Sûreté de fonctionnement et architecture GVA

SÛRETÉ DE FONCTIONNEMENT ET ARCHITECTURE
GVA
SÉMINAIRE – ARCHITECTURES AGILES DE SYSTÈMES
COMPLEXES BASÉES SUR DDS, LA VÉTRONIQUE EN CAS
D’EXEMPLE
Ce document et les informations qu’il contient sont la propriété de Sagem. Ils ne doivent pas être copiés ni communiqués à un tiers sans l’autorisation préalable et écrite de Sagem.
Sagem est le nom commercial de la société Sagem Défense Sécurité.
PLAN
Architecture GVA et NGVA
SDF dans Architecture GVA
SDF dans Architecture NGVA
Groupe de travail Safety
Axe ingénierie système
Axe exigences
Axe certification
Ce document et les informations qu’il contient sont la propriété de Sagem. Ils ne doivent pas être copiés ni communiqués à un tiers sans l’autorisation préalable et écrite de Sagem.
Sagem est le nom commercial de la société Sagem Défense Sécurité.
GVA : GENERIC VEHICLE ARCHITECTURE
GVA initiative du MOD britannique pour
remédier à l’hétérogénéité des systèmes
embarqués dans les véhicules
Objectifs : définir une architecture vétronique
avec les propriétés suivantes :
Ouverte
Standardisation
Scalabilité (passage à l’échelle)
Gains escomptés
Avoir une architecture système commune à un
large panel de véhicules
Gains opérationnels : reconfigurabilité par rapport à
mission et au rôle du véhicule
Réduction des risques liés à l’intégration
Réduction du TCO (Total Cost of Ownership)
Ce document et les informations qu’il contient sont la propriété de Sagem. Ils ne doivent pas être copiés ni communiqués à un tiers sans l’autorisation préalable et écrite de Sagem.
Sagem est le nom commercial de la société Sagem Défense Sécurité.
GVA : PÉRIMÈTRE
Périmètre
Standardisation des interfaces suivantes :
Electronique et informatique
Mécanique
Electrique
IHM
Ce document et les informations qu’il contient sont la propriété de Sagem. Ils ne doivent pas être copiés ni communiqués à un tiers sans l’autorisation préalable et écrite de Sagem.
Sagem est le nom commercial de la société Sagem Défense Sécurité.
GVA : BUS GVA
Architecture système
Différents bus de communication isolés d’un point de vue matériel
Bus ethernet 802.3
Bus TTP (logiquement passage au TTE pour les versions
futures du GVA)
Bus MILCAN
Bus énergie
Un bus logiciel standardisé par DDS et un modèle de données
(Land Data Model)
Un bus Vidéo axé sur des technologies standards VOIP
Périphériques terminaux : USB
Ce document et les informations qu’il contient sont la propriété de Sagem. Ils ne doivent pas être copiés ni communiqués à un tiers sans l’autorisation préalable et écrite de Sagem.
Sagem est le nom commercial de la société Sagem Défense Sécurité.
GVA : ARCHITECTURE VIDEO
Video Protocol Layer Architecture
Application layer
Real -time
Transport
Protocol
(RTP )
Transport layer
Internet layer
Session
Announcement
Protocol
(SAP )
Session
Description
Protocol
(SAP )
Simple Network
Management
Protocol
(SNMP )
User Datagram Protocol (UDP )
Internet
Protocol
(IP)
Dynamic Host
Configuration
Protocol
(DHCP)
Internet Control Internet Group Address
Management
Management Resolution
Protocol
Protocol
Protocol
(IP)
(IP)
(IP)
Data Link layer
IEEE 802 .3
Physical layer
Ethernet physical layers
(1000 BASE -T, 1000 BASE -SX etc )
Ce document et les informations qu’il contient sont la propriété de Sagem. Ils ne doivent pas être copiés ni communiqués à un tiers sans l’autorisation préalable et écrite de Sagem.
Sagem est le nom commercial de la société Sagem Défense Sécurité.
Defence Standard
specific protocols
Standard network
protocol stack to
support UDP/IP
over Ethernet
GVA : IHM
IHM
Poste opérateur
reconfigurable
Recommandations sur
les IHM logicielles et
matérielles
Ce document et les informations qu’il contient sont la propriété de Sagem. Ils ne doivent pas être copiés ni communiqués à un tiers sans l’autorisation préalable et écrite de Sagem.
