Approches outillées pour le développement de systèmes interactifs intégrant les aspects sûreté de fonctionnement et utilisabilité

Since the Airbus A380 and with the introduction of ARINC 661 standard, the glass cockpits are being replaced by interactive cockpits, by allowing the crew to control aircraft systems through display unit by using keyboard and cursor control unit (KCCU). Currently only secondary aircraft systems which are non-critical are managed using such interactive cockpits. To be able to generalize such features to critical aircraft system, the main question remains to understand how to match dependability requirements for such systems while preserving usability properties. To reach the goal of using such interactive techniques within safety critical aircraft systems, our research work has followed three main directions. The first approach is to tend to zero default design, by realizing the precise and unambiguous description of software components of interactive system, using formal description technique. The second approach consists in the use of fault tolerant mechanisms, to treat design residual fault, physical fault or environmental fault. These fault tolerant mechanisms enable the continuity of service despite the occurrence of fault. The third approach is the clarification of the impact of different fault tolerant mechanisms on the usability of the interactive system. This clarification is done by using and analyzing task models, describing the user activity of the systemDepuis l'A380 et avec l'introduction du standard ARINC 661, les systèmes d'affichage et de contrôle des cockpits sont passés d'un rôle de simple afficheur, à celui d'un système interactif permettant à l'équipage d'interagir sur les écrans grâce à l'utilisation d'un ensemble clavier/dispositif de pointage appelé KCCU. L'utilisation de cette nouvelle capacité d'interaction est à ce jour limitée à des interactions avec des systèmes avions non critiques. Pour envisager son extension à des systèmes critiques il faut se poser la question du respect d'exigences de sureté de fonctionnement imposées à de tels systèmes sans pour autant diminuer son niveau d'utilisabilité. Dans cette optique, nous proposons dans le cadre de nos travaux de recherche, différentes approches pour contribuer au développement d'un tel système interactif critique. La première approche est de tendre vers une conception zéro défaut, en réalisant une description précise et non ambigüe des composants logiciels du système interactif en utilisant une technique de description formelle. La seconde approche est l'utilisation de techniques de tolérance aux fautes car il existe toujours des fautes résiduelles de conception, des fautes matérielles ou venant de l'environnement. Dans ce cas, l'utilisation de technique de tolérance aux fautes permet au système de continuer à remplir ses fonctions en dépit de l'occurrence de fautes. La troisième approche est l'explicitation de l'impact des différentes approches de tolérance aux fautes sur l'utilisabilité du système interactif. Cette explicitation est faite au travers de la réalisation et de l'analyse des modèles de tâche, décrivant l'activité de l'utilisateur du système

Approches outillées pour le développement des systèmes interactifs intégrant les aspects sûreté de fonctionnement et utilisabilité

