Architectures tolérantes aux fautes pour systèmes réactifs critiques

Les progrès récents, à la fois dans les réseaux numériques et dans les capteurs et actionneurs intelligents, offrent de nouvelles opportunités pour développer de nouvelles (innovantes) architectures tolérantes aux fautes pour les systèmes critiques de contrôle. En effet, ces systèmes doivent satisfaire des exigences très fortes (voire extrêmes) de fiabilité, de performance, mais également de réduction des coûts. L’objectif principal est de tirer profit des capacités croissantes de traitement d’informations au niveau des capteurs et actionneurs pour parvenir à une répartition optimale, entre les ordinateurs et les actionneurs, des fonctionnalités du système et des mécanismes de tolérance aux fautes.

Nous avons étudié ce problème dans le contexte des systèmes de Commandes De Vol (CDV). Nous avons proposé des architectures distribuées et reconfigurables en rupture avec les architectures traditionnellement centralisées (par exemple, celles de type COM / MON) dans lesquelles tous les traitements sont réalisés au niveau (et  par) des calculateurs spécifiques et tolérants aux fautes. Les nouvelles architectures proposées pour les CDV  ([1] et [2]) sont basées sur des ordinateurs simplex, une distribution des fonctionnalités du système entre les ordinateurs et les actionneurs, moins de ressources matérielles et logicielles, le tout, en satisfaisant le même niveau (ou même mieux) d'exigence en matière de sécurité et de disponibilité que ce qui existe actuellement dans l’état de l’art. Deux architectures ont été proposées [3][4] : celle dite à « vote massif » (cf. Figure 1) et celle dite à « vote prioritaire ». Ces deux types d’architectures ont été validées par le biais de simulations, respectivement sous OCAS / AltaRica (pour les besoins de sécurité) et Matlab / Simulink (pour les besoins de robustesse). Ce travail a été réalisé en partenariat avec Airbus-France.

Nous avons récemment repris des travaux ([7] et [8]) sur l'intégrité des réseaux de communication, travaux basés sur une de nos précédentes études [5][6]. Nos objectifs sont d'approfondir et d'étendre une méthode innovante de protection au niveau applicatif. Cette méthode traite les erreurs multiples dans un même message, erreurs qui se répètent à l’identique d’un message à l’autre. Les systèmes visés sont les systèmes critiques caractérisés par une "dynamique lente" (comme par exemple les CDV). Cette caractéristique rend possible de considérer l’intégrité sur un ensemble de messages, et non plus seulement en considérant chaque message individuellement. Le principe innovant de base repose sur l’application, aux messages consécutifs, de fonctions de détection d’erreur différentes à chaque message (voir Figure 2). Ces fonctions doivent comporter des capacités de détection d'erreur "complémentaires". Plusieurs défis se posent : 1) la preuve de la propriété de la complémentarité des codes sélectionnés (ex. : Fast CRC, Adler et Fletcher) ; 2) l’augmentation des capacités de détection d'erreur dans un contexte de fortes limitations de redondances et de ressources, puisque nous visons des systèmes qui sont à la fois critiques, et à ce titre requièrent un très haut niveau d’intégrité, mais également embarqués, et à ce titre sont limités en ressources et utilisent des messages courts ; 3) la validation de l'approche proposée : analytique et/ou par des simulations ; 4) trouver des applications dans d'autres domaines ayant les mêmes exigences et caractéristiques que ceux des CDV (ex. : applications automobiles).

Figure 1 : Architecture à vote massif

Cumulative errors detection approach

Figure 2 : Principe de l’utilisation de plusieurs fonctions de détection d’erreurs

Publications

[1] M. Sghairi, Architectures innovantes de systèmes de commandes de vol, PhD INP Toulouse, 27 May 2010, http://tel.archives-ouvertes.fr/tel-00509156/fr/

[2] M. Sghairi, A. de Bonneval, Y. Crouzet, J-J. Aubert, P. Brot, Y. Laarouchi, "Distributed and Reconfigurable Architecture for Flight Control System", 28th Digital Avionics Systems Conference (DASC'09), Orlando (USA), 25-29 Oct. 2009, Publisher: IEEE Computer Society, ISBN 978-1-4244-4078-8, DOI 10.1109/DASC.2009.5347447, pp. 6.B.2-01 to 6.B.2-10 

[3] M. Sghairi, P. Brot, J-J. Aubert, A. de Bonneval, Y. Crouzet, "Système de commande de vol et aéronef le comportant", Rapport LAAS N° 09070, 13p,  Brevet conjoint AIRBUS France et CNRS. Numéros et Dates de publication: Dépôt INPI : FR20090050831 - 10/02/2009 — France : FR2941913 ((A1 et B1) - 13/08/2010 et 31/08/2012 (brevet accepté) ; Europe : EP2216245 (A1) - 11/08/2010; USA : US2010222943 (A1) - 02/09/2010, puis US8761969  (B2) - 24/06/2014 (brevet accepté)

[4] M. Sghairi, P. Brot, J-J. Aubert, A. de Bonneval, Y. Crouzet, "Système de commande de vol et aéronef le comportant", Rapport LAAS N° 09069, 13p, Brevet conjoint AIRBUS France et CNRS. Numéros et Dates de publication: Dépôt INPI :  FR20090050830 - 10/02/2009; France : FR2941912 (A1 et B1) - 13/08/2010   et   18/02/2011 (brevet accepté); Europe : EP2216244 (A1 et B1) - 11/08/2010   et   01/02/2012 (brevet accepté); USA : US2010204853 (A1) - 12/08/2010

[5] A. Youssef, A. de Bonneval, Y. Crouzet, J-J. Aubert, P. Brot, "Détection d’erreurs dans les données concernant l’actionnement d’un organe de véhicule", Brevet conjoint AIRBUS France et CNRS. Numéros et Dates de publication: Dépôt INPI:  FR20040012141 - 16/11/2004; France : FR2878097 (A1 et B1) - 19/05/2006  et 16/02/2007 (brevet accepté); International : WO2006053956 (A1) - 26/05/2006; Canada : CA2587503 (A1) - 26/05/2006; Inde : 2105/CHENP/2007 – 2007/09/07; USA : US2009319122 (A1) - 24/12/2009, puis US8239075  (B2) - 07/08/2012 (brevet accepté)

[6] A. Youssef, Y. Crouzet, A. de Bonneval, J. Arlat, J-J Aubert, P. Brot, "Communication Integrity in Networks for Critical Control Systems", 6th European Dependable Computing Conference (EDCC-6), Coimbra, Portugal, october 18-20, 2006, pp 23-32, (IEEE CS Press)

[7] A. Zammali, A. de Bonneval, Y. Crouzet, "A Multi-function Error Detection Policy to Enhance Communication Integrity in Critical Embedded Systems",  8th International Conference on Software Security and Reliability (SERE 2014), June 30-July 2, 2014, San Francisco, California, USA, pp. 19-24, Rapport LAAS N° 14156

[8] A. Zammali, A. de Bonneval, Y. Crouzet, "Communication Integrity for Slow-Dynamic Critical Embedded Systems", International Conference on Computer Safety, Reliability and Security (SafeComp) 2013, september 24-27, 2013, Toulouse (France), 2p., Rapport LAAS N° 13569

Retour aux Sujets de Recherche TSF