TOGUYENI A. Diagnostic des systèmes embarqués critiques 21/04/23 p 1

Diagnostic des systèmes embarqués critiques :

Application à la carte de commande du système de freinage d’un train

Saddem Ramla , Toguyéni Armand, Moncef Tagina*

Ecole Centrale de Lille/LAGIS (France)

{ramla.sadem|armand.toguyeni}@ec-lille.fr

*ENSI de Tunis/SOIE (Tunisie)

*moncef.tagina@ensi.rnu.tn

Introduction : contexte

In

Il

I1

I2

Reset

clock

-controller / FPGA

Oik

Composant

DC1

DC2

RIRk

2/3Ok

IR2k

IR1k O1

k

O2k

DC3

IR3k O3

k

Système

TOGUYENI A. Diagnostic des systèmes embarqués critiques 21/04/23 p 2

TOGUYENI A. Diagnostic des systèmes embarqués critiques 21/04/23 p 3

Plan

Introduction Diagnostic des SED Construction d’un modèle comportemental Construction de diagnostiqueurs Implémentation répartie Conclusions et perspectives

Problématique (1) Contexte :

Commande embarqué dans les trains

Objectifs : Réduction du « Time to Market », Réduction des délais de rétrofite Réduction des coûts Favoriser le développement de nouvelles

fonctionnalités

TOGUYENI A. Diagnostic des systèmes embarqués critiques 21/04/23 p 4

Problématique

Comportemental

Diagnostiqueur

Diagnostic SED

Implémentation

Conclusion

Problématique (2)

Moyen Utilisation de COTS (Commercial Off-the-

shelf) numériques (Micro-contrôleurs, FPGA, microprocesseurs) pour le contrôle-commande.

Contraintes Normes de sécurité

Objectif dérivé : Proposer une méthode efficace de diagnostic

pour isoler en ligne la première défaillance des systèmes embarqués critiques.

TOGUYENI A. Diagnostic des systèmes embarqués critiques 21/04/23 p 5

Problématique

Comportemental

Diagnostiqueur

Diagnostic SED

Implémentation

Conclusion

TOGUYENI A. Diagnostic des systèmes embarqués critiques 21/04/23 p 6

Diagnostic des défaillances des SED (1)

Objectif : Diagnostic des défaillances de la partie commande.

Hypothèse : La partie opérative est supposée correcte.

Partie Comande

Partie Opérative

Détection/Diagnostic

comptes-rendus

ordres

Traitement des défaillances

Défaillances

Problématique

Comportemental

Diagnostiqueur

Diagnostic SED

Implémentation

Conclusion

Diagnostic des défaillances des SED (2)

Deux approches possibles : Approche chroniques ou Signatures Temporelles

Causales [DER82], [TOG92], [DOU93]

Approche diagnostiqueur Principale limite : explosion

combinatoire

TOGUYENI A. Diagnostic des systèmes embarqués critiques 21/04/23 p 7

E0

E2

E1

E4

E3[10,12] [16,18]

[14,14]

[20,20]

Graphe temporel

E0

E2

E1

E4

E3[10,12] [16,18]

[14,14]

[20,20]

[6,6]

[4,8]

[2,4][2,4]

[8,10][2,4]

Problématique

Comportemental

Diagnostiqueur

Diagnostic SED

Implémentation

Conclusion

Diagnostiqueur Un diagnostiqueur est un observateur auquel

on a associé une fonction de décision afin d'évaluer si le système est dans un état normal ou défaillant. Un observateur modélise l’ensemble des

comportements observables d’un système. les observateurs pour la reconnaissance d’états les observateurs pour la reconnaissance

d’événements

On peut faire des observateurs avec : Automates à états finis [SAM95] Réseaux de Petri [GIU 98][USH 98] Automates Temporisés [CAS 08]

TOGUYENI A. Diagnostic des systèmes embarqués critiques 21/04/23 p 8

Problématique

Comportemental

Diagnostiqueur

Diagnostic SED

Implémentation

Conclusion

Automate temporisé Un automate temporisé A est un tuple (L, ℓ0, X, , E, Inv) avec :

L est un ensemble fini d’états ℓ0 est l’état initial X est un ensemble fini d’horloges avec xi + est un ensemble fini d’actions E L × C(X) × × 2X × L est un ensemble fini de transitions Inv C(X)L associe une contrainte à chaque état ;

