Sûreté de fonctionnement et architecture GVA
Transcription
Sûreté de fonctionnement et architecture GVA
SÛRETÉ DE FONCTIONNEMENT ET ARCHITECTURE GVA SÉMINAIRE – ARCHITECTURES AGILES DE SYSTÈMES COMPLEXES BASÉES SUR DDS, LA VÉTRONIQUE EN CAS D’EXEMPLE Ce document et les informations qu’il contient sont la propriété de Sagem. Ils ne doivent pas être copiés ni communiqués à un tiers sans l’autorisation préalable et écrite de Sagem. Sagem est le nom commercial de la société Sagem Défense Sécurité. PLAN Architecture GVA et NGVA SDF dans Architecture GVA SDF dans Architecture NGVA Groupe de travail Safety Axe ingénierie système Axe exigences Axe certification Ce document et les informations qu’il contient sont la propriété de Sagem. Ils ne doivent pas être copiés ni communiqués à un tiers sans l’autorisation préalable et écrite de Sagem. Sagem est le nom commercial de la société Sagem Défense Sécurité. GVA : GENERIC VEHICLE ARCHITECTURE GVA initiative du MOD britannique pour remédier à l’hétérogénéité des systèmes embarqués dans les véhicules Objectifs : définir une architecture vétronique avec les propriétés suivantes : Ouverte Standardisation Scalabilité (passage à l’échelle) Gains escomptés Avoir une architecture système commune à un large panel de véhicules Gains opérationnels : reconfigurabilité par rapport à mission et au rôle du véhicule Réduction des risques liés à l’intégration Réduction du TCO (Total Cost of Ownership) Ce document et les informations qu’il contient sont la propriété de Sagem. Ils ne doivent pas être copiés ni communiqués à un tiers sans l’autorisation préalable et écrite de Sagem. Sagem est le nom commercial de la société Sagem Défense Sécurité. GVA : PÉRIMÈTRE Périmètre Standardisation des interfaces suivantes : Electronique et informatique Mécanique Electrique IHM Ce document et les informations qu’il contient sont la propriété de Sagem. Ils ne doivent pas être copiés ni communiqués à un tiers sans l’autorisation préalable et écrite de Sagem. Sagem est le nom commercial de la société Sagem Défense Sécurité. GVA : BUS GVA Architecture système Différents bus de communication isolés d’un point de vue matériel Bus ethernet 802.3 Bus TTP (logiquement passage au TTE pour les versions futures du GVA) Bus MILCAN Bus énergie Un bus logiciel standardisé par DDS et un modèle de données (Land Data Model) Un bus Vidéo axé sur des technologies standards VOIP Périphériques terminaux : USB Ce document et les informations qu’il contient sont la propriété de Sagem. Ils ne doivent pas être copiés ni communiqués à un tiers sans l’autorisation préalable et écrite de Sagem. Sagem est le nom commercial de la société Sagem Défense Sécurité. GVA : ARCHITECTURE VIDEO Video Protocol Layer Architecture Application layer Real -time Transport Protocol (RTP ) Transport layer Internet layer Session Announcement Protocol (SAP ) Session Description Protocol (SAP ) Simple Network Management Protocol (SNMP ) User Datagram Protocol (UDP ) Internet Protocol (IP) Dynamic Host Configuration Protocol (DHCP) Internet Control Internet Group Address Management Management Resolution Protocol Protocol Protocol (IP) (IP) (IP) Data Link layer IEEE 802 .3 Physical layer Ethernet physical layers (1000 BASE -T, 1000 BASE -SX etc ) Ce document et les informations qu’il contient sont la propriété de Sagem. Ils ne doivent pas être copiés ni communiqués à un tiers sans l’autorisation préalable et écrite de Sagem. Sagem est le nom commercial de la société Sagem Défense Sécurité. Defence Standard specific protocols Standard network protocol stack to support UDP/IP over Ethernet GVA : IHM IHM Poste opérateur reconfigurable Recommandations sur les IHM logicielles et matérielles Ce document et les informations qu’il contient sont la propriété de Sagem. Ils ne doivent pas être copiés ni communiqués à un tiers sans l’autorisation préalable et écrite de Sagem. Sagem est le nom commercial de la société Sagem Défense Sécurité. N-GVA : NATO GVA En cours d’élaboration : STANAG N-GVA (Nato GVA) à