pages 12 et 13

Rencontre avec Olivier Charrier
« Avec l’émergence des systèmes
multicœurs, les autorités de certification
vont devoir clarifier leur position »
La conférence Certification Together qui s’est déroulée du 21 au 23 mai
dernier à Toulouse a été l’occasion de faire le point sur les évolutions
de la certification dans l’aéronautique. Olivier Charrier, observateur attentif
de ces changements, et spécialiste reconnu en Europe des problématiques
de la certification logicielle pour ce domaine, décrypte ici en exclusivité pour
L’Embarqué quelques grandes tendances décelées lors de cet événement.
Olivier charrier
Ingénieur principal Aerospace & Defence chez Wind River.
12 / L’EMBARQUÉ / N°2
La spécification DO 178 C concernant le logiciel aéronautique
a été publiée en 2012. Où en est-on dans sa mise en pratique ?
Olivier Charrier Aujourd’hui, la situation est claire : la
DO 178 C s’impose à tous, elle devient obligatoire dès lors que
l’on débute le développement d’un logiciel soumis à certification pour l’aéronautique. La publication imminente de la mise
à jour du document AMC 20-115 (Acceptable Means of
Compliance) par l’Agence européenne de la sécurité aérienne
(EASA) entérinera cet aspect obligatoire. Tous les documents
sont désormais à jour, mis à part le CS-ETSO (Certification
Specification - European Technical Standard Order), et le texte
de la DO 178 C est complet. Il a été clarifié par rapport à celui
de la DO 178 B et étend son périmètre au travers d’annexes, car
la DO 178 C prend en compte des technologies qui n’étaient pas
couvertes dans la DO 178 B. Ainsi, les domaines de la programmation objet, du développement basé modèle, de la validation
par preuve formelle et de la qualification des outils de développement sont désormais couverts par la DO 178 C qui, je le
rappelle, est issue d’un consensus industriel et non pas des
travaux de l’EASA seule. Contrairement aux documents Certification Memoranda qui précisent et clarifient, quant à eux, les
positions de l’EASA sur des utilisations particulières du matériel
et du logiciel dans une approche de certification. Une chose est
certaine, ceux qui ont débuté un projet avec la DO 178 B
peuvent aller jusqu’au bout, l’EASA ne leur demandera pas de
basculer en cours de développement vers la DO 178 C. Quant à
ceux qui ont déjà l’expérience de la DO 178 B, la nouvelle mouture de la DO ne devrait pas les perturber. Si l’interprétation de
la DO 178 B était bonne et validée par l’EASA, il n’y aura pas de
difficultés particulières à passer à la C. Il existe cependant des
différences au niveau de la qualification des outils. C’est une
nouveauté de la DO 178 C qui ajoute aux deux catégories
traditionnelles d’outils (ceux intervenant dans le processus de
développement et les logiciels de vérification) une distinction
pour cette dernière catégorie entre outils de vérification dont les
éventuelles erreurs ont une conséquence sur le code testé et
génèrent des risques, et ceux dont les erreurs n’ont pas d’incidences sur la confiance accordée au code final. Cette subtile
distinction, qui fait l’objet d’une annexe à la DO 178 C, peut
amener dans certains cas à des débats et des clarifications à
venir, avec des frontières entre outils pas toujours faciles
à cerner.
Rencontre avec Olivier Charrier
L’arrivée massive sur le marché des architectures multicœurs
avec une maîtrise vis-à-vis de la certification, ou s’en remettre
dans les processeurs embarqués pose de nombreuses questions
aux architectures du marché (Freescale, Intel, ARM, Texas
vis-à-vis de la certification logicielle. Comment les autorités
Instruments, Xilinx, Altera…), mais alors quid des processus
de certification réagissent face à cette évolution forte
de certification matériel et logiciel ? Il est actuellement très
du marché ?
difficile de tirer des règles générales pour ces systèmes multicœurs. Les points cruciaux de ces architectures qui auront un
Olivier Charrier C’est un grand débat qui s’ouvre et qui va
impact important sur le design et la certification logicielle sont
durer plusieurs années. Le matériel devient complexe, voire très
les mémoires (gestion, accès, partage…), le cache et les
complexe, et la question de la certification logicielle sur ces
interconnexions entre le cœur et les périphériques. Une des
architectures est loin d’être triviale. Aujourd’hui, la FAA( Federal
difficultés réside aussi dans l’ancienneté du document DO 254,
Aviation Administration) est plutôt en retrait sur cette question,
qui concerne le matériel (cartes et sous-systèmes) pour ces
car elle ne prévoit pas de fournir de directives avant d’avoir fini
nouvelles technologies. L’idéal serait une mise à niveau de la
la certification de 3 ou 4 systèmes multicœurs. Pour le moment,
DO 254, et à ce sujet, Jean-Luc Delamaide a demandé avec
des rapports d’analyse qu’elle a financés concluent que l’on ne
insistance que celle-ci soit révisée.
