pages 12 et 13
Transcription
pages 12 et 13
Rencontre avec Olivier Charrier « Avec l’émergence des systèmes multicœurs, les autorités de certification vont devoir clarifier leur position » La conférence Certification Together qui s’est déroulée du 21 au 23 mai dernier à Toulouse a été l’occasion de faire le point sur les évolutions de la certification dans l’aéronautique. Olivier Charrier, observateur attentif de ces changements, et spécialiste reconnu en Europe des problématiques de la certification logicielle pour ce domaine, décrypte ici en exclusivité pour L’Embarqué quelques grandes tendances décelées lors de cet événement. Olivier charrier Ingénieur principal Aerospace & Defence chez Wind River. 12 / L’EMBARQUÉ / N°2 La spécification DO 178 C concernant le logiciel aéronautique a été publiée en 2012. Où en est-on dans sa mise en pratique ? Olivier Charrier Aujourd’hui, la situation est claire : la DO 178 C s’impose à tous, elle devient obligatoire dès lors que l’on débute le développement d’un logiciel soumis à certification pour l’aéronautique. La publication imminente de la mise à jour du document AMC 20-115 (Acceptable Means of Compliance) par l’Agence européenne de la sécurité aérienne (EASA) entérinera cet aspect obligatoire. Tous les documents sont désormais à jour, mis à part le CS-ETSO (Certification Specification - European Technical Standard Order), et le texte de la DO 178 C est complet. Il a été clarifié par rapport à celui de la DO 178 B et étend son périmètre au travers d’annexes, car la DO 178 C prend en compte des technologies qui n’étaient pas couvertes dans la DO 178 B. Ainsi, les domaines de la programmation objet, du développement basé modèle, de la validation par preuve formelle et de la qualification des outils de développement sont désormais couverts par la DO 178 C qui, je le rappelle, est issue d’un consensus industriel et non pas des travaux de l’EASA seule. Contrairement aux documents Certification Memoranda qui précisent et clarifient, quant à eux, les positions de l’EASA sur des utilisations particulières du matériel et du logiciel dans une approche de certification. Une chose est certaine, ceux qui ont débuté un projet avec la DO 178 B peuvent aller jusqu’au bout, l’EASA ne leur demandera pas de basculer en cours de développement vers la DO 178 C. Quant à ceux qui ont déjà l’expérience de la DO 178 B, la nouvelle mouture de la DO ne devrait pas les perturber. Si l’interprétation de la DO 178 B était bonne et validée par l’EASA, il n’y aura pas de difficultés particulières à passer à la C. Il existe cependant des différences au niveau de la qualification des outils. C’est une nouveauté de la DO 178 C qui ajoute aux deux catégories traditionnelles d’outils (ceux intervenant dans le processus de développement et les logiciels de vérification) une distinction pour cette dernière catégorie entre outils de vérification dont les éventuelles erreurs ont une conséquence sur le code testé et génèrent des risques, et ceux dont les erreurs n’ont pas d’incidences sur la confiance accordée au code final. Cette subtile distinction, qui fait l’objet d’une annexe à la DO 178 C, peut amener dans certains cas à des débats et des clarifications à venir, avec des frontières entre outils pas toujours faciles à cerner. Rencontre avec Olivier Charrier L’arrivée massive sur le marché des architectures multicœurs avec une maîtrise vis-à-vis de la certification, ou s’en remettre dans les processeurs embarqués pose de nombreuses questions aux architectures du marché (Freescale, Intel, ARM, Texas vis-à-vis de la certification logicielle. Comment les autorités Instruments, Xilinx, Altera…), mais alors quid des processus de certification réagissent face à cette évolution forte de certification matériel et logiciel ? Il est actuellement très du marché ? difficile de tirer des règles générales pour ces systèmes multicœurs. Les points cruciaux de ces architectures qui auront un Olivier Charrier C’est un grand débat qui s’ouvre et qui va impact important sur le design et la certification logicielle sont durer plusieurs années. Le matériel devient complexe, voire très les mémoires (gestion, accès, partage…), le cache et les complexe, et la question de la certification logicielle sur ces interconnexions