Un automate temporisé étend la notion d’automate à états finis. Le temps est ajouté par le biais d’horloge Deux types de contraintes temporelles : les invariants et les gardes

TOGUYENI A. Diagnostic des systèmes embarqués critiques 21/04/23 p 9

[x<5]

l1 l2

[x<3]

x>2, e , x:=0

InvariantGarde

Problématique

Comportemental

Diagnostiqueur

Diagnostic SED

Implémentation

Conclusion

Pour construire le modèle comportemental d’une carte, on doit résoudre des contraintes :

Independence vis à vis de l’application L’explosion combinatoire

Formalisme à états Nombres entrées-sorties

Une piste : l’abstraction du comportement

Construction du modèle comportemental (1)

TOGUYENI A. Diagnostic des systèmes embarqués critiques 21/04/23 p 10

Problématique

Comportemental

Diagnostiqueur

Diagnostic SED

Implémentation

Conclusion

TOGUYENI A. Diagnostic des systèmes embarqués critiques 21/04/23 p 11

Construction du modèle comportemental (2)

Découpler chaque sortie de la carte de commande et l’étudier séparément,

Pour chaque sortie, ne pas considérer l’ensemble des entrées qui permettent de la générer mais considérer un signal de référence,

Abstraire le comportement de chaque carte fille par rapport à une sortie Ok, à une spécification temporelle entre le signal de référence et la sortie.

Problématique

Comportemental

Diagnostiqueur

Diagnostic SED

Implémentation

Conclusion

Notion de signal de référence Etant donné une sortie Ok de la carte de commande,

comment lui associer un signal de référence ? Exemple : Ok=f(Ix, Iy, Iz)

TOGUYENI A. Diagnostic des systèmes embarqués critiques 21/04/23 p 12

wait-0

wait-1wait-3

wait-4wait-5 wait-6

RIK

Ix /

Iy/

Iz /

Ix /

Iz / Iy/

Ix /RIkIy / RIk

wait-2

Ix /

Iz /

Iy /

Iz / RIk

Problématique

Comportemental

Diagnostiqueur

Diagnostic SED

Implémentation

Conclusion

DC1

DC2

RRIk

2/3Ok

RI2k

RI1k O1k

O2k

DC3RI3k O3k

RIk O1k

0 2 9

t

RIk O2k

0 2 9

t

RIk O3k

0 2 9

t

10

RIk Ok

0

t

11

Cartes filles DCi

Voteur 2/3

Abstraction temporelle du comportement

TOGUYENI A. Diagnostic des systèmes embarqués critiques 21/04/23 p 13

Problématique

Comportemental

Diagnostiqueur

Diagnostic SED

Implémentation

Conclusion

Abstraction du comportement normal du carte‘DCi’

0

RIk ; xi := 0

1

xi 2 ; Oik[xi 9]

RIk Oik

0 2 9

t

TOGUYENI A. Diagnostic des systèmes embarqués critiques 21/04/23 p 14

Problématique

Comportemental

Diagnostiqueur

Diagnostic SED

Implémentation

Conclusion

Etat Normal

Etat défaillant

Evénement locauxfi -> défaillance de DCiri -> réparation de DCi

-> time-out

0

RIk ; xi := 0

1

xi 2 ; Oik[xi

9]

3

4

fiRIk ; xi := 0

fi[xi 9]

5

xi = 9 ;

ri

Modèle comportemental d’une carte fille (1)

Contexte : Modèle complet : prise en compte du

comportement normal et défaillant Observation uniquement locale

TOGUYENI A. Diagnostic des systèmes embarqués critiques 21/04/23 p 15

Problématique

Comportemental

Diagnostiqueur

Diagnostic SED

Implémentation

Conclusion

0RIk ; xi := 0

5

1

2

4

Oik ; xi 2

Ok ; xi 10

[xi 9]

fi

fi

[xi 11]

10 xi ; Ok

Ojk

3 RIk ; xi := 0

Ojk

Ojk

[xi 11] ri

Evts DescriptionObservable

?

