Fault Tolerant Services for Safe In-Car Embedded Systems

http://www.taylorandfrancis.com/Due to the increasing criticality of the functions in terms of safety, embedded automotive systems must now respect stringent dependability constraints despite the faults that may occur in a very harsh environment. In a context where critical functions are distributed over the network, the communication system plays a major role. First, we discuss the main services and functionalities that a communication system should offer for easying the design of fault-tolerant applications in the automotive context. Then, we review the features of the protocols that are currently considered for being used and, finally, we highlight areas where developments are still needed

Design of automotive X-by-Wire systems

http://www.taylorandfrancis.com/X-by-Wire is a generic term referring to the replacement of mechanical or hydraulic systems, such as braking or steering, by electronic ones. In this chapter, we analyze the real-time and dependability constraints of X-by-Wire systems, review the fault-tolerant services that are needed and the communication protocols (TTP/C, FlexRay and TTCAN) considered for use in such systems. Using a Steer-by-Wire case-study, we detail the design principles and verification methods that can be used to ensure the stringent constraints of X-by-Wire systems

Les réseaux temps réel embarqués dans les véhicules

Dans les années à venir, la plupart des prestations offertes sur un véhicule automobile seront assurées par un système embarqué reposant sur des technologies numériques. Initialement, chaque nouvelle prestation était réalisée sous forme d'un nœud (désigné sous le terme anglais d'Electronic Control Unit ou ECU) autonome, à savoir un microcontrôleur supportant le logiciel contrôlant l'ensemble des capteurs et des actionneurs. Rapidement, cette technique a montré ses limites. En effet, la nature même de certaines prestations comme le freinage, la direction, l'éclairage, la gestion des portières, le diagnostic, etc., impose de plus en plus une distribution des fonctions les réalisant sur un ensemble de calculateurs. De plus, il est actuellement difficile de considérer une fonction indépendamment des autres ; par exemple, la vitesse véhicule qui est élaborée notamment par le système de contrôle du moteur est nécessaire à la réalisation d'autres fonctions comme le contrôle de la suspension, la vitesse de balayage des essuie-glaces, etc. C'est ainsi que, actuellement, sur un véhicule haut de gamme, il peut y avoir jusqu'à 2500 informations, ou signaux, échangés entre des fonctions réparties sur environ 70 ECUs [ALB 04]. Dés lors, pour des raisons de coût, de poids, d'encombrement, de complexité de câblage, il est devenu rapidement impossible de supporter ces échanges par des connexions point à point et l'utilisation de réseaux locaux embarqués est apparu comme une solution incontournable. Les besoins spécifiques de chacun des domaines fonctionnelles d'un véhicule (contrôle moteur, habitacle, ...) ont conduits au développement d'un grand nombre de réseaux automobiles tels que LIN, J1850, CAN, TTP/C, FlexRay, IDB1394, etc ... Nous présentons les principales techniques d'accès au médium en illustrant avec les réseaux les plus couramment utilisés. Ensuite, nous décrirons les développements actuels en matière d'intergiciels automobiles. Enfin, nous montrerons comment la sûreté d'un système dépend des services fournis par l'architecture de communication embarquée

Formal Verification Of The TTP Group Membership Algorithm

This paper describes the formal verification of a fault-tolerant group membership algorithm that constitutes one of the central services of the Time-Triggered Protocol (TTP). The group membership algorithm is formally specified and verified using a diagrammatic representation of the algorithm. We describe the stepwise development of the diagram and outline the main part of the correctness proof. The verification has been mechanically checked with the PVS theorem prover

Vers la convergence de réseaux dans l'avionique

AFDX est le standard Ethernet commuté utilisé pour la transmission des flux avioniques. Pour des raisons de certification, le réseau AFDX déployé à présent dans les avions civils est très peu chargé. Cette thèse vise à étudier la possibilité envisagée par les avionneurs d’utiliser la bande passante AFDX restante pour transporter des flux non-avioniques additionnels (vidéo, audio, service). Ces flux ne doivent pas affecter les délais de transmission des flux avioniques. Pour multiplexer des flux avioniques et non-avioniques des politiques d’ordonnancement sont nécessaires au niveau des systèmes d’extrémité (end systems) et des commutateurs. Dans cette thèse, nous considérons l’exemple de la transmission sur AFDX de flux vidéo provenant des caméras de surveillance de l’avion. Le multiplexage des flux avioniques et vidéo est réalisé par l’introduction d’une table d’ordonnancement au niveau des end systems émetteurs et d’une politique de type SPQ dans les ports de sortie du commutateur. Cette solution préserve les contraintes temps-réel des flux avioniques, mais peut introduire des variations sur les délais de bout-en-bout des flux vidéo. Une allocation appropriée des flux avioniques dans la table d’ordonnancement peut réduire le retard d’émission des flux vidéo et ainsi, limiter les variations de délai. Nous proposons deux stratégies d’allocation des flux avioniques dans la table d’ordonnancement : une heuristique simple et une allocation optimale. L’allocation optimale est dérivée en résolvant un problème d’optimisation par contraintes qui minimise le retard d’émission des flux vidéo. Dans le cas des end systems moins chargés, l’allocation par heuristique est proche de l’optimale

Formal Verification of the TTP Group Membership Algorithm

Abstract This paper describes the formal verification of a fault-tolerant group membership algorithm that constitutes one of the central services of the Time-Triggered Protocol (TTP). The group membership algorithm is formally specified and verified using a diagrammatic representation of the algorithm. We describe the stepwise development of the diagram and outline the main part of the correctness proof. The verification has been mechanically checked with the PVS theorem prover. Keywords: Deductive verification, Time-Triggered Architecture, fault-tolerant distributed algorithms, safety-critical control

Resilience-Building Technologies: State of Knowledge -- ReSIST NoE Deliverable D12

This document is the first product of work package WP2, "Resilience-building and -scaling technologies", in the programme of jointly executed research (JER) of the ReSIST Network of Excellenc