Title: Chapitre 1 Informatique embarque Problmatique
1Chapitre 1 Informatique embarquéeProblématique
Ingénieur Civil des Mines 2ème
année Architecture des Systèmes Sûrs Module
SI144
- 2008-2009
- Françoise Simonot-Lion (simonot_at_loria.fr)
2Plan
- Systèmes embarqués mais encore
- Caractéristiques générales
- Challenges principaux
- Exemple systèmes embarqués dans lautomobile
- Conclusions
3Systèmes embarqués ?
4Tentative de définition
- Wikipédia, Technocentre.net,
Un système électronique et informatique autonome,
qui est dédié à une tâche bien précise. Ses
ressources disponibles sont généralement
limitées. Cette limitation est généralement
d'ordre spatial (taille limitée) et énergétique
(consommation restreinte).
Un système embarqué (on parle parfois de système
enfoui) est un système électronique, piloté par
un logiciel, qui est complètement intégré au
système qu'il contrôle.
Autonomie
Logiciel Matériel
Ressources limitées
fonctionnelle
énergétique
5Ressources limitées ?
OUI
OUI / NON
NON / OUI
6Autonomie fonctionnelle ?
OUI mais
7Autonomie fonctionnelle
- Intégration à un système physique à contrôler /
surveiller / observer / - Contraintes de temps (Shannon, Nyquist, Jury,
constantes de temps du système physique, etc.) - Contraintes de sûreté de fonctionnement (risques,
événements redoutés, détection, tolérance, etc.) - Systèmes enfouis, disappearing computing
8Autonomie fonctionnelle
- Interaction dun système embarqué avec son
environnement - Réseaux de systèmes
- Système de systèmes
- Informatique ubiquitaire
- Internet of Things
- Cooperating objects
- Cyber Physical Systems
Synchronisation transparente des objets
Surveillance des personnes
Maison automatisée
Monitoring médical
Route automatisée
Surveillance des structures de bâtiments
Privacy Ethique Big Brother
Surveillance de lenvironnement
Détection dincendie
9Quelques données générales
10Plan
- Systèmes embarqués mais encore
- Caractéristiques générales
- Challenges principaux
- Exemple systèmes embarqués dans lautomobile
- Conclusions
11Caractéristiques générales (1/9)
- Complexité des systèmes et services
- du nombre de services fournis par le
système - Exemple téléphone,
- de la mission des systèmes (cf.
authentification, calculs numériques, navigation
/ Internet, ) - Exemple agendas électroniques, systèmes de
contrôle de suspension dans une automobile,
12Caractéristiques générales (2/9)
- Complexité des architectures informatiques
- de la puissance et de la complexité
darchitecture des processeurs - architectures RISC, pipe-line, DSP,
- répartition des services sur plusieurs
calculateurs communicants par des bus locaux,
réseaux locaux, réseaux sans fil, - exemple équipements de téléphonie autour de
Bluetooth, réseaux de capteurs / actionneurs sans
fil (WASN),
13Caractéristiques générales (3/9)
Et pour les logiciels ?
doublement tous les 18 mois ct nombre de
composants sur une puce lannée t ct c1975 2 (
t - 1975 ) / 1,5
(source http//www.intel.com/research/silicon/mo
oreslaw.htm )
14Caractéristiques générales (4/9)
- Cycle de renouvellement des produits
15Caractéristiques générales (5/9)
- Complexité de conception
- Plusieurs acteurs impliqués dans le développement
- Fournisseurs de matériels
- Fournisseurs de logiciels (drivers, OS,
librairies, ) - Systèmes embarqués (robot) contenant des systèmes
embarqués (commande daxe)
16Caractéristiques générales (6/9)
- Complexité de conception
- Production artisanale ? Automatisation de la
production - Systèmes dédiés
- Matériel logiciel spécifiquement développés
- Systèmes programmables
- Applications diverses / systèmes divers
construits sur une technologie commune - Réutilisation de composants
- Reconfiguration des systèmes au cours de leur vie
17Caractéristiques générales (7/9)
- Complexité de conception - Business model
client
Ré-utilisation Composants Middleware Standardis
ation
Expression des besoins ? Propriété
intellectuelle ? Responsabilité ? Validation ?