OkSortie votée k

Oui

RIkSignal de

référence de Ok

Oui

Oikkème sortie de la carte i

Oui

Ojkkème sortie de la carte j

Oui

fiDéfaillance

de DCiNon

RiRéparation

de DCiOui

Modèle comportemental d’une carte fille (2)

Contexte : Modèle complet : prise ne compte du comportement normal et

défaillant Observation globale (prise en compte des événements observables

des autres composants)

TOGUYENI A. Diagnostic des systèmes embarqués critiques 21/04/23 p 16

Problématique

Comportemental

Diagnostiqueur

Diagnostic SED

Implémentation

Conclusion

Construction d’un diagnostiqueur (1) : approche standard

TOGUYENI A. Diagnostic des systèmes embarqués critiques 21/04/23 p 17

Etape 1 : Modélisation du sous-système

Modèle comportemental complet avec observation

globale S1

Etape 3: Déterminisation

Observateur

Etape 4: Renseignement de

l’observateur

Etape 2 : Produit Synchrone

Diagnostiqueur globaldu système

Spécification du sous-système

Modèle comportemental global du système

Modèle comportemental complet avec observation

globale Sn

0

3

2

1

f1

f2

RIk;x1:=0x2:=0

4

5

RIk;x1:=0x2:=0

f2

x1,2 9

f1

6f2

7

8

O2k; x22

O1k; x12

f1

RIk; x1:=0 ;x2:=0

x1,2 9

9

f2

10O2k; x22

RIk; x1:=0; x2:=0

x1,2 9

f1

11O1k; x12

f1

12

O1k; x12x1 9

x2 9

O2k; x22

x1,2 9

13

14

15

16

17

Ok; x110; x2 10

x1 9

Ok; x110; x2 10

x1,2 9

x1,2 11

Ok; 10x2 9 ;

10 x1 11x1 11;x2 9

Ok; 10x1,211

r2r1

r1f2

f1

r1r2

r2

x1 11;x2 11

12 Normal16 F1

17 F2

9 F1&F2

Construction d’un diagnostiqueur (2) : approche standard

TOGUYENI A. Diagnostic des systèmes embarqués critiques 21/04/23 p 18

Construction d’un diagnostiqueur (3) : approche standard Taille du modèle d’une carte fille

6 états, 7 transitions Taille du modèle de comportement

global 54 états, 97 transitions pour une sortie

de la carte de commande Explosion combinatoire

Besoin d’une nouvelle approche

TOGUYENI A. Diagnostic des systèmes embarqués critiques 21/04/23 p 19

Problématique

Comportemental

Diagnostiqueur

Diagnostic SED

Implémentation

Conclusion

Diagnostiqueur du système : 2 cartes filles

r1 ; x1:=0, x2:=0

0RIk; x1:=0; x2:=0

3

1

6

2x2

9 ; O2k

x111;x211

10x111 , 10x211Ok ; x1:=0, x2:=0

2x19 ; O1kx111;x211

x111;x211

4

x111;x211

2x29; O2k

2x19; O1k

5

10x111 , 10x211Ok ; x1:=0, x2:=0

710x111 , 10x211

Ok ; x1:=0, x2:=0

F1

F2

r2 ; x1:=0, x2:=0

8

10x111 , 10x211Ok ; x1:=0, x2:=0

TOGUYENI A. Diagnostic des systèmes embarqués critiques 21/04/23 p 20

Problématique

Comportemental

Diagnostiqueur

Diagnostic SED

Implémentation

Conclusion

Construction d’un diagnostiqueur (4) : approche proposée

TOGUYENI A. Diagnostic des systèmes embarqués critiques 21/04/23 p 21

Etape 1 : Modélisation du

sous-système

Modèle comportemental complet avec observation

globale

Etape 2: Déterminisation

Observateur

Etape 3: Renseignement de

l’observateur

Diagnostiqueur localS1

Etape 4: Produit Synchrone

Diagnostiqueur localSn

Diagnostiqueur globaldu système

Spécification du sous-système

0RIk ; xi:=0

5

1

2

4

Oik ; xi 2Ok ; xi 10

[xi 9]

Fi

Fi

[xi 11]

10 xi ; Ok

Ojk

3 RIk ; xi := 0

Ojk

Ojk

[xi 11]

0,3 1,4 5Ok; 10xi11

0RIk ; xi := 0

5

1

2

4

Oik; xi2Ok; xi 10

[xi 9]

Fi

Fi

[xi 11]

10 xi ; Ok

Ojk

3 RIk ; xi := 0

Ojk

Oj1

[xi11]

Normal

Incertain

F1

[xi 11]

Diagnostiqueur local (1/2) : déterminisation

Ri

Ri

Ri

TOGUYENI A. Diagnostic des systèmes embarqués critiques 21/04/23 p 22

aRIk; xi := 0

db

c

Oik; 2xi9

Ok; 10 xi 11

[xi 11]

