Systèmes embarqués Enjeux – Perspectives Systèmes électroniques embarqués dans l’automobile

1. Cycle de formation MAGELLAN Etablissements CORA Systèmes embarquésEnjeux – PerspectivesSystèmes électroniques embarqués dans l’automobile 15 mars 2005 Françoise Simonot-Lion (http://www.loria.fr/~simonot) Ecole Nationale Supérieure des Mines de Nancy LORIA (UMR 7503) – Projet INRIA TRIO

2. Exemples de systèmes embarqués Disappearing computers Systèmes ambiants 15 mars 2005

3. Plan • Généralités - Définitions • Caractéristiques générales Systèmes embarqués dans l’automobile • Contexte général • Problématique • Domaines • Problèmes ouverts • Standards • Réglementation – « X-by-Wire » • Conclusions 15 mars 2005

4. Plan  • Généralités - Définitions • Caractéristiques générales Systèmes embarqués dans l’automobile • Contexte général • Problématique • Domaines • Problèmes ouverts • Standards • Réglementation – « X-by-Wire » • Conclusions 15 mars 2005

5. Définition • Système embarqué : appareillage remplissant une mission spécifique en utilisant un ou plusieurs microprocesseurs (boîte noire) • Électronique numérique, microprocesseurs, calculateurs, … • Logiciels 15 mars 2005

6. Système embarqué vs Autonomie • Système embarqué (définition alternative) : (ensemble d’) unité(s) de traitement possédant une certaine autonomie • Autonomie de fonctionnement {processeurs, mémoires, réseaux, entrées-sorties, logiciels + source d’énergie} Exemple : téléphone portable • Autonomie fonctionnelle fourniture de services sans sollicitation à d’autres systèmes Exemple : calculatrice • Systèmes embarqués à autonomie fonctionnelle partielle Exemple : système électronique embarqué dans l’automobile « smart fridge » 15 mars 2005

7. 1990 2000 applications industrielles / militaires / aéronautiques applications grand public 2004 marché des systèmes embarqués supérieur au marché des architectures clients / serveurs + PC 2004 le citoyen de pays développé utilise quotidiennement, de manière transparente, en moyenne 100 processeurs Quelques données générales 15 mars 2005

8. Un essai de classification • Systèmes collectifs : large communauté d’individus (centrale nucléaire, avion, train, …) 1, 10, 100, … durée de vie longue – durée de développement longue Contraintes de sûreté fortes Coût élevé • Systèmes personnels : individu, groupe d’individus (téléphone, agenda électronique, pacemaker, produits blancs, produits bruns, automobile, …) 1 000, 1 000 000, … grand public durée de vie courte – « time to market » très court Contraintes de sûreté plus ou moins fortes Coût accessible à un particulier 15 mars 2005

9. Plan  • Généralités - Définitions • Caractéristiques générales Systèmes embarqués dans l’automobile • Contexte général • Problématique • Domaines • Problèmes ouverts • Standards • Réglementation – « X-by-Wire » • Conclusions 15 mars 2005

10. Caractéristiques générales (1/9) • Complexité des systèmes et services • du nombre de services fournis par le système • Exemple : téléphone, … • de la mission des systèmes (cf. authentification, calculs numériques, navigation / Internet, …) • Exemple : agendas électroniques, systèmes de contrôle de suspension dans une automobile, … 15 mars 2005

11. Caractéristiques générales (2/9) • Complexité des architectures informatiques • de la puissance et de la complexité d’architecture des processeurs • architectures RISC, pipe-line, DSP, … • répartition des services sur plusieurs calculateurs communicants par des bus locaux, réseaux locaux, réseaux sans fil, … • exemple : équipements de téléphonie autour de Bluetooth, … 15 mars 2005

12. Caractéristiques générales (3/9) • Systèmes interagissant … • Intégration de services fournis en local + services distants • Exemple : téléphone, aide à la navigation par GPS, « cartes à puces », … • autonomie fonctionnelle 15 mars 2005

13. 30 … ans 3 à 5 ans 1 à 2 ans 1 an  Diminution des temps de conception 6 mois Caractéristiques générales (4/9) • Cycle de renouvellement des produits 15 mars 2005