Depuis l'A380 et avec l'introduction du standard ARINC 661, les systèmes d'affichage et de contrôle des cockpits sont passés d'un rôle de simple afficheur, à celui d'un système interactif permettant à l'équipage d'interagir sur les écrans grâce à l'utilisation d'un ensemble clavier/dispositif de pointage appelé KCCU. L'utilisation de cette nouvelle capacité d'interaction est à ce jour limitée à des interactions avec des systèmes avions non critiques. Pour envisager son extension à des systèmes critiques il faut se poser la question du respect d'exigences de sureté de fonctionnement imposées à de tels systèmes sans pour autant diminuer son niveau d'utilisabilité. Dans cette optique, nous proposons dans le cadre de nos travaux de recherche, différentes approches pour contribuer au développement d'un tel système interactif critique. La première approche est de tendre vers une conception zéro défaut, en réalisant une description précise et non ambigüe des composants logiciels du système interactif en utilisant une technique de description formelle. La seconde approche est l'utilisation de techniques de tolérance aux fautes car il existe toujours des fautes résiduelles de conception, des fautes matérielles ou venant de l'environnement. Dans ce cas, l'utilisation de technique de tolérance aux fautes permet au système de continuer à remplir ses fonctions en dépit de l'occurrence de fautes. La troisième approche est l'explicitation de l'impact des différentes approches de tolérance aux fautes sur l'utilisabilité du système interactif. Cette explicitation est faite au travers de la réalisation et de l'analyse des modèles de tâche, décrivant l'activité de l'utilisateur du système.Since the Airbus A380 and with the introduction of ARINC 661 standard, the glass cockpits are being replaced by interactive cockpits, by allowing the crew to control aircraft systems through display unit by using keyboard and cursor control unit (KCCU). Currently only secondary aircraft systems which are non-critical are managed using such interactive cockpits. To be able to generalize such features to critical aircraft system, the main question remains to understand how to match dependability requirements for such systems while preserving usability properties. To reach the goal of using such interactive techniques within safety critical aircraft systems, our research work has followed three main directions. The first approach is to tend to zero default design, by realizing the precise and unambiguous description of software components of interactive system, using formal description technique. The second approach consists in the use of fault tolerant mechanisms, to treat design residual fault, physical fault or environmental fault. These fault tolerant mechanisms enable the continuity of service despite the occurrence of fault. The third approach is the clarification of the impact of different fault tolerant mechanisms on the usability of the interactive system. This clarification is done by using and analyzing task models, describing the user activity of the system

Réseau de communication à haut niveau d'intégrité pour des systèmes de commande-contrôle critiques intégrant des nappes de microsystèmes

Vu le développement important des micro-systèmes, leur utilisation sous forme de nappes dans les systèmes de commande-contrôle critiques est incontournable. Cela soulève néanmoins des défis, parmi lesquels la définition d'un système de communication à haut niveau d'intégrité. L'étude que nous avons effectuée sur des réseaux standard montre que les protections classiques à base de codes CRC ne permettent pas d'obtenir le niveau d'intégrité visé. Pour l'atteindre, nous avons proposé une solution originale - fonction de contrôle évolutive - qui tire profit du fait que, pour les systèmes de commande-contrôle envisagés (systèmes à dynamique lente), l'intégrité est à considérer sur un lot de messages et non un seul message. La solution proposée a ensuite été validée via des simulations Matlab-Simulink. Le cas d'étude utilisé est celui de systèmes de commande de vol du futur, en vue de pouvoir commander des nappes de milliers de micro-surfaces tels que des micro-spoilers. ABSTRACT : With the wide development of microsystems, it is likely that they will be massively used in critical control systems. This raises many new challenges, among which the definition of a dependable communication network with high integrity level. The study of standard communication networks and their basic commonly used transmission errors detection techniques based on CRC codes shows that they cannott ensure the required integrity level. To reach this integrity level, we propose an original solution - an evolutive error control function - based on the slowly evolution characteristic of the control systems considered, for which the integrity is considered for a set of consecutive messages and not for a single message. The validation of the proposed solution is based on MATLAB simulation models we have developed. The study case is about the integration of thousands of micro-surfaces such as micro-spoilers in future flight control systems

Tolérance aux fautes dans les systèmes autonomes

Les systèmes autonomes suscitent aujourd'hui un intérêt croissant, que ce soit dans le domaine des robots d'exploration spatiale ou dans des domaines plus proches de l'homme, tels que les robots de service. Mais se pose le problème de leur sûreté de fonctionnement : peut-on avoir une confiance justifiée dans le comportement de systèmes conçus pour prendre des décisions sans intervention humaine? L'objectif de cette thèse est de proposer des concepts architecturaux capables d'améliorer la sûreté de fonctionnement des systèmes autonomes, en particulier par la conception et le développement de mécanismes de tolérance aux fautes adaptés à la fonction de planification, centrale à l'autonomie des systèmes complexes. Une évaluation des performances et de l'efficacité des mécanismes proposés est réalisée en utilisant la technique d'injection de fautes par mutation. ABSTRACT : Autonomous systems generate today a rising interest, whether in fields such as space exploration or applications nearer to man such as medical assistants, tour guides or utonomous vehicles. However, such critical applications raise the question of their dependability : can we justifiably trust systems designed to take decisions without human intervention? The objective of this thesis is to propose architectural concepts able to improve dependability in autonomous systems. In particular, it presents the design and implementation of fault tolerance mechanisms adapted to planning, an essential functionality in autonomous systems. An evaluation of the performance and the efficacy of the proposed mechanisms is realized by fault injection through source code mutatio