18Caractéristiques générales (8/9)
- Validation sûreté versus qualité
- Risques supportés / satisfaction confiance des
utilisateurs - Deux aspects imbriqués
19Caractéristiques générales (9/9)
- Paradigmes de conception
- design for cost
- design for performance
- design for safety ? évaluation, maîtrise du
risque
20Challenges
- Vérification des systèmes
- garantie déterminisme, garantie probabiliste
- systèmes discrets temporisés stochastiques
- techniques à développer (machines à état /
transition temps aléa) - passage à léchelle
- certification
- contexte de réglementation
- standards
- procédure de certification
- organismes de certification
21Challenges correction des systèmes
- Vérification des systèmes
Environnement à contrôler
bruits
Système HWSW
Système HWSW
réseau
22Challenges correction des systèmes
- Vérification des systèmes
- Dysfonctionnement dun système
- ? toujours un problème de conception
- Bugs non corrigés
- Spécification non validée
-
- Évaluation du risque incomplète
- Mode dégradé non identifié
- ? ou choix de conception risque assumé
(problème de coût, impossibilité de le gérer)
23Challenges un meilleur système
- Conception optimale des systèmes
- optimisation multi-critères, optimisation
discrète - temps
- mémoire
- énergie
- coût produit, production, conception
- co-design
- hardware / software
- ordonnancement des activités / paramètres
dexécution / paramètres applicatifs - adaptabilité
24Challenges maîtrise du parallélisme
- Parallélisme intrinsèque des activités des
systèmes embarqués - Les stimuli de lenvironnement sont //
- ? traitements // pour produire les réactions
- Systèmes embarqués distribués // entre
activités réparties sur chacun des calculateurs - Concevoir, programmer et vérifier le parallélisme
? - tâches OS, ordonnancement
- dynamique
- statique
- automate - programmation synchrone
25Plan
- Systèmes embarqués mais encore
- Caractéristiques générales
- Challenges principaux
- Exemple systèmes embarqués dans lautomobile
- Conclusions
26Challenges - Sûreté de fonctionnement
- La Sûreté de Fonctionnement (dependability) dun
système informatique est la propriété qui permet
de placer une confiance justifiée dans le service
quil délivre Laprie2004
- Service délivré par le système comportement du
système perçu par son ou ses utilisateurs, dans
un certain contexte Delebarre00 - interlocuteurs fonctionnels (un autre système, un
opérateur humain) - environnement non fonctionnel (perturbations)
- mission durée de la mission
27Challenges - Sûreté de fonctionnement
- Fonction dun système ce à quoi le système est
destiné, décrite par la spécification
fonctionnelle Laprie2004
- Service correct le service délivré accomplit la
fonction du système
- Défaillance du service événement qui survient
lorsque le service délivré dévie du service
correct - Soit parce quil nest plus conforme à sa
spécification - Soit parce que la spécification ne décrit pas de
manière adéquate la fonction du système
28Challenges - Sûreté de fonctionnement
Sûreté de fonctionnement
Nest plus assurée en raison de
Sexprime selon des propriétés ou
entraves
attributs
Défaillances Erreurs Fautes
Fiabilité Disponibilité Sécurité
innocuité Confidentialité Sécurité immunité
Maintenabilité
29Challenge - Sûreté de fonctionnement
- Entraves de la SdF ce qui fait que le service
délivré nest pas acceptable - Défaillance manifestation du fait que le
service nest pas acceptable (événement qui
survient lorsque le service délivré dévie du
service correct) - Erreur partie de létat du système qui est
susceptible dentraîner une défaillance - Faute la cause adjugée ou supposée dune erreur
- Modes de défaillance manière selon lesquelles
un système peut défaillir
30Challenge - Sûreté de fonctionnement
n, x et s sont des entiers (int) n ? lire() x ?
lire() si (x est pair) s ? quotient de x par
n sinon s ? produit de x par n
Faute conception incorrecte
Défaillance ne se manifeste que si x est pair
et n nul !!
