Quantitative Evaluation of the Safety of X-by-Wire Architecture subject to EMI Perturbations

The X-by-Wire systems in cars can only be accepted if they provide at least the same dependability than the traditional ones. In this paper we propose a new approach to evaluate the impact of the EMI perturbations on the dependability of an X-by-Wire architecture. The considered X-by-Wire architecture is distributed around a TDMA-like communication protocol. So a perturbation causes the loss of a communication cycle with a certain probability. The vehicle level failure is then defined as the consecutive loss of a certain number of communication cycles. Its reliability is modeled as that of the well-known consecutive-k-out-of-n:F systems. A case study, together with the EMI perturbations collected on the roads in France, is used to illustrate our approach

Design of automotive X-by-Wire systems

http://www.taylorandfrancis.com/X-by-Wire is a generic term referring to the replacement of mechanical or hydraulic systems, such as braking or steering, by electronic ones. In this chapter, we analyze the real-time and dependability constraints of X-by-Wire systems, review the fault-tolerant services that are needed and the communication protocols (TTP/C, FlexRay and TTCAN) considered for use in such systems. Using a Steer-by-Wire case-study, we detail the design principles and verification methods that can be used to ensure the stringent constraints of X-by-Wire systems

Evaluating Quality of Service and Behavioral Reliability of Steer-by-Wire Systems

Best Paper Award on Factory Automation. Colloque avec actes et comité de lecture. internationale.International audienceSteer-by-wire systems must meet not only reliability but also real-time requirements. This paper presents an integrated approach for evaluating both the temporal performance and the behavioral reliability of Steer-by-wire systems taking into account the delay variation introduced by network transmission errors. The considered temporal performance is the Quality of Service perceived by the user, i.e. the vehicle stability. Tests in vehicles and simulations have been realized to estimate the maximum tolerable response time of the system, and to evaluate the impact of this delay on the Quality of Service. We quantify then the worst case response time of the system for a generic architecture based on TDMA protocol but independent of the communication network (could actually be TTP/C or FlexRay), and apply these generic results to a case study. We further define the notion of behavioral reliability as the probability that the worst case response time is less than a threshold. In our case study this behavioral reliability is evaluated and linked to the Safety Integrity Levels defined in IEC61508-1 standard. Based on this behavioral reliability concept, the final objective of our work is to propose a new dependability analysis method for X-by-Wire systems by taking into account both dynamic performance, fault-tolerance mechanisms and static redundancy of the system . || Les systèmes de direction électronique (steer-by-Wire) doivent respecter des contraintes à la fois de fiabilité et de temps réel. Ce papier présente une approche intégrée pour évaluer à la fois les performances temporelles et la fiabilité comportemental

Trends in Automotive Communication Systems

http://www.ieee.org/International audienceThe use of networks for communications between the Electronic Control Units (ECU) of a vehicle in production cars dates from the beginning of the 90s. The specific requirements of the different car domains have led to the development of a large number of automotive networks such as LIN, J1850, CAN, TTP/C, FlexRay, MOST, IDB1394, etc.. This paper first introduces the context of in-vehicle embedded systems and, in particular, the requirements imposed on the communication systems. Then, a comprehensive review of the most widely used, as well as the emerging automotive networks is given. Next, the current efforts of the automotive industry on middleware technologies, which may be of great help in mastering the heterogeneity, are reviewed. Finally, we highlight future trends in the development of automotive communication systems

Analyse des protocoles de communication destinés aux systèmes embarqués de type « X-by-Wire » en vue de la Sûreté de Fonctionnement

Rapport de contrat.Ce document, qui a pour objectif d'établir une classification claire et équitable des fonctions et des mécanismes de Sûreté de Fonctionnement des protocoles de communication destinés aux systèmes embarqués de type " X-by-Wire ", n'est qu'une première version d'un document final résultant d'une étude plus approfondie. Pour ce faire, un modèle d'étude permettant de distinguer les mécanismes de Tolérance aux Fautes couche par couche au sens du modèle OSI de l'ISO est proposé. Les mécanismes relatifs à la Sûreté de Fonctionnement des protocoles FlexRay, TTCAN et TTP/C sont alors listés et classifiés selon le modèle proposé. Cette classification permet de distinguer les mécanismes prépondérants et de tirer des conclusions pour chaque couche du modèle. Ces conclusions ne permettent pas d'affirmer que tel ou tel protocole est le protocole idéal en terme de Sûreté de Fonctionnement, cependant elles identifient les fonctions et mécanismes indispensables dans un protocole qui peut répondre aux besoins que vont se fixer les constructeurs d'automobiles. Par ailleurs, le choix d'un protocole parfaitement adapté aux contraintes de l'automobile passera aussi par la prise en compte de contraintes telles que la flexibilité, la lisibilité et le coût qui n'ont aucun impact direct sur la Sûreté de Fonctionnement