[xi 11]

Ok; 10 xi 11

Ojk

Ojk

Normal

Incertain

F1

Ri

Diagnostiqueur local (2/3) : 1 carte fille

TOGUYENI A. Diagnostic des systèmes embarqués critiques 21/04/23 p 23

Problématique

Comportemental

Diagnostiqueur

Diagnostic SED

Implémentation

Conclusion

Diagnostiqueur local (3/3) : 2 cartes filles

0<a,a>

RIk; x1:=0; x2:=0

<c,b>

1<b,b>

<b,c>

2x29 ; O2k

x111;

x211

10x111 , 10x211Ok ; x1:=0, x2:=0

2x19 ; O1kx111

;x211

x111;

x211

4<c,c>

x111;

x211

2x29; O2k

2x19; O1k

<a,d>

10x111 , 10x211Ok ; x1:=0, x2:=0

<d,a>10x111 , 10x211

Ok ; x1:=0, x2:=0

F1

F2

r2 ; x1:=0, x2:=0

r1 ; x1:=0, x2:=0

<d,d>

10x111 , 10x211Ok ; x1:=0, x2:=0

TOGUYENI A. Diagnostic des systèmes embarqués critiques 21/04/23 p 24

Problématique

Comportemental

Diagnostiqueur

Diagnostic SED

Implémentation

Conclusion

a1 a2 a3

RIk; x1:=0 ;x2:=0;x3:=0

b1 b2b3

O1; 10x11110x21110x311

x111

x211

x311

d1 d2d3

c1 b2b3

b1 c2b3

b1 b2c3

c1 c2b3

c1 b2c3

b1 c2c3

a1 d2d3

d1 a2d3

d1 d2a3

a1 a2d3

a1 d2a3

d1 a2a3

c1 c2c3

O1k; 2x19

O2k; 2x29

O2k; 2x29

O2k; 2x29

O3k; 2x39

O1k; 2

x19

O1k

; 2x1

9

O3k; 2x39

O3k; 2

x39

Ok; 10x11110x21110x311

Ok; 10x11110x21110x311

Ok; 10x11110x21110x311

O3k; 2x39

O2k; 2

x29

O1k

; 2

x1

9

Ok; 10x11110x21110x311

Ok; 10x11110x21110x311

Ok; 10x11110x21110x311

Ok; 10x11110x21110x311

F2 & F3

F1 & F2 & F3

F3

F2

F1

F1 & F3F1 & F2

Diagnostiqueur global : 3 cartes filles

Implémentation répartie (1)

TOGUYENI A. Diagnostic des systèmes embarqués critiques 21/04/23 p 26

Modèle local i Modèle local k

Observateur local i Observateur local k

Diagnostiqueur local i Diagnostiqueur local k

Décideur i Décideur k

protocole de communication pour propager les décisions

des voisins

décision décision

Distribuée

Modèle global du système

Observateur local i

Observateur local k

Diagnostiqueur local i

Diagnostiqueur localk

Coordinateur

décision i décision k

décision

Décentralisée

Implémentation répartie (2)

TOGUYENI A. Diagnostic des systèmes embarqués critiques 21/04/23 p 27

Modèle local i Modèle local k

Observateur global/{Fi} Observateur global/{Fk}

Diagnostiqueur global/{Fi} Diagnostiqueur global/{Fk}

décision/{Fi} décision/{Fk}

Problématique

Comportemental

Diagnostiqueur

Diagnostic SED

Implémentation

Conclusion

Conclusions et perspectives L’approche diagnostiqueur est possible pour la

surveillance des cartes électroniques Il est possible de limiter l’explosion combinatoire

Découplage des sorties, abstraction de comportement, observation globale …

Possibilité de mise en œuvre répartie Chaque diagnostiqueur s’occupe d’une partition des

défaillances Pas d’ambigüité

Perspectives Diagnostic de plusieurs défaillances Couplage avec le graphe fonctionnel pour l’isolation

TOGUYENI A. Diagnostic des systèmes embarqués critiques 21/04/23 p 28

Problématique

Comportemental

Diagnostiqueur

Diagnostic SED

Implémentation

Conclusion

Merci pour votre attention ….

TOGUYENI A. Diagnostic des systèmes embarqués critiques 21/04/23 p 29

Diagnostic des systèmes embarqués critiques :

Application à la carte de commande du système de freinage d’un train