31Challenge - Sûreté de fonctionnement Les fautes
- Quand - occurrence de la faute
- Fautes de développement
- Fautes opérationnelles
- Où / système
- Fautes internes
- Fautes externes
- Quoi (dimension)
- Fautes matérielles
- Fautes logicielles
- Cause phénoménologique
- Fautes naturelles
- Fautes dues à lhomme
- Intention
- Fautes non malveillantes
- Fautes malveillantes
- Capacité
- Fautes accidentelles
- Fautes délibérées
- Fautes dincompétence
- Persistance
- Fautes permanentes
- Fautes temporaires
32Challenge - Sûreté de fonctionnement Les fautes
- Exercices
- Caractériser les fautes suivantes
- Perturbation électromagnétique
- Absence dun blindage adéquate
- Soft error
- Cheval de Troie
33Challenge - Sûreté de fonctionnement Les erreurs
- Une erreur peut être
- Latente (elle na pas été reconnue) ou détectée
34Challenge - Sûreté de fonctionnement Les
défaillances
- Domaine de défaillance
- En valeur
- Temporelles (avance ou retard)
- Par arrêt (plus de sorties perceptibles par
lutilisateur retard ?) - Défaillances erratiques
- Détectabilité
- Signalées / Non signalées
- Perception de la défaillance par les utilisateurs
- Cohérentes / Incohérentes (byzantines)
- Conséquences des défaillances
- Notion de sévérité ou gravité (voir transparent
suivant)
35Challenge - Sûreté de fonctionnement Les
défaillances
- Gravité dune défaillance classification des
modes de défaillances - aéronautique, automobile, production dénergie
nucléaire, lanceurs spatiaux, - Catastrophique / fatale
- risque de perte de vie humaine ou agression sur
le personnel dexploitation du système effets
sur lenvironnement à long terme - Grave / dangereuse / sérieuse
- Destruction de biens qui interrompent les
activités sur une longue période effets sur
lenvironnement à court terme - Majeur
- Perte de mission endommagement dun bien
- Mineur
- Mission dégradée
- Négligeable
- Sans effet sensible sur le déroulement de la
mission
36Challenge - Sûreté de fonctionnement Les
défaillances
- Criticité dun système le niveau maximal de
gravité des défaillances identifiées - Exemple de
lautomobile - Catastrophique
- Grave
- Majeur
- Mineur
- Négligeable
Freinage / direction X-by-Wire
Contrôle de traction / régulateur de vitesse /
airbag
Contrôle moteur / suspension active
Limitation de vitesse / vitres électriques /
réglage de sièges
Radio / essuie-phare
37Challenge - Sûreté de fonctionnement Les
défaillances
0
10-9
10-7
10-5
10-3
10-1
Probabilité doccurrence dune défaillance en une
heure
38Challenge - Sûreté de fonctionnement
- ? Faute ? Erreur ? Défaillance ? Faute ?
39Challenge - Sûreté de fonctionnement
- Quelques problèmes célèbres
- 4 juin 1996 défaillance du vol Ariane 5 (faute
de développement défaillance localisée
fiabilité / disponibilité) - Ingénierie système conception sûre du système /
environnement - Juillet 2001 - Ver code red II (faute de
développement malveillante distribuée
fiabilité / disponibilité) - Août 2003 propagation de panne électrique dans
le nord-est des USA et du Canada - Novembre 2004 Panne nationale sur tout le
réseau Bouygues Télécoms - Interaction entre des grands systèmes
40Plan
- Systèmes embarqués mais encore
- Caractéristiques générales
- Challenges principaux
- Exemple systèmes embarqués dans lautomobile
- Conclusions
41Systèmes embarqués dans lautomobile Contexte
général
- Production de véhicules
- 40 millions (1998) ? 60 millions (2010)
- Coût des systèmes électroniques embarqués
- 37 000 M (1995) ? 60 000 M (2000)
- Logiciel
- 1,1 KBytes (1980) ? 2MBytes (2000) ? 10MBytes
(2004)
42Systèmes embarqués dans lautomobile Contexte
général
Extrait de la présentation de Joseph Beretta /
PSA - 16 et 17 Juin 2003 http//www.systemes-cri
tiques.org/SECC/
Intégration et maturité des systèmes électriques
électroniques
Génèse de lélectronique automobile
Prolifération de lélectronique
Électricité de base
du coût de l électronique dans le véhicule
35
Multimédia, Soupapes électromagnétiques
Télématique, alternodémarreurGestion dénergie
30
GMP
25
Multiplexage, ABS
20
Injection électronique Régulateur de vitesse
15
Allumage électronique Alternateur
10
Lampes, radio, démarreur, dynamo
5
0
1920
2000
1980
1960
2010
1940
43Systèmes embarqués dans lautomobile Contexte
général
- Lois sur le niveau démission de gaz
