Validation temporelle de réseaux embarqués critiques et fiables pour l automobile

Transcription

1 N d ordre : Année 2004 Thèse Validation temporelle de réseaux embarqués critiques et fiables pour l automobile Présentée devant l Institut National des Sciences Appliquées de Lyon Pour obtenir le grade de docteur Ecole doctorale : EDIIS - Informatique et Information pour la Société Spécialité : Informatique par Karen GODARY Soutenue le 3 novembre 2004 devant la Commission d examen Jury Mme. Isabelle AUGÉ-BLUM Maître de conférences Co-Encadrante M. Samuel BOUTIN Direction de la Recherche Renault M. Richard CASTANET Professeur Rapporteur Mme. Anne MIGNOTTE Professeur Directrice de thèse M. Jean-Pierre THOMESSE Professeur Rapporteur M. Yvon TRINQUET Professeur Président Version du 19 avril 2005

2 2

3 Remerciements Il est d usage d effectuer des remerciements au début des manuscrits de thèse. Malgré l apparente formalité de cette étape, c est cependant avec sincérité et une réelle gratitude que je me plierai à cette tradition. Les travaux présentés dans ce manuscrit ont été effectués au laboratoire L3i, Ingénierie de l Informatique Industrielle, puis au laboratoire CITI, Centre d Innovations en Télécommunications et Intégration de Services, de l INSA de Lyon. Je tiens à exprimer ma gratitude à Madame Anne Mignotte, directrice du laboratoire L3i, et à Monsieur Stéphane Ubeda directeur du laboratoire CITI, pour leur accueil. Je remercie la Direction de la Recherche Renault, en particulier Samuel Boutin et Ray Snyder, qui par leur collaboration et leur investissement ont rendu ces travaux possibles. Je remercie bien sûr Anne Mignotte et Isabelle Augé-Blum, co-encadrantes de ma thèse, qui par leur soutien, leurs conseils, leur tolérance et leur complémentarité m ont beaucoup apporté et m ont permis de mener à bien ce travail. Je remercie également les membres de mon jury, en particulier Richard Castanet et Jean-Pierre Thomesse, qui ont accepté d être rapporteurs de cette thèse, et Yvon Trinquet qui a accepté la charge de président de soutenance. Je tiens également à remercier le département Télécommunications Services & Usages de l INSA de Lyon, et ses deux directeurs successifs Claude Guédat et Attila Baskurt, qui m ont fait confiance et m ont accueillie au sein de leur équipe enseignante. Je remercie chaleureusement les membres du CITI (Jean-Philippe, pour ses conseils et tout le reste, SFR pour le café et la clé,..) et mes compagnons de bureau successifs qui, par leur sympathie et leur aide, m ont permis d avancer dans mes recherches et surtout Antoine, qui en plus de son amitié, m a prêté son portable pour pouvoir rédiger cette thèse dans tous les lieux du monde et de l univers. Je remercie également les stagiaires de DEA et de PFE qui m ont aidée dans mes recherches, en particulier Marc Riner pour sa collaboration à l étude des formalismes, et également ceux qui m ont aidée (ou pas) sur un plan différent : merci la Ahou Corp. Ensuite, je tiens à remercier de tout mon coeur ma famille, mes parents, Céline et Bertrand qui m ont toujours soutenue et encouragée, même et surtout dans les moments les plus difficiles. Ma reconnaissance va particulièrement à mes parents, pour leur amour et leur patience et à toi, maman, pour tes bons pique-nique et l abnégation dont tu as fait preuve pour la relecture de ce manuscrit! Je ne peux oublier non plus mes amis qui en ces instants, m ont prouvé combien ils étaient chers : Sonia, Béa, Fanny, Vaness, Alex, vous qui avez su comment m aider ; les filles de mon équipe et ma coach, qui m ont comprise et soutenue ; et bien sûr toi, Antoine, sans qui ces instants auraient été beaucoup plus durs.. 3

4 Et enfin, car je le lui ai promis, je remercie ma souris, qui malgré les vols planés et autres chutes spectaculaires autant qu inattendues, ne m a jamais lâchée. Je remercie donc toutes ces personnes qui ont permis l aboutissement de ce doctorat qui m a beaucoup enrichie, et qui m ouvre maintenant de nouvelles portes et de nouveaux horizons. 4

5 Table des matières I Partie 1 - CONTEXTE 13 1 Contexte de l étude Le contexte automobile Applications et systèmes cibles Contraintes Fiabilité Définitions Fiabilité d un système Tolérance aux fautes dans un système automobile TTA - Time-Triggered Architecture Architectures embarquées pour l automobile L architecture TTA Architecture générale Topologies Sous-système hôte Le protocole TTP/C : services de base La technologie Time-Triggered Structures de données de base Services de communication Services des couches supérieures La tolérance aux fautes dans TTA Hypothèses de fautes de TTA Contention des fautes et des erreurs Hypothèses de fautes de TTA Garantie des hypothèses Notion de couverture Solutions matérielles Le bus guardian Topologie en étoile Solutions logicielles : les services de fiabilité CRC et status des trames Membership et acquittement Signe de vie de l hôte et du contrôleur La redondance Redondance d application La couche FT layer Conclusion