partir des principes du GVA Orientations du N-GVA : Modèle de donnée dérivée du Land Data Model Bus de communication DDS Groupes de travaux : Overall Architecture Data Infrastructure Safety Power Management Validation Ce document et les informations qu’il contient sont la propriété de Sagem. Ils ne doivent pas être copiés ni communiqués à un tiers sans l’autorisation préalable et écrite de Sagem. Sagem est le nom commercial de la société Sagem Défense Sécurité. Sureté de fonctionnement GVA Pas de chapitre dédié à la sureté de fonctionnement dans le GVA… Mais une prise en compte sous-jacente de la sureté de fonctionnement : Au niveau méthodologie : ingénierie système Au niveau architecture système : Partition des bus de communication : bus TTP (Ethernet déterministe) pour les trafics critiques Bus de communication logiciel DDS (voir les paramètres QOS pour fiabiliser les communications) HUMS ‒ Connaitre en temps réel l’état du système ‒ Générer des alertes vers les utilsateurs Ce document et les informations qu’il contient sont la propriété de Sagem. Ils ne doivent pas être copiés ni communiqués à un tiers sans l’autorisation préalable et écrite de Sagem. Sagem est le nom commercial de la société Sagem Défense Sécurité. Groupe de travail Safety dans N-GVA Objectif : traiter à part entière, la sureté de fonctionnement (SDF) au niveau du futur standard N-GVA Sortie : document sur la Safety Une approche SDF axée vers l’évolutivité,la modularité et la certification pour gérer la complexité du système Périmètre Prise en compte de la SDF dans la méthode d’ingénierie systèmes Rédaction d’exigences systèmes Vis-à-vis de la SDF, process de certification des modules et du système de système Enjeux systèmes Réduire les risques liés à l’ajout ou le remplacement de nouveaux modules dans l’architecture GVA Ré-utilisation de modules dans les architectures GVA Ce document et les informations qu’il contient sont la propriété de Sagem. Ils ne doivent pas être copiés ni communiqués à un tiers sans l’autorisation préalable et écrite de Sagem. Sagem est le nom commercial de la société Sagem Défense Sécurité. Ingénerie système : Cycle en V et Cycle SDF Prise en compte de la SdF de bout en bout dans le cycle d’ingénierie Identification des risques Maintenance Exigences Analyse des risques Spécifications Exigences SDF Définition des Interface des modules Architecture Validation Uses cases opérationnels Intégration Conception Tests détailée Preuves Implémentation Uses cases SDF Ce document et les informations qu’il contient sont la propriété de Sagem. Ils ne doivent pas être copiés ni communiqués à un tiers sans l’autorisation préalable et écrite de Sagem. Sagem est le nom commercial de la société Sagem Défense Sécurité. Certification Tests SDF du système Périmètre des exigences systèmes sur la SDF 1/2 Les exigences portent Fonctions critiques de la vétronique Fonction non critiques de la vétronique Enjeu : Cohabitation de fonctions critiques et non critiques Un périmètre fonctionnel très large …. Systèmes terminaux Bus de communication Réseau bord et énergie Processus opérationnels (pendant l’utilisation et la maintenance) Problématique de stockage (munitions etc.) CEM … Ce document et les informations qu’il contient sont la propriété de Sagem. Ils ne doivent pas être copiés ni communiqués à un tiers sans l’autorisation préalable et écrite de Sagem. Sagem est le nom commercial de la société Sagem Défense Sécurité. Périmètre des exigences systèmes sur la SDF 2/2 Objectifs de l’étude SDF Assurer le déroulement complet de la mission Tolérances aux fautes : maximiser la disponibilité du système Assurer la survivabilité du système dans l’environment et en dépit de menaces Modifier le profil, le rôle d’un véhicule pendant la mission Isolation des systèmes pour éviter les défaillances en cascade Modularité et évolutivité Reconfigurabilité du système (changement de rôle, défaillance) Assurer la sécurité des personnes Identifier et analyser les uses cases SDF Facteurs humains: Confiance dans le système Optimiser les coûts de certification Ce document et les informations qu’il contient sont la propriété de Sagem. Ils ne doivent pas être copiés ni communiqués à un tiers sans l’autorisation préalable et écrite de Sagem. Sagem est le nom commercial de la société Sagem Défense Sécurité. Niveau de certification Au niveau module Pour des modules legacy Pour des nouveaux modules conforme au standard GVA module A SIL x Au niveau lien Entre 2 sous-systyèmes Pour une composition de modules La liaison entre les 2 modules est défini à partir de contrat Link safety module B Au niveau système de système Pour une configuration système complète Module = sous-système N-GVA ou système complet Ce document et les informations qu’il contient sont la propriété de Sagem. Ils ne doivent pas être copiés ni communiqués à un tiers sans l’autorisation préalable et écrite de Sagem. Sagem est le nom commercial de la société Sagem Défense Sécurité. module C Certification au niveau module Au niveau module Module existant Nouveau module Pré-requis module A SIL x Exigences sur les contrats de chaque sous système Données d’entrée Analyse de risques pour chaque sous-système Elements de preuves par rapport à l’analyse Procedure Identification du “safety level “of du module dans un contexte donné Test, analysis , demonstration, audit (avec des outils dédiés) Contexte / Cadre d’emploi Context : définition de l’environement qui peut se traduire par rapport à une liste d’hypothèses et de contraintes Données de sortie Certificication du module pour un ou plusieus contextes Ce document et les informations qu’il contient sont la propriété de Sagem. Ils ne doivent pas être copiés ni communiqués à un tiers sans l’autorisation préalable et écrite de Sagem. Sagem est le nom commercial de la société Sagem Défense Sécurité. Certification au niveau lien Pré-requis SIL X Définition dans les phases amont du contrat de chaque sous-système Données d’entrée module certifié A Certification des modules A et B Procedure SdF du lien Identification du SIL résultant de la composition des modules A et B Vérification des interfaces mécaniques, électriques et logicielles entre les deux systèmes Test, analysis , demonstration, inspection (with dedicated tools) Contexte / Cadre d’emploi Mêmes principes que la certification au niveau module module B SIL Y SIL : ? Données de sortie Certification correspondant à la combinaison entre les deux sous-systèmes précisant le SIL global et les contextesassociés Enjeu : Nouveau contrat du nouveau module Link safety is a contract Software : peut correspondre à des paramètres QOS de DDS Hardware: global function insurance Intégration séparée des modules n’est pas suffisante pour assurer leur fonctionnement quand ils sont combinés couplage faible entre les modules pour favoriser leur composition sans développement spécifique Ce document et les informations qu’il contient sont la propriété de Sagem. Ils ne doivent pas être copiés ni communiqués à un tiers sans l’autorisation préalable et écrite de Sagem. Sagem est le nom commercial de la société Sagem Défense Sécurité. Certification au niveau système Pré-requis Dans le proloongement de la certification niveau lien : par exemple : Certification de lien 1 to N Certification de workflow complexe modélisable sous forme d’automate ou de graphe de dépendance E F G A B C D Enjeu : Tous les cas de composition de sont pas testables (combinatoire trop importante) Ce document et les informations qu’il contient sont la propriété de Sagem. Ils ne doivent pas être copiés ni communiqués à un tiers sans l’autorisation préalable et écrite de Sagem. Sagem est le nom commercial de la société Sagem Défense Sécurité. Annexe : Définition des niveaux SIL Certification process and evidence Ce document et les informations qu’il contient sont la propriété de Sagem. Ils ne doivent pas être copiés ni communiqués à un tiers sans l’autorisation préalable et écrite de Sagem. Sagem est le nom commercial de la société Sagem Défense Sécurité.