entre le cœur et les périphériques. Une des architectures est loin d’être triviale. Aujourd’hui, la FAA( Federal difficultés réside aussi dans l’ancienneté du document DO 254, Aviation Administration) est plutôt en retrait sur cette question, qui concerne le matériel (cartes et sous-systèmes) pour ces car elle ne prévoit pas de fournir de directives avant d’avoir fini nouvelles technologies. L’idéal serait une mise à niveau de la la certification de 3 ou 4 systèmes multicœurs. Pour le moment, DO 254, et à ce sujet, Jean-Luc Delamaide a demandé avec des rapports d’analyse qu’elle a financés concluent que l’on ne insistance que celle-ci soit révisée. peut pas faire confiance, au sens de la certification, à un système multicœur. En Europe, la situation est plus avancée N’y a-t-il pas aussi un problème de terminologie et de définipuisque, lors de la conférence CTIC, Jean-Luc Delamaide, tion pour ces technologies qui sont mises en œuvre responsable de la section Software et CEH (Complex Electronic sur les architectures multicœurs ? Hardware) au sein de l’EASA, a indiqué que deux systèmes bicœurs avaient été d’ores et déjà été certifiés par l’EASA (sans Olivier Charrier C’est un gros problème et il y a beaucoup de toutefois révéler desquels il s’agissait). Un des deux systèmes malentendus à l’heure actuelle qui empêchent la réflexion fonctionne en mode monocœur et, sur le second, la même d’avancer. Par exemple, la notion d’hyperviseur recouvre des application est exécutée sur les deux cœurs. Thales Avionics, de réalités très différentes, entre la couche logicielle de bas niveau, son côté, a répondu à une demande de l’EASA afin d’analyser voire matérielle, implantée notamment par Freescale sur ses l’utilisation des multicœurs dans l’avionique. Ce rapport processeurs, et l’hyperviseur avec une couche de virtualisation « MULCORS » est un bon état de comme le propose Wind River. A l’art sur les processeurs multicœurs quel niveau la certification doit-elle et leur utilisation. Les propositions « A l'avenir, fondeurs et éditeurs s’appliquer ? Comment certifier un d’approche de certification qui y hyperviseur de bas niveau ? Le de logiciels seront dans sont contenues sont un support à la firmware doit-il être certifié avec l'obligation de dialoguer. » réflexion de l’EASA. Par ailleurs, les mêmes règles qu’un logiciel de comme la FAA, l’EASA a été plus haut niveau ? Un effort de officiellement invitée par le groupe définition et de clarification des de travail MCFA (Multicore for Avionics) initié et animé par réalités technologiques est donc indispensable. Il en est de Freescale, qui est un lieu privilégié de débats actuellement. même pour les notions de SMP (Symmetric Multiprocessing) et L’EASA a d’ailleurs déposé pour commentaires un premier guide d’AMP (Asymmetric Multiprocessing) et pour la notion de d’approche de la certification avionique sur des systèmes déterminisme qu’il faudrait clarifier, notamment au niveau des bicœurs, ceci avant de le présenter à une audience plus large. interconnexions au sein d’une architecture multicœur. Ce sont La portée de ces débats est loin d’être anodine, car les nouvelles de grands débats de fond qui s’ouvrent aujourd’hui et, dans ce générations d’avions sont en cours de définition et on s'interroge cadre, les fondeurs et les éditeurs d’outils logiciels seront sur la voie technologique à prendre : créer sa propre architecture amenés à dialoguer plus étroitement que par le passé. multicœur, avec le coût et les risques que cela comporte, mais Propos recueillis par François Gauthier ONYX HPEC+GPGPU+SWaP-C Intel Haswell inside Le calculateur multi-mission, haute disponibilité, taillé pour la performance Le premier système Core i7 basé sur COM Express intégrant les fonctions BIT > Système COTS : base Quad-Core i7 d’INTEL > GP-GPU AMD E6760 : jusqu’à 576 GFLOPS > Entrées VIDEO, encodage H.264 > -40°C/+71°C en fonctionnement > Fiabilité : zéro câblage, zéro ventilateur > Etanchéité : IP-67 > Pré-qualifié MIL-STD-810 et DO-160 > Pré-qualifié MIL-STD-461 et MIL-STD-1275 > BIT et Fast BIT au démarrage > Continuous BIT sur demande > Modularité, flexibilité… > ITAR free Tél : 01 69 07 83 22 - www.ecrin.com 13 ECRIN Pub ONYX 184,5x85 sans RTS.indd 1 01/07/13 L’EMBARQUÉ / N°2 16:46 /