14. Caractéristiques générales (5/9) • Complexité de conception • Plusieurs acteurs impliqués dans le développement • Fournisseurs de matériels • Fournisseurs de logiciels (drivers, OS, librairies, …) • Systèmes embarqués (robot) contenant des systèmes embarqués (commande d’axe) 15 mars 2005

15. Caractéristiques générales (6/9) • Complexité de conception • Production artisanale  « Automatisation » de la production • Systèmes « dédiés » • Matériel + logiciel spécifiquement développés • Systèmes « programmables » • Applications diverses / systèmes divers construits sur une technologie commune • Réutilisation de composants • Reconfiguration des systèmes au cours de leur vie 15 mars 2005

16. fournisseurs = client fournisseurs client fournisseur client fournisseur Caractéristiques générales (7/9) • « Business model » – métiers client = … Expression des besoins ? Propriété intellectuelle ? Responsabilité ? Validation ? … 15 mars 2005

17. Caractéristiques générales (8/9) • Validation : sûreté versus qualité • Risques supportés / satisfaction + confiance des utilisateurs • Deux aspects imbriqués : 15 mars 2005

18. Caractéristiques générales (9/9) • Paradigmes de conception • « design for cost » • « design for performance » • « design for safety » • … • Un challenge : la certification • contexte de réglementation • standards • procédure de certification • organismes de certification 15 mars 2005

19. Plan • Généralités - Définitions • Caractéristiques générales Systèmes embarqués dans l’automobile • Contexte général • Problématique • Domaines • Problèmes ouverts • Standards • Réglementation – « X-by-Wire » • Conclusions  15 mars 2005

20. Coût de l’électronique embarquée > 20% Coût du véhicule Contexte général (1/6) • Production de véhicules • 40 millions (1998)  60 millions (2010) • Coût des systèmes électroniques embarqués • 37 000 M$ (1995)  60 000 M$ (2000) • Logiciel • 1,1 KBytes (1980)  2MBytes (2000) 10MBytes (2004) 15 mars 2005

21. Contexte Général (2/6) Extrait de la présentation de Joseph Beretta / PSA - 16 et 17 Juin 2003– http://www.systemes-critiques.org/SECC/ Intégration et maturité des systèmes électriques & électroniques Génèse de l’électronique automobile Prolifération de l’électronique Électricité de base % du coût de l ’électronique dans le véhicule 35 Multimédia, Soupapes électromagnétiques Télématique, alternodémarreurGestion d’énergie 30 GMP 25 Multiplexage, ABS 20 Injection électronique Régulateur de vitesse 15 Allumage électronique Alternateur 10 Lampes, radio, démarreur, dynamo 5 0 1940 1920 1960 1980 2000 2010 15 mars 2005

22. Confort • Sécurité • Coût nouveaux services • Time to market • Coût développés facilement Contexte Général (3/6) • Lois sur le niveau d’émission de gaz d’échappement • Demande du client final • Demande du constructeur 90% innovation par l’électronique embarquée chez Daimler Chrysler Technologie logicielle 15 mars 2005

23. Contexte Général (4/6) • coût des composants matériels • performance et fiabilité des composants matériels • loi de Moore • domaine automobile versus composants électroniques 15 mars 2005

24. Contexte Général (5/6) • Composants électroniques et le contexte automobile Puissance des processeurs Taille des circuits imprimés mm GHz 3,4GHz 1 300 125mm 0,1 100 56MHz 80mm 1992 2000 2004 2008 1992 2000 2004 2008 Composants électroniques Composants électroniques dans l’automobile 15 mars 2005

25. Contexte Général (6/6) • Émergence des réseaux et instruments de terrain • Réduction de câblage • 40% poids pour une portière Mercedes • 41% de longueur de câble entre les Peugeot 306 et 307 • Partage des capteurs • Amélioration des fonctions • disponibilités d’informations sur l’état des autres systèmes embarqués • évolutivité des systèmes embarqués (« plug and play ») 15 mars 2005

26. Plan • Généralités - Définitions • Caractéristiques générales Systèmes embarqués dans l’automobile • Contexte général • Problématique • Domaines • Problèmes ouverts • Standards • Réglementation – « X-by-Wire » • Conclusions  15 mars 2005

27. Problématique (1/5) • Complexité fonctionnelle • Lois de contrôle multi-variables • Modes de fonctionnement • Interactions entre les fonctions • Fonctions critiques :sécurité – fiabilité – disponibilité performances / contraintes de temps 15 mars 2005