déchappement - Demande du client final
- Demande du constructeur
90 innovation par lélectronique embarquée chez
Daimler Chrysler
Technologie logicielle
44Systèmes embarqués dans lautomobile Contexte
général
- coût des composants matériels
- performance et fiabilité des composants
matériels - loi de Moore
- domaine automobile versus composants électroniques
45Systèmes embarqués dans lautomobile Contexte
général
- Composants électroniques et le contexte automobile
Puissance des processeurs
Taille des circuits imprimés
GHz
mm
3,4GHz
1
300
125mm
0,1
100
56MHz
80mm
1992
2000
2004
2008
1992
2000
2004
2008
Composants électroniques
Composants électroniques dans lautomobile
46Systèmes embarqués dans lautomobile Contexte
général
- Émergence des réseaux et instruments de terrain
- Réduction de câblage
- 40 poids pour une portière Mercedes
- 41 de longueur de câble entre les Peugeot 306 et
307 - Partage des capteurs
- Amélioration des fonctions
- disponibilités dinformations sur létat des
autres systèmes embarqués - évolutivité des systèmes embarqués ( plug and
play )
47Systèmes embarqués dans lautomobile Problématique
- Complexité fonctionnelle
- Lois de contrôle multi-variables
- Modes de fonctionnement
- Interactions entre les fonctions
- Fonctions critiques sécurité fiabilité
disponibilité - performances / contraintes de temps
48Systèmes embarqués dans lautomobile Problématique
- Complexité architecturale
PSA communication service
49Systèmes embarqués dans lautomobile Problématique
- Complexité architecturale
- Nombre de réseaux
- 3 (voiture de gamme moyenne) ? 10 (VW Phaeton)
- Nombre de calculateurs
- 30 (voiture de gamme moyenne), 61 (VW Phaeton),
70 (BMW Séries 7) - ? 80 dans les modèles haut de gamme DC
- Nombre dinformations échangées au sein du
véhicule - 2500 (VW Phaeton)
PSA communication service
50Systèmes embarqués dans lautomobile Problématique
Extrait de la présentation de Joseph Beretta /
PSA 16 et 17 Juin 2003 http//www.systemes-critiq
ues.org/SECC/
- Complexité architecturale
A340 ??
Taille mémoire
MULTIMEDIA
A330 12 Mo
10Mo
A320 5 Mo
607 Peugeot 2 Mo.
1Mo
Airbus
Automobile.
Augmentation de la taille du code
100Ko
A300 23 Ko
10Ko
1Ko
CX Citroën 1,1 Ko.
1980
1970
1990
2000
2010
51Systèmes embarqués dans lautomobile Problématique
Coût dune étude plusieurs millions deuros Coût
dune piece 40/80 Euros
- Développement
- Partagé entre plusieurs acteurs
- Équipementiers ( suppliers /
subcontractors ) / rang 1 / rang 2 - Constructeurs
- Interactions entre partenaires
- Boîtes noires / Boîtes blanches / Boîtes grises
- Propriétés intellectuelles (IP)
- Processus
- Top - Down
- Bottom - Up (réutilisabilité)
- Standards
- Services et maintenance à assurer pendant 15 ans
Sous contraintes Coût Qualité
Variantes Sécurité
52Systèmes embarqués dans lautomobile Domaine
moto-propulseur (Powertrain)
Peu de variantes
Contrôle-commande du moteur Lois de contrôle
complexes
53Systèmes embarqués dans lautomobile Domaine
Chassis
Peu de variantes
Contrôle-commande des roues, de la suspension,
(ABS ESP ASC 4WD - ) Lois de contrôle
complexes
X-by-Wire
Sécurité
54Systèmes embarqués dans lautomobile Domaine
Carosserie (Body)
Variantes nombreuses
PSA communication service
55Systèmes embarqués dans lautomobileDomaine
Télématique
Nombreuses variantes (hors domaine)
Interface Homme-Machine Voiture
communicante Applications multimédia
56Systèmes embarqués dans lautomobile
Caractéristiques des domaines
57Systèmes embarqués dans lautomobile
Réglementation
- Pourquoi une réglementation ?
- fiabilité des systèmes électroniques non
maîtrisée actuellement, - environnement agressif et mal connu,
- avènement des systèmes X-by-Wire pour des
fonctions liées à la sécurité
58Systèmes embarqués dans lautomobile Sûreté de
fonctionnement des architectures électroniques
embarquées dans lautomobile
- Quelques éléments de comparaison entre
lavionique et lautomobile (source P. Koopmann
Carnegie Mellon)
59Systèmes embarqués dans lautomobile Sûreté de
fonctionnement des architectures électroniques
embarquées dans lautomobile
- Pourquoi ne pas utiliser les mêmes approches dans
lautomobile et lavionique ? (source P. Koopmann
Carnegie Mellon) - Redondance massive du matériel ?
- espace, poids, coût
- Logiciel sans faute ?