Architectures innovantes de systèmes de commandes de vol

L'aboutissement aux Commandes de Vol Électriques (CDVE) des avions civils actuels s'est fait par étapes, après une longue maturation des différentes technologies mises en place. La prochaine étape est l'utilisation de communications intégralement numériques et d'actionneurs intelligents. Cette thèse propose de nouvelles architectures, en rupture avec l'état de l'art, avec de nouvelles répartitions des fonctions intelligentes entre l'avionique centrale (calculateurs de commandes de vols) et l'avionique déportée (électroniques locales des actionneurs) dont l'avantage est d'exiger moins de ressources par rapport aux architectures conventionnelles tout en satisfaisant les mêmes exigences de sécurité et de disponibilité ainsi que les exigences croissantes en fiabilité opérationnelle de la part des compagnies aériennes. La sûreté de fonctionnement et la robustesse des nouvelles architectures proposées ont été validées respectivement sous OCAS/Altarica et Matlab/Simulink. ABSTRACT : The current civil aircraft's electrical flight control has been changed to take benefit of technical improvements. New technologies, when mature, can be incorporated in aircrafts. Evolutions are considered towards a digital communication and intelligent actuators. This thesis is aiming at proposing alternative architectures with distribution of system functionality between flight control computers and actuators with less hardware and software resources. New architectures must meet the same safety and availability requirements with additional operational reliability (required by airlines). Dependability and robustness of new architectures have been validated trough respectively OCAS / AltaRica and Matlab / Simulin

Des classes autotestables

International audienceDans le double but d'améliorer le processus de développement et de maintenance des com-posants logiciels et de disposer d'un support pédagogique cohérent pour l'apprentissage de la programmation par objets, nous avons développé le concept de classe auto-testable. Ce concept est étroitement lié à l'approche de programmation contractuelle introduite par B.Meyer et aux besoins d'auto-documentation des composants logiciels. Après avoir précisé la nature et les objectifs des tests que nous souhaitons réaliser, nous spécifions un modèle général de classe auto-testable, indépendant du langage utilisé, et nous en précisons les modalités d'application. Des prototypes d'implémentation en Eiffel, Perl, Java et C++ ont été réalisés et exploités dans diverses situations. Pour les trois derniers langages, cette implémentation a conduit au développement d'un mécanisme simple de chien de garde des contrats. ABSTRACT. We define the concept of Self-Testable Class with a double aim: to improve the process of software components development and maintenance, and to have a coherent teaching support for object oriented programming training. This concept is closely related to the so-called "programming by contracts" approach (B.Meyer) and to the software components self-documentation. We show the nature and the objectives of the tests in an object oriented software development. Then, we specify a general, language independent Self-Testable Class model. A simple example is given. Implementation prototypes in Eiffel, Perl, Java and C++ have been produced and exploited in various situations. For all but the first one, this implementation has required the development of a simple "contracts watchdog" mechanism

Conception de controleurs autotestables pour des hypotheses de pannes analytiques