28. Fonctions critiques Architecture de communication complexe Chassis - Power Train Network Comfort Network Steering Wheel -ctl Power Train ABS A-C Radio ... ISU Amplifier Airbags Doors Calculateurs Body Network Problématique (2/5) • Complexité architecturale PSA communication service 15 mars 2005

29. Problématique (3/5) • Complexité architecturale • Nombre de réseaux • 3 (voiture de gamme moyenne)  10 (VW Phaeton) • Nombre de calculateurs • ~30 (voiture de gamme moyenne), 61 (VW Phaeton), 70 (BMW Séries 7) •  80 dans les modèles haut de gamme DC • Nombre d’informations échangées au sein du véhicule • ~2500 (VW Phaeton) PSA communication service 15 mars 2005

30. Problématique (4/5) Extrait de la présentation de Joseph Beretta / PSA 16 et 17 Juin 2003 http://www.systemes-critiques.org/SECC/ A340 = ?? Taille mémoire • Complexité architecturale MULTIMEDIA A330 = 12 Mo 10Mo A320 = 5 Mo 607 Peugeot = 2 Mo. 1Mo Airbus Automobile. Augmentation de la taille du code 100Ko A300 = 23 Ko 10Ko 1Ko CX Citroën = 1,1 Ko. 1980 1970 1990 2000 2010 15 mars 2005

31. Problématique (5/5) • Coût d’une étude • plusieurs millions d’euros • Coût d’une piece • 40/80 Euros • Développement • Partagé entre plusieurs acteurs • Équipementiers (« suppliers » / « subcontractors ») / rang 1 / rang 2 • Constructeurs • Interactions entre partenaires • Boîtes noires / Boîtes blanches / Boîtes grises • Propriétés intellectuelles (IP) • Processus • Top - Down • Bottom - Up (réutilisabilité) • Standards • Services et maintenance à assurer pendant ~15 ans Sous contraintes Coût Qualité Variantes Sécurité 15 mars 2005

32. Plan • Généralités - Définitions • Caractéristiques générales Systèmes embarqués dans l’automobile • Contexte général • Problématique • Domaines • Problèmes ouverts • Standards • Réglementation – « X-by-Wire » • Conclusions  15 mars 2005

33. Pédale d’accélérateur Pédale de frein Agrément de conduite Consommation Pollution Contrôleur A-C … Contrôleur ESP • Multi-tâches • instantsd’échantillonnage • / temps moteur (~ 0,1ms.) • périodiques (~ 1 à 5ms) • Contraintes de temps strictes • Échéances • Fraîcheur / promptitude Importante puissance de calcul (coprocesseurs, mP 16/32 bits, DSP, …) Domaine moto-propulseur (Powertrain) Peu de variantes Contrôle-commande du moteur Lois de contrôle complexes 15 mars 2005

34. Colonne de direction Pédale de frein • Forces • sol • air autres systèmes Multi-tâches périodesd’échantillonnage différentes (0,1 ms 100ms.) Distribution Contraintes de temps strictes Importante puissance de calcul (coprocesseurs) Domaine Chassis Peu de variantes Contrôle-commande des roues, de la suspension, … (ABS – ESP – ASC – 4WD - …) Lois de contrôle complexes Sécurité X-by-Wire 15 mars 2005

35. Conducteur Passagers Systèmes réactifs Fonctions nombreuses Central Body Electronic Autres domaines Lights Wipers Seats Entité critique Tolérance aux fautes Contraintes de temps temps de réponse, cohérence temporelle Ordonnancement optimal des tâches Windows … Réactivité Conception incrémentale Sous-système mécatronique Système distribué hiérarchisé Mirrors Doors LIN s a s Domaine Carosserie (Body) Variantes nombreuses PSA communication service 15 mars 2005

36. Conducteur Passagers Internet GPS Télédiagnostic … • Constraintes de sécurité • Partage de ressources • « Fluid data streams » • Bande passante • QoS multimedia Equipements « upgradable » Applications « upgradable » Téléchargement Conception « Plug and Play » Domaine Télématique Nombreuses variantes (hors domaine) Interface Homme-Machine Voiture communicante Applications multimédia 15 mars 2005