Sagem est le nom commercial de la société Sagem Défense Sécurité.
N-GVA : NATO GVA
En cours d’élaboration : STANAG N-GVA (Nato GVA) à partir des principes
du GVA
Orientations du N-GVA :
Modèle de donnée dérivée du Land Data Model
Bus de communication DDS
Groupes de travaux :
Overall Architecture
Data Infrastructure
Safety
Power Management
Validation
Ce document et les informations qu’il contient sont la propriété de Sagem. Ils ne doivent pas être copiés ni communiqués à un tiers sans l’autorisation préalable et écrite de Sagem.
Sagem est le nom commercial de la société Sagem Défense Sécurité.
Sureté de fonctionnement GVA
Pas de chapitre dédié à la sureté de fonctionnement dans le
GVA…
Mais une prise en compte sous-jacente de la sureté de
fonctionnement :
Au niveau méthodologie : ingénierie système
Au niveau architecture système :
Partition des bus de communication : bus TTP (Ethernet déterministe)
pour les trafics critiques
Bus de communication logiciel DDS (voir les paramètres QOS pour
fiabiliser les communications)
HUMS
‒ Connaitre en temps réel l’état du système
‒ Générer des alertes vers les utilsateurs
Ce document et les informations qu’il contient sont la propriété de Sagem. Ils ne doivent pas être copiés ni communiqués à un tiers sans l’autorisation préalable et écrite de Sagem.
Sagem est le nom commercial de la société Sagem Défense Sécurité.
Groupe de travail Safety dans N-GVA
Objectif : traiter à part entière, la sureté de fonctionnement (SDF) au
niveau du futur standard N-GVA
Sortie : document sur la Safety
Une approche SDF axée vers l’évolutivité,la modularité et la certification
pour gérer la complexité du système
Périmètre
Prise en compte de la SDF dans la méthode d’ingénierie systèmes
Rédaction d’exigences systèmes
Vis-à-vis de la SDF, process de certification des modules et du système de
système
Enjeux systèmes
Réduire les risques liés à l’ajout ou le remplacement de nouveaux modules
dans l’architecture GVA
Ré-utilisation de modules dans les architectures GVA
Ce document et les informations qu’il contient sont la propriété de Sagem. Ils ne doivent pas être copiés ni communiqués à un tiers sans l’autorisation préalable et écrite de Sagem.
Sagem est le nom commercial de la société Sagem Défense Sécurité.
Ingénerie système : Cycle en V et Cycle SDF
Prise en compte de la SdF de bout en bout dans le cycle
d’ingénierie
Identification
des risques
Maintenance
Exigences
Analyse des
risques
Spécifications
Exigences
SDF
Définition des
Interface des
modules
Architecture
Validation
Uses cases opérationnels
Intégration
Conception
Tests
détailée
Preuves
Implémentation
Uses cases SDF
Ce document et les informations qu’il contient sont la propriété de Sagem. Ils ne doivent pas être copiés ni communiqués à un tiers sans l’autorisation préalable et écrite de Sagem.
Sagem est le nom commercial de la société Sagem Défense Sécurité.
Certification
Tests SDF du système
Périmètre des exigences systèmes sur la SDF 1/2
Les exigences portent
Fonctions critiques de la vétronique
Fonction non critiques de la vétronique
Enjeu :
Cohabitation de fonctions critiques et non critiques
Un périmètre fonctionnel très large ….
Systèmes terminaux
Bus de communication
Réseau bord et énergie
Processus opérationnels (pendant l’utilisation et la maintenance)
Problématique de stockage (munitions etc.)
CEM
…
Ce document et les informations qu’il contient sont la propriété de Sagem. Ils ne doivent pas être copiés ni communiqués à un tiers sans l’autorisation préalable et écrite de Sagem.
Sagem est le nom commercial de la société Sagem Défense Sécurité.
