docProjet FéRIA − Thème : Systèmes Embarqués " Analyse de
download 
Plainte Transcription
Projet FéRIA − Thème : Systèmes Embarqués " Analyse de
Projet FéRIA − Thème : Systèmes Embarqués " Analyse de latences de communication dans une architecture avionique modulaire " 1 Fiche synthétique 1.1 Responsables IRIT−UPS : Pascal Sainrat IRIT−ENSEEIHT : Christian Fraboul ONERA : Frédéric Boniol 1.2 Résumé Les architectures avioniques modulaires intégrées, tant civiles que militaires, sont constituées de calculateurs et de réseaux de communication partagés. Les applications avioniques, distribuées sur ces architectures, sont par nature contraintes par le temps. Notamment une contrainte importante portant sur ces applications est la maîtrise des latences de communication de bout en bout à travers le réseau. La détermination de ces latences nécessite l’analyse : • des temps d’émission des données échangées entre les applications (prise en compte des traitements de la pile de communication des calculateurs émetteurs?) • des temps de diffusion de ces données sur le réseau (prise en compte de la latence induite par la méthode d’accès au support de communication), • des temps de réception (prise en compte des traitements de la remontée de la pile communication des calculateurs récepteurs ?) L’objet de ce projet est d’étudier, dans le contexte spécifique des architectures avioniques modulaires intégrées, la faisabilité d’une évaluation de telles latences de " bout en bout ". Plusieurs techniques pourront être examinées : étude analytique pire cas, approches statistiques pour déterminer la probabilité de dépasser une latence donnée, approche par simulation, recalage de résultats par mesures sur une plate−forme avionique, ? 1.3 Liste de participants Frédéric Boniol (ONERA) Marc Boyer (IRIT−ENSEEIHT) Guy Durrieu (ONERA) Christian Fraboul (IRIT−ENSEEIHT) Christine Rochange (IRIT−UPS) Pascal Sainrat (IRIT−UPS) 1.4 Durée et financement 1 an. Financement ONERA pour les participants ONERA (projet CARLIT). Demande de financement pour 2 stagiaires de DEA. 2 Objectifs scientifiques 2.1 2.1.1 Le contexte L’avionique modulaire intégrée (IMA) On peut facilement constater l’augmentation de la complexité des systèmes avioniques pour les aéronefs tant civils que militaires. Face à l’accroissement de cette complexité, de nouvelles architectures avioniques, appelées IMA, sont apparues (Boeing 777, Airbus 480, Rafale F2?). Ces architectures visent à améliorer l’efficacité globale du système avionique, en partageant toutes les ressources embarquées entre plusieurs fonctions. Au niveau architecture matérielle, les ressources sont regroupées dans des modules génériques appelés LRM (Line Replaceable Module), qui sont à leur tour regroupés dans des étagères. La communication au sein de ces étagères est réalisée avec des bus spéciaux tels que le bus ARINC 659, tandis que la communication entre étagères repose sur des bus à diffusion multiplexés du type ARINC 629, MIL STD 1553B, ou encore sur un réseau du type Ethernet commuté. Les modules composant les étagères peuvent être de trois types : les modules c?urs en charge de l’exécution des applications, les modules d’entrées / sorties permettant la communication avec des éléments situés hors de l’architecture IMA, les modules passerelles assurant la transmission des messages entre l’étagère et le réseau inter étagères. L’architecture logicielle est décrite par la norme APEX qui permet d’offrir aux applications une interface générique vers le système d’exploitation et vers la pile de communication gérant les échanges intra et inter étagères. Le développement du logiciel est ainsi rendu indépendant du matériel sur lequel il sera exécuté. Les premiers exemples d’implantation de l’IMA ont permis de constater de nombreux bénéfices, que ce soit sur le plan de l’adaptabilité, de la maintenabilité ou de réduction des coûts notamment grâce à des gains importants en masse et en volume. 2.1.2 Contraintes de certification Si l’IMA apporte des bénéfices en terme de réduction des coûts, elle se heurte cependant à une contrainte du domaine aéronautique : la certification. En effet, en vue de la certification de son appareil, l’avionneur doit entre autres prouver la tolérance aux fautes et le déterminisme du système avionique. La tolérance aux fautes est généralement apportée grâce à une redondance matérielle et logicielle. Cependant, une architecture IMA rend beaucoup plus complexe le processus de certification. En effet, il ne s’agit plus de certifier des équipements isolés possédant leurs propres ressources de traitement et de communication, mais de certifier un système global. Se pose alors la question du déterminisme temporel du médium de communication inter et intra étagères, ce médium incluant non seulement le réseau de communication proprement dit, mais aussi les piles de communication présentes en entrée et en sortie de chaque module ; la démonstration de ce déterminisme étant cruciale pour la certification de l’avion. 2.2 Objectifs de la recherche L’étude du déterminime d’un médium de communication, et notamment son déterminisme temporel, nécessite l’évaluation des latences de bout en bout, c’est−à−dire de l’entrée d’un message dans la pile de communication du module émetteur jusqu’à la sortie de la pile de communication du module récepteur. La détermination d’une borne maximale de ces latences de bout en bout est une contrainte forte du processus de certification. Il importe de plus pour l’avionneur de maîtriser les variations de ces latences entre des bornes maximales et minimales, variations éventuellement caractérisées par des répartitions de probabilités. L’objectif de ce projet est d’étudier la faisabilité de l’évaluation de telles latences de bout en bout sur des architectures IMA, en combinant d’un coté les techniques d’évaluation de pire temps d’exécution (WCET) de programmes (ici les processus des piles de communication), et de l’autre coté des techniques d’évaluation de temps de traversée de réseaux. 