- 10 nouvelles fonctions / mois
- 200 fonctions ? 800 fonctions sur 25
calculateurs - Maintenance non systématisée qualité des
véhicules - ?Démarrage avec un réservoir presque vide, une
niveau dhuile critique - ?Ignorance des indicateurs (huile, )
- ?Les vieux véhicules continuent à rouler
- Opérateurs
- Non qualifiés
- Pas de contrôle annuel
-
coûteux
60Systèmes embarqués dans lautomobile Sûreté de
fonctionnement des architectures électroniques
embarquées dans lautomobile
- Réglementation
- Rien pour linstant aux niveaux nationaux ou
internationaux des préconisations internes - TüV
- Certification
- Standardisation
- DO 178B (aéronautique)
- EN 50128 (transports ferroviaires)
- MISRA
Évaluation quantitative
Probabilité doccurrence dune défaillance en une
heure lt 10 -9
61Systèmes embarqués dans lautomobileSystème
X-by-Wire et sûreté de fonctionnement
- Brake by Wire
- poids, confort, souplesse, suppression de
liquides polluants,
- Système électronique
- capteurs, actionneurs,
- calculateurs, logiciels,
- réseaux
PSA communication service
62Systèmes embarqués dans lautomobileSystème
X-by-Wire et sûreté de fonctionnement
- Steer by Wire
- sécurité, poids, confort, souplesse
Des fonctions critiques
Crédit photographique PSA Peugeot - Citroën
63Systèmes embarqués dans lautomobileSûreté des
applications X-by-Wire
Les systèmes de direction ou freinage tout
électronique sont des systèmes critiques pour
la sécurité
Comment garantir / vérifier cette propriété sur
une architecture opérationnelle ?
64Systèmes embarqués dans lautomobileSûreté des
applications X-by-Wire
Probabilité davoir une défaillance en une heure
lt 10-9
65Systèmes embarqués dans lautomobileSûreté des
applications X-by-Wire
66Systèmes embarqués dans lautomobileSûreté des
applications X-by-Wire
t
Évolution de langle volant
a
a
Calculateur angle volant
a
Réseau
a
Calculateur crémaillère
a
67Systèmes embarqués dans lautomobileSûreté des
applications X-by-Wire
- Retard électronique sous perturbations
t
Évolution de langle volant
b
b
Calculateur angle volant
b
Réseau
????
Calculateur crémaillère
68Plan
- Systèmes embarqués mais encore
- Caractéristiques générales
- Challenges principaux
- Exemple systèmes embarqués dans lautomobile
- Conclusions
69En guise de conclusions
- Les systèmes embarqués
- sont omniprésents à lheure actuelle,
- interagissent au sein de systèmes plus vastes
- Les challenges
- coût, performances, qualité
- réglementations, responsabilités,
- sûreté disponibilité, fiabilité,
sécurité-innocuité, sécurité-confidentialité, - maîtrise de leur développement, de leur
évaluation - logiciels prépondérants systèmes
(environnement, matériels)
? nouveaux métiers pour les informaticiens
70Le programme du cours SI144
- Mécanismes de base des systèmes dexploitation
temps réel (11/2/09) - Ordonnancement temps réel (4/3/09 et 11/3/09)
- Réseaux embarqués temps réel (18/3/09 et 1/4/09)
- Approches synchrones pour la modélisation et la
conception des systèmes (5/5/09 et 6/5/09)
71Références bibliographiques
- Guide de la sûreté de fonctionnement
- J.-C. Laprie, J. Arlat, J.-P. Blanquart, A.
Costes, Y. Crouzet, Y. Deswarte, J.-C. Fabre, H.
Guillermain, M. Kaâniche, K. Kanoun, C. Mazet, D.
Powell, C. Rabéjac, P. Thévenot - ISBN 2-85428-382-1, Cépaduès-Editions, janvier
1996 - inclut une grande bibliographie
- Basic Concepts and Taxonomy of Dependable and
Secure Computing - A. Avizienis, J.-C. Laprie, B. Randell, C.
Lanwehr - IEEE Transactions on Dependable and Secure
Computing, Vol 1., N1, - January-March 2004.
- Norme internationale Vocabulaire électronique
international Chapitre 191 Sûreté de
Fonctionnement et qualité de service - 1990 - The Automotive embedded systems and their
requirements - N. Navet, F. Simonot-Lion,
- CRC Press, Ed. Nicolas Navet, Françoise
Simonot-Lion, 2008.