Dans cette étude nous nous intéressons aux contrôleurs utilisés dans des systèmes autotestables, pour le test des sorties, combinatoires ou séquentielles, du bloc fonctionnel. Deux classes de contrôleurs sont abordées: les "Strongly Code Disjoint" (SCD) qui vérifient une propriété combinatoire, et les "Strongly Language Disjoint" (SLD), où la propriété vérifiée est séquentielle. Pour la première, nous examinons la conception des contrôleurs NMOS à partir de l'assemblage des cellules, des règles de conception pour celles-ci, et des hypothèses de pannes pouvant survenir dans les systèmes aussi bien que dans quelques structures spécifiques de contrôleurs. Les contróleurs "Strongly Language Disjoint" définis ici component la plus large classe qui, associèe à des circuits "sequentially self-checking", permet au système d'atteindre le "TSC goal" sous certaines hypothèses de pannes. Its conservent la propriété "language-disjoint" même en présence de fautes. Des propositions pour la conception de ces contrôleurs sont également données -nous vérifions la possibilité de les construire à partir de blocs combinatoires. Toutes les considárations pratiques sont basáes sur des hypothèses de pannes analytiques

Conception de controleurs autotestables pour des hypotheses de pannes analytiques

Dans cette étude nous nous intéressons aux contrôleurs utilisés dans des systèmes autotestables, pour le test des sorties, combinatoires ou séquentielles, du bloc fonctionnel. Deux classes de contrôleurs sont abordées: les "Strongly Code Disjoint" (SCD) qui vérifient une propriété combinatoire, et les "Strongly Language Disjoint" (SLD), où la propriété vérifiée est séquentielle. Pour la première, nous examinons la conception des contrôleurs NMOS à partir de l'assemblage des cellules, des règles de conception pour celles-ci, et des hypothèses de pannes pouvant survenir dans les systèmes aussi bien que dans quelques structures spécifiques de contrôleurs. Les contróleurs "Strongly Language Disjoint" définis ici component la plus large classe qui, associèe à des circuits "sequentially self-checking", permet au système d'atteindre le "TSC goal" sous certaines hypothèses de pannes. Its conservent la propriété "language-disjoint" même en présence de fautes. Des propositions pour la conception de ces contrôleurs sont également données -nous vérifions la possibilité de les construire à partir de blocs combinatoires. Toutes les considárations pratiques sont basáes sur des hypothèses de pannes analytiques

Générateur de machines séquentielles autotestables pour circuits intégrés spécifiques

International audienceThis paper presents an original method using a ROM memory, of systematically synthesizing on-line and offline self-testing synchronous sequential machines (automata, sequencers,), for the design of compiled ASIC’S. Choices about state transition graph coding and circuit architecture are related to simplicity, compactness, operating rate and especially to testability. The on-line and off-line testing is based on an error detecting code of a recurrent type: in addition to useful data, the ROM memory contains redundant information which is distributed between two consecutive states. This method guarantees both present state coherence and past transition conformity. On-line testing is based in this type of coding, called distributed redundancy coding. Its fault coverage is given for different classes of hardware failures. Off-line testing, which is exhaustive, uses the distributed redundancy coding technique and consists in scanning all the possible graph transitions in memory address order.Cet article présente une méthode originate de syn-thése systématique, à base de mémoire morte, de machines séquentielles synchrones (automate, séquen-ceur,...) autotestables en ligne et hors ligne, pour circuits intégrés spécifiques compilés. Les choix en matière de codage de graphe et d’architecture de circuit y sont justifiés relativement aux objectifs de simplicité, de fai-ble encombrement, de rapidité de fonctionnement et plus particulièrement de testabilité. Le test, en ligne et hors ligne, fait appel à un codage détecteur d'erreurs de nature récurrente; outre les données utiles, propres au codage de la machine, la mémoire morte contient des informations redondantes distribu’tes entre deux états consécutifs, ce qui garantit, non seulement la cohérence de I' etat présent, mais aussi la conformité de la transition passée. Ce type de codage, dit à redondance dis-tribuée, est à la base du test en ligne; son taux de confiance est donné pour différentes classes de défail-lances matérielles. Le test hors ligne, exhaustif consiste simplement, en exploitant le test à redondance distribuée à parcourir dans I’ordre des adresses de la mémoire toutes les transitions possibles du graphe