Périmètre des exigences systèmes sur la SDF 2/2
Objectifs de l’étude SDF
Assurer le déroulement complet de la mission
Tolérances aux fautes : maximiser la disponibilité du système
Assurer la survivabilité du système dans l’environment et en dépit de menaces
Modifier le profil, le rôle d’un véhicule pendant la mission
Isolation des systèmes pour éviter les défaillances en cascade
Modularité et évolutivité
Reconfigurabilité du système (changement de rôle, défaillance)
Assurer la sécurité des personnes
Identifier et analyser les uses cases SDF
Facteurs humains: Confiance dans le système
Optimiser les coûts de certification
Ce document et les informations qu’il contient sont la propriété de Sagem. Ils ne doivent pas être copiés ni communiqués à un tiers sans l’autorisation préalable et écrite de Sagem.
Sagem est le nom commercial de la société Sagem Défense Sécurité.
Niveau de certification
Au niveau module
Pour des modules legacy
Pour des nouveaux modules conforme
au standard GVA
module A
SIL x
Au niveau lien
Entre 2 sous-systyèmes
Pour une composition de modules
La liaison entre les 2 modules est défini
à partir de contrat
Link safety
module B
Au niveau système de système
Pour une configuration système
complète
Module = sous-système N-GVA ou système complet
Ce document et les informations qu’il contient sont la propriété de Sagem. Ils ne doivent pas être copiés ni communiqués à un tiers sans l’autorisation préalable et écrite de Sagem.
Sagem est le nom commercial de la société Sagem Défense Sécurité.
module C
Certification au niveau module
Au niveau module
Module existant
Nouveau module
Pré-requis
module A
SIL x
Exigences sur les contrats de chaque sous système
Données d’entrée
Analyse de risques pour chaque sous-système
Elements de preuves par rapport à l’analyse
Procedure
Identification du “safety level “of du module dans un contexte
donné
Test, analysis , demonstration, audit (avec des outils dédiés)
Contexte / Cadre d’emploi
Context : définition de l’environement qui peut se traduire par
rapport à une liste d’hypothèses et de contraintes
Données de sortie
Certificication du module pour un ou plusieus contextes
Ce document et les informations qu’il contient sont la propriété de Sagem. Ils ne doivent pas être copiés ni communiqués à un tiers sans l’autorisation préalable et écrite de Sagem.
Sagem est le nom commercial de la société Sagem Défense Sécurité.
Certification au niveau lien
Pré-requis
SIL X
Définition dans les phases amont du contrat de chaque sous-système
Données d’entrée
module certifié A
Certification des modules A et B
Procedure
SdF du lien
Identification du SIL résultant de la composition des modules A et B
Vérification des interfaces mécaniques, électriques et logicielles entre les deux systèmes
Test, analysis , demonstration, inspection (with dedicated tools)
Contexte / Cadre d’emploi
Mêmes principes que la certification au niveau module
module B
SIL Y
SIL : ?
Données de sortie
Certification correspondant à la combinaison entre les deux sous-systèmes
précisant le SIL global et les contextesassociés
Enjeu :
Nouveau contrat du nouveau module
Link safety is a contract
Software : peut correspondre à des paramètres QOS de DDS
Hardware: global function insurance
Intégration séparée des modules
n’est pas suffisante pour assurer
leur fonctionnement quand ils sont
combinés
couplage faible entre les modules
pour favoriser leur composition
sans développement spécifique
Ce document et les informations qu’il contient sont la propriété de Sagem. Ils ne doivent pas être copiés ni communiqués à un tiers sans l’autorisation préalable et écrite de Sagem.
Sagem est le nom commercial de la société Sagem Défense Sécurité.
Certification au niveau système
Pré-requis
Dans le proloongement de la certification niveau lien : par exemple :
Certification de lien 1 to N
Certification de workflow complexe modélisable sous forme d’automate ou de graphe
de dépendance
E
F
G
A
B
C
D
Enjeu : Tous les cas de composition de sont pas testables (combinatoire trop
importante)
Ce document et les informations qu’il contient sont la propriété de Sagem. Ils ne doivent pas être copiés ni communiqués à un tiers sans l’autorisation préalable et écrite de Sagem.
Sagem est le nom commercial de la société Sagem Défense Sécurité.
Annexe : Définition des niveaux SIL
Certification process and evidence
Ce document et les informations qu’il contient sont la propriété de Sagem. Ils ne doivent pas être copiés ni communiqués à un tiers sans l’autorisation préalable et écrite de Sagem.
Sagem est le nom commercial de la société Sagem Défense Sécurité.