Influence des fautes transitoires et des performances temps réel sur la sûreté des systèmes X-by-Wire

Introduction of X-by-Wire embedded systems in automotive is a source of new and specific problems for the respect of dependability requirements. They are implemented without the mechanical redundancy necessary to provide a minimal service in case of dysfunction of the electronic components. These systems are particularly sensible to ECM perturbations, and each transient fault can eventually be the cause of a catastrophic failure.In this context, the work presented in this document is of methodological order. In particular, we propose a method for the verification of real-time constraints in nominal mode (non perturbed mode), and a method for quantitative prevision of faults that measures the influence of transient faults due to environment and real-time performance on the safety (in term of probability of failure per perturbed zone) of this system. These works have been applied to Steer-by-Wire systems, but evaluation methods proposed in the document are generic. The respect of safety requirement (e.g.: 1.10-9 failure per functioning hour) is then completed by the evaluation of the behavioral reliability. As this technique gives quantitative results, we can realize a few sensitivity analysis, like, for example, the measurement of the influence of the duration of the communication cycle for TDMA communications, the influence of the diversification in the redundancy of the subsystems, or the influence fault tolerance mechanisms proposed by TTP/C and FlexRay.L'introduction des systèmes embarqués dans l'automobile à commandes électriques (X-by-Wire) pose des problèmes nouveaux et spécifiques pour la tenue des exigences de sûreté de fonctionnement. En effet, ils sont dépourvus de la redondance mécanique (barre de direction, circuit hydraulique...) capable d'offrir un service minimum en cas de dysfonctionnement important de l'électronique. Ces systèmes largement distribués sont particulièrement sensibles aux perturbations d'ordre électromagnétique, et chaque faute transitoire peut éventuellement être la cause d'une défaillance catastrophique.Dans ce contexte, le travail présenté ici est d'ordre méthodologique. En particulier, nous proposons une méthode de vérification des contraintes temps réel en mode nominal (mode non perturbé), et une méthode de prévision quantitative de fautes (mode perturbé) dont l'objectif est de mesurer l'influence des fautes transitoires liées à l'environnement et des performances temps réel du système sur la sûreté (probabilité d'occurrences de défaillances catastrophiques par zone perturbée) de ce même système. Nos travaux ont été appliqués sur les systèmes de direction Steer-by-Wire, mais les méthodes d'évaluation proposées sont génériques. Pour l'instant, seule des préconisations internes aux entreprises sont ciblées. Ainsi, une exigence dont la garantie devrait être prouvée est, par exemple : la probabilité de défaillance catastrophique doit être inférieure à 1.10-9 par heure de fonctionnement. Grâce à la méthode que nous avons développée, cette garantie sera alors complétée par l'évaluation de la fiabilité comportementale du système. Fournissant des résultats quantitatifs, cette technique permet de réaliser plusieurs études de sensitivité, comme, par exemple, l'influence de la durée du cycle de communication sur un protocole de communication de type TDMA (Time Division Multiple Access), l'influence de la diversification dans la redondance des sous-systèmes, ou encore l'influence d'un mécanisme de tolérance aux fautes proposé par TTP/C et FlexRay

Etude de la notion de défaillance byzantine appliquée au domaine de l'automobile

Rapport interne.L'objectif de ce document est de clarifier la notion de faute byzantine et de proposer une méthodologie d'identification des comportements byzantins au sein des systèmes électroniques/informatiques embarqués dans l'automobile

Influence des fautes transitoires et des performances temps réel sur la sûreté des systèmes X-by-Wire