peut pas faire confiance, au sens de la certification, à un
système multicœur. En Europe, la situation est plus avancée
N’y a-t-il pas aussi un problème de terminologie et de définipuisque, lors de la conférence CTIC, Jean-Luc Delamaide,
tion pour ces technologies qui sont mises en œuvre
responsable de la section Software et CEH (Complex Electronic
sur les architectures multicœurs ?
Hardware) au sein de l’EASA, a indiqué que deux systèmes
bicœurs avaient été d’ores et déjà été certifiés par l’EASA (sans
Olivier Charrier C’est un gros problème et il y a beaucoup de
toutefois révéler desquels il s’agissait). Un des deux systèmes
malentendus à l’heure actuelle qui empêchent la réflexion
fonctionne en mode monocœur et, sur le second, la même
d’avancer. Par exemple, la notion d’hyperviseur recouvre des
application est exécutée sur les deux cœurs. Thales Avionics, de
réalités très différentes, entre la couche logicielle de bas niveau,
son côté, a répondu à une demande de l’EASA afin d’analyser
voire matérielle, implantée notamment par Freescale sur ses
l’utilisation des multicœurs dans l’avionique. Ce rapport
processeurs, et l’hyperviseur avec une couche de virtualisation
« MULCORS » est un bon état de
comme le propose Wind River. A
l’art sur les processeurs multicœurs
quel niveau la certification doit-elle
et leur utilisation. Les propositions
« A l'avenir, fondeurs et éditeurs s’appliquer ? Comment certifier un
d’approche de certification qui y
hyperviseur de bas niveau ? Le
de logiciels seront dans
sont contenues sont un support à la
firmware doit-il être certifié avec
l'obligation de dialoguer. »
réflexion de l’EASA. Par ailleurs,
les mêmes règles qu’un logiciel de
comme la FAA, l’EASA a été
plus haut niveau ? Un effort de
officiellement invitée par le groupe
définition et de clarification des
de travail MCFA (Multicore for Avionics) initié et animé par
réalités technologiques est donc indispensable. Il en est de
Freescale, qui est un lieu privilégié de débats actuellement.
même pour les notions de SMP (Symmetric Multiprocessing) et
L’EASA a d’ailleurs déposé pour commentaires un premier guide
d’AMP (Asymmetric Multiprocessing) et pour la notion de
d’approche de la certification avionique sur des systèmes
déterminisme qu’il faudrait clarifier, notamment au niveau des
bicœurs, ceci avant de le présenter à une audience plus large.
interconnexions au sein d’une architecture multicœur. Ce sont
La portée de ces débats est loin d’être anodine, car les nouvelles
de grands débats de fond qui s’ouvrent aujourd’hui et, dans ce
générations d’avions sont en cours de définition et on s'interroge
cadre, les fondeurs et les éditeurs d’outils logiciels seront
sur la voie technologique à prendre : créer sa propre architecture
amenés à dialoguer plus étroitement que par le passé.
multicœur, avec le coût et les risques que cela comporte, mais
Propos recueillis par François Gauthier
ONYX
HPEC+GPGPU+SWaP-C
Intel Haswell inside
Le calculateur multi-mission, haute disponibilité,
taillé pour la performance
Le premier système Core i7 basé sur COM Express intégrant les fonctions BIT
> Système COTS :
base Quad-Core i7 d’INTEL
> GP-GPU AMD E6760 :
jusqu’à 576 GFLOPS
> Entrées VIDEO, encodage H.264
> -40°C/+71°C en fonctionnement
> Fiabilité : zéro câblage, zéro ventilateur
> Etanchéité : IP-67
> Pré-qualifié MIL-STD-810 et DO-160
> Pré-qualifié MIL-STD-461 et MIL-STD-1275
> BIT et Fast BIT au démarrage
> Continuous BIT sur demande
> Modularité, flexibilité…
> ITAR free
Tél : 01 69 07 83 22 - www.ecrin.com
13
ECRIN Pub ONYX 184,5x85 sans RTS.indd 1
01/07/13
L’EMBARQUÉ
/ N°2 16:46
/