2.3 Etat de l’art Les démarches de certification fréquemment suivies reposent sur l’hypothèse simplificatrice que le système peut être segmenté et analysé par morceaux. C’est ainsi que de nombreux travaux ont été menés, séparément, d’une part sur l’évaluation du déterminisme temporel des processus (applicatifs ou exécutifs) composant le système, et d’autre part sur l’évaluation des temps de transfert d’un message le long d’un bus, à travers un commutateur? Les méthodes développées dans les deux cas peuvent être : • dynamiques, parce que reposant sur des mesures effectuées sur un système réel ou un simulateur. Ces mesures doivent être réalisées pour tous les jeux d’entrées possibles, ou alors il faut être capable de définir un jeu d’entrée dont on est certain qu’il conduit au temps d’exécution le plus long ; • ou statiques, parce que reposant sur une analyse statique des programmes (pour les techniques d’évaluation de WCET) ou du trafic et du réseau (pour les techniques d’évaluation de temps de communication). Or il apparaît que l’intégration de plus en plus forte des fonctions, et le partage de plus en plus poussé des ressources de l’architecture tend à remettre en cause cette hypothèse simplificatrice d’analyse séparée des constituants du système. En particulier, le temps de descente ou de remontée de la pile de communication d’un module dépend, dans le contexte IMA, du taux d’occupation de cette pile de communication par des messages provenant du réseau. Inversement le temps de traversée du réseau est tributaire de l’activité de ces mêmes piles de communication. En conséquence, la pire latence de bout en bout pour une architecture IMA n’est pas nécessairement égale à la somme des WCET des piles de communication et des pires temps de traversée du réseau pris isolément. Une démarche globale de l’évaluation de cette pire latence de bout en bout s’impose donc. 2.4 Démarche S’il apparaît donc que l’évaluation des latences de bout en bout à travers une architecture IMA doit être globale, cette évaluation se heurte cependant à des problèmes de complexité et de combinatoire induits justement par son caractère global. La démarche explorée au cours de cette étude de faisabilité consistera alors à modulariser ce processus d’évaluation, tout en prenant en compte les interdépendance en terme d’enveloppe de trafic entre les piles de communication et le réseau. Les questions abordées seront alors : • comment prendre en compte l’activité du réseau et l’influence de celui−ci sur les piles de communication entrante et sortante dans l’évaluation du pire temps de traversée de ces piles de communication ? Cela peut− il se ramener à une étude de WCET, étant entendu qu’une pile de communication est un processus réactif " réentrant " ? • comment prendre en compte l’activité des piles de communication dans l’évaluation des pires temps de traversée du réseau ? ceci de sorte que la pire latence de bout en bout soit égale, pour un chemin donnée (également appelé " Virtuel Link ") aux pires temps de descente puis de remontée des piles de communication émetteur et récepteur additionnés au pire temps de traversée du réseau et de ses commutateurs. Plusieurs pistes seront explorées. D’une part une piste dynamique reposant sur des modèles de simulation de haut niveau et globaux, et d’autre part sur un banc de test constitué par une plate−forme avionique réaliste. D’autre part une piste statique reposant sur des méthodes analytique (par exemple du type " network calculus " pour les réseaux). Le contexte applicatif de cette étude sera constitué de deux types d’architecture avionique : la première étant issue du domaine civil (Airbus A380), la seconde étant plus orientée militaire (Rafale F2). 3 Apports des différents laboratoires 3.1 Apport de l’IRIT−ENSEEIHT L’équipe IRT (Ingénierie Réseaux et Télécoms) de l’IRIT−ENSEEIHT a déjà conduit des travaux en liaison avec AIRBUS sur le calcul de bornes des temps de traversée du réseau bord de l’A380 (réseau Ethernet commuté full duplex AFDX). Ces travaux font l’objet de la thèse de J. GRIEU menée en collaboration avec l’ENSICA dans le cadre du laboratoire coopératif TéSA sur financement AIRBUS. 3.2 Apport de l’IRIT−UPS L’IRIT−UPS mène depuis plusieurs années des travaux sur les micropresseurs haute performances embarqués. Dans le cadre de ces travaux, et en lien avec AIRBUS, l’IRIT−UPS étudie des techniques d’évaluation de WCET de programmes temps réel embarqués. L’apport de l’IRIT−UPS au présent projet se situera au niveau des techniques d’évaluation du temps de descente et de remontée des piles de communication d’un calculateur IMA. 3.3 Apport de l’ONERA L’apport de l’ONERA au présent projet se situe dans sa connaissance du domaine et des architectures avioniques, tant civile avec l’émergence de la norme d’interface exécutive APEX et le réseau AFDX (A380), que militiaire avec l’apparition des standards d’avionique modulaire militaire ASAAC et EMTI (Rafale). Par aillieurs, dans le cadre du projet CARLIT (Projet de Recherche Fédérateur ONERA), l’ONERA−DTIM réalise une plate−forme avionique représentative des architectures militaires. L’ONERA posséde également une plate−forme avionique du type civil (Ethernet commuté). Ces deux plate−formes pourront de support aux analyses d’évaluation de latence de bout en bout dynamiques. 4 Durée du projet et financement La durée de l’étude décrite dans cette fiche est d’un an. Cette étude étant en premier lieu une étude de faisabilité, les poursuites éventuelles, selon les résultats de cette première année, feront l’objet soit d’une nouvelle proposition FéRIA, soit l’objet d’autres formes de soutien, soit les deux. Pour l’IRIT, aucune demande de financement n’a été faite. Pour l’ONERA, cette étude entrant dans le cadre du projet CARLIT, son financement sera assuré dans le cadre de ce projet. Un financement pour 2 stagiaires de DEA est demandé à la fédératrion FéRIA. L’encadrement de ces stagiaires sera assuré en co−tutelle par les responsables du projet.