L'introduction des systèmes embarquès dans l'automobile à commandes èlectriques (X-by-Wire) pose des problèmes nouveaux et spècifiques pour la tenue des exigences de sûreté de fonctionnement. En effet, ils sont dépourvus de la redondance mécanique (barre de direction, circuit hydraulique...) capable d'offrir un service minimum en cas de dysfonctionnement important de l'électronique. Ces systèmes largement distribués sont particulièrement sensibles aux perturbations d'ordre électromagnétique, et chaque faute transitoire peut éventuellement être la cause d'une défaillance catastrophique. Dans ce contexte, le travail présenté ici est d'ordre méthodologique. En particulier, nous proposons une méthode de vérification des contraintes temps réel en mode nominal (mode non perturbé), et une méthode de prévision quantitative de fautes (mode perturbé) dont l'objectif est de mesurer l'influence des fautes transitoires liées à l'environnement et des performances temps réel du système sur la sûreté (probabilité d'occurrences de défaillances catastrophiques par zone perturbée) de ce même système. Nos travaux ont été appliqués sur les systèmes de direction Steer-by-Wire, mais les méthodes d'évaluation proposées sont génériques. Pour l'instant, seule des préconisations internes aux entreprises sont ciblées. Ainsi, une exigence dont la garantie devrait être prouvée est, par exemple: la probabilité de défaillance catastrophique doit être inférieure à 1.10-9 par heure de fonctionnement. Grâce à la méthode que nous avons développée, cette garantie sera alors complétée par l'évaluation de la fiabilité comportementale du système. Fournissant des résultats quantitatifs, cette technique permet de réaliser plusieurs études de sensitivité, comme, par exemple, l'influence de la durée du cycle de communication sur un protocole de communication de type TDMA (Time Division Multiple Access), l'influence de la diversification dans la redondance des sous-systèmes, ou encore l'influence d'un mécanisme de tolérance aux fautes proposé par TTP/C et FlexRay.Introduction of X-by-Wire embedded systems in automotive is a source of new and specific problems for the respect of dependability requirements. They are implemented without the mechanical redundancy necessary to provide a minimal service in case of dysfunction of the electronic components. These systems are particularly sensible to ECM perturbations, and each transient fault can eventually be the cause of a catastrophic failure. ln this context, the work presented in this document is of methodological order. ln particular, we propose a method for the verification of real-time constraints in nominal mode (non perturbed mode), and a method for quantitative prevision of faults that measures the influence of transient faults due to environ ment and real-time performance on the safety (in term of probability of failure per perturbed zone) of this system. These works have been applied to Steer-by-Wire systems, but evaluation methods proposed in the document are generic. The respect of safety requirement (e.g.: 1.10-9 failure per functioning hour) is th en completed by the evaluation of the behavioral reliability. As this technique gives quantitative results, we can realize a few sensitivity analysis, like, for example, the measurement of the influence of the duration of the communication cycle for TDMA communications, the influence of the diversification in the redundancy of the subsystems, or the influence fault tolerance mechanisms proposed by TTP/C and FlexRay.NANCY/VANDOEUVRE-INPL (545472102) / SudocNANCY-INRIA Lorraine LORIA (545472304) / SudocSudocFranceF

Application of the concept of Behavioural and Static Reliability to the evaluation of Steer- Steer-by-Wire systems dependability

Colloque avec actes et comité de lecture. nationale.National audienceThe objective of this paper is to propose a new reliability analysis method for X-by-Wire systems, which includes both dynamic performance and static redundancy of the system. X- by-wire systems must meet not only reliability but also real-time requirements. In this context, we propose an integrated approach for evaluating both the performance in presence of perturbations - the Behavioural Reliability - and the evaluation of reliability based on classical failure rates of the components - the Static Reliability - of X-by-Wire systems. An example of quantification is given to illustrate the proposed method

Les services réseaux pour les systèmes X-by-Wire

Rapport interne.L'implantation dans les automobiles de systèmes de direction et de freinage à liaison numérique (X-by-Wire) sans redondance mécanique pose des problèmes nouveaux en terme de Sûreté de Fonctionnement. En effet, si l'aéronautique a aujourd'hui expérimenté beaucoup de systèmes distribués à liaison numérique critiques, les critères de coûts et d'espace sont tout à fait différents de ceux des constructeurs d'automobiles. C'est pourquoi les protocoles de communication sont devenus des points clés du respect des exigences de sûreté de fonctionnement. L'objectif de ce document est par conséquent de partir des exigences que doivent respecter les systèmes X-by-Wire pour en déduire les services dits " réseaux ", c'est à dire les services remplis par le protocole de communication. Par ailleurs, l'analyse des protocoles de communication étant le but final de l'étude, une méthode de comparaison construite sur un modèle en couche est proposé