28. Conclusions et perspectives • L’approche diagnostiqueur est possible pour la surveillance des cartes électroniques • Il est possible de limiter l’explosion combinatoire • Découplage des sorties, abstraction de comportement, observation globale … • Possibilité de mise en œuvre répartie • Chaque diagnostiqueur s’occupe d’une partition des défaillances • Pas d’ambigüité • Perspectives • Diagnostic de plusieurs défaillances • Couplage avec le graphe fonctionnel pour l’isolation Problématique Diagnostic SED Comportemental Diagnostiqueur Implémentation Conclusion TOGUYENI A. Diagnostic des systèmes embarqués critiques 07/09/2014 p 28

  29. Diagnostic des systèmes embarqués critiques :Application à la carte de commande du système de freinage d’un train Merci pour votre attention …. TOGUYENI A. Diagnostic des systèmes embarqués critiques 07/09/2014 p 29

More Related