37. Garantie en moyenne Garantie stricte de sûreté et qualité Caractéristiques des domaines 15 mars 2005

38. Plan • Généralités - Définitions • Caractéristiques générales Systèmes embarqués dans l’automobile • Contexte général • Problématique • Domaines • Problèmesouverts • Standards • Réglementation – « X-by-Wire » • Conclusions  15 mars 2005

39. Informatique embarquée – problèmes ouverts • Développement de standards • Réglementation (X-by-Wire) • Configuration - intégration 15 mars 2005

40. Développement de standards • Pourquoi ? • Composants dédiés  Système • Optimisation de ressources, flexibilité, réutilisabilité, portabilité • Approches • Standardiser les architectures de calculateurs • identifier les composants • standardiser les interfaces d’utilisation des composants • Standardiser les données échangées • diagnostic • données capteurs • Langage de description des architectures 15 mars 2005

41. ECU Application software component Local sensor/actuator data base server Application software component Application software component Middleware Hardware Abstraction Layer (IO Library) ECU Communication layer Driver (CAN, LIN, …) IO drivers Sensors Actuators Network Exemple d’architecture standardisée Operating System (software components) 15 mars 2005

42. Exemple de langages de description des architectures • AIL_Transport (projet Architecture Electronique Embarquée AEE) • EAST – ADL (projet européen ITEA EAST-EEA) • Pour mémoire, dans l’aéronautique : • AADL • COTRE 15 mars 2005

43. Outil-Validation Outil - Gén. test Spécification système Validation système Testeur Outil Spécification Conception Système Intégration système Outil - Validation Outil-calibration Outil - placement Outil - Evaluation de performances développement Code Analyseur de code Générateur de code Langage de description d’architecture Rôle d’un langage de description des architectures Description d’architecture 15 mars 2005

44. Réglementation • Pourquoi une réglementation ? • fiabilité des systèmes électroniques non maîtrisée actuellement, • environnement agressif et mal connu, • avènement des systèmes X-by-Wire pour des fonctions liées à la sécurité 15 mars 2005

45. Sûreté de fonctionnement des architectures électroniques embarquées dans l’automobile • Quelques éléments de comparaison entre l’avionique et l’automobile (source P. Koopmann – Carnegie Mellon) 15 mars 2005

46. Sûreté de fonctionnement des architectures électroniques embarquées dans l’automobile • Pourquoi ne pas utiliser les mêmes approches dans l’automobile et l’avionique ? (source P. Koopmann – Carnegie Mellon) • Redondance massive du matériel ? • espace, poids, coût • Logiciel sans faute ? 10 nouvelles fonctions / mois 200 fonctions  800 fonctions sur 25 calculateurs • Maintenance non systématisée – qualité des véhicules • Démarrage avec un réservoir presque vide, une niveau d’huile critique • Ignorance des indicateurs (huile, …) • Les vieux véhicules continuent à rouler • Opérateurs • Non qualifiés • Pas de contrôle annuel • … coûteux 15 mars 2005

47. Sûreté de fonctionnement des architectures électroniques embarquées dans l’automobile • Réglementation • Rien pour l’instant aux niveaux nationaux ou internationaux – des préconisations internes • TüV • Certification • Standardisation • DO 178B (aéronautique) • EN 50128 (transports ferroviaires) • MISRA • IEC 61 508 • Définition de niveau de criticité (Safety Integrity Level SIL1, … SIL4) Probabilité d’occurrence d’une défaillance en une heure <= 10 -9 15 mars 2005

48. Frein (actionneur) Pédale de frein Système X-by-Wire et sûreté de fonctionnement • « Brake by Wire » • poids, confort, souplesse, suppression de liquides polluants, • Système électronique • capteurs, actionneurs, • calculateurs, logiciels, • réseaux PSA communication service 15 mars 2005

49. 1 implantées sur des calculateurs connectés sur des réseaux de communication Système X-by-Wire et sûreté de fonctionnement • « Steer by Wire » • sécurité, poids, confort, souplesse Des fonctions critiques Crédit photographique PSA Peugeot - Citroën 15 mars 2005

50. System Integrity Level (SIL) 4 Probabilité d’avoir une défaillance en une heure < 10-9 Sûreté des applications X-by-Wire Les systèmes de direction ou freinage « tout électronique » sont des systèmes critiques pour la sécurité Comment garantir / vérifier cette propriété sur une architecture opérationnelle ? 15 mars 2005