6 4 Contexte : conclusion 41 II Partie 2 - VALIDATION : ETAT DE L ART 43 1 Validation d un système Validation dans le processus de développement d un système Validation a posteriori Peer reviewing Test Injection de fautes a posteriori : conclusion Validation a priori Preuve Méthodes basées sur des modèles formels Simulation Model checking Résumé - Comparaison des méthodes Validation temporelle pour TTA : état de l art Injection de fautes - projet FIT Expérimentations Résultats Simulation Validation formelle par la preuve Preuves d algorithmes indépendants Intéractions des algorithmes Couplage de méthodes de validation Validation : conclusion 57 III Partie 3 - METHODOLOGIE DE VALIDATION POUR TTA 59 1 Méthodologie de validation Première phase : conception d un modèle abstrait validé Deuxième phase : validation des bornes Choix du formalisme de validation Formalisme de modélisation pour TTA Pouvoir d expression pour TTA Représentation du temps Présentation de cinq formalismes potentiels pour la modélisation de TTA Comparaison du pouvoir d expression Méthodes d analyse Graphe des classes d états Graphe des régions Graphe de simulation en temps discret : LTS Complexité et comparaison théorique Expérimentation des automates hybrides linéaires avec HyTech

7 2.4 Comparaison de deux méthodes : UPPAAL vs SDL+RdPT Choix des outils d analyse Comparaison expérimentale Optimisation de l analyse de TTA avec UPPAAL : abstractions L outil UPPAAL : modélisation et validation Formalisme de modélisation Expression des propriétés Méthode d analyse : le model checking symbolique Optimisations de l outil UPPAAL Complexité et méthodes d optimisation Implémentation et stockage des états symboliques Optimisation de l algorithme de model checking Abstractions du modèle de TTA Réduction des entrelacements Réduction du nombre d horloges Réduction du nombre d automates : fusion Applications d abstractions : résultats Vérification du modèle conceptuel Méthodologie : conclusion 113 IV Partie 4 - RESULTATS Modélisation Hypothèses Modélisation du comportement normal Modèle global Modélisation du sous-système hôte Modélisation du sous-système de communication Scénario Paramètres du modèle Abstraction du niveau hôte Valeurs des paramètres Exemples de validation de bornes temporelles Borne temporelle du service de réintégration Modélisation de la réintégration Réintégration après une faute symétrique Réintégration après une faute byzantine Borne temporelle de la détection d une perte de membership Services de membership et d acquittement Bases de la modélisation Modélisation du contrôleur Modélisation des fautes Validation Borne temporelle composée : détection d une perte de membership et réintégration Somme des bornes des services

8 2.3.2 Modélisation Validation : borne composée Résultats : conclusion Bornes temporelles validées par notre méthodologie Comparaison avec des bornes temporelles existantes Exemples d utilisation des bornes temporelles Publications internationales Publications nationales Rapports internes de recherche

9 Introduction 9

10 Introduction Introduction Dans le domaine de l automobile, la tendance actuelle est au remplacement des parties mécaniques par de l électronique embarquée dans les véhicules. Cette technologie offre en effet de nouvelles possibilités, en particulier en terme de sécurité des véhicules et des composants et en terme de coût de production et de maintenance. Il existe déjà des cas de systèmes électroniques embarqués. Cependant, dans le domaine automobile, ces systèmes ne concernent en général que des applications de confort, c est-à-dire non critiques, ou sont des applications de soutien aux systèmes mécaniques comme par exemple l ABS (Anti-lock Braking System) qui est un soutien au système de freinage classique. Dans le domaine de l avionique 1, des systèmes électroniques sont déjà utilisés pour la gestion des applications critiques, comme par exemple l application fly-by-wire, ou le moteur de contrôle du système de commandes électroniques d un avion. Les contraintes du domaine de l avionique sont cependant différentes de celles des constructeurs automobiles, en particulier sur le plan du coût de conception. Il était donc nécessaire de concevoir une architecture spécifique aux contraintes du domaine automobile, et d intégrer dans le cycle de développement un nouveau processus de validation adapté à ces nouveaux systèmes embarqués critiques. Les applications concernées sont des applications liées à la gestion des services critiques des véhicules. Ces applications sont appelées X-by-wire, comme par exemple le break-by-wire qui est le service de contrôle de freinage. Ces systèmes sont des systèmes distribués, temps réel et critiques sur le plan de la fiabilité. Ces applications doivent donc être basées sur des architectures spécifiques, implémentant des services de gestion des contraintes temporelles et de la tolérance aux fautes. Le processus de validation dédié à ces systèmes devra donc permettre la validation des contraintes temporelles en présence de fautes. L architecture TTA (Time-Triggered Architecture) a été développée spécifiquement pour répondre aux contraintes des applications X-by-wire par un consortium d industriels et d universitaires. TTA est une architecture comprenant plusieurs composants distribués autour d un bus de communication redondant. Chacun de ces composants est formé de plusieurs couches implémentant des services indépendants, reliées entre elles par une mémoire partagée. La couche inférieure implémente un contrôleur de communication exécutant le protocole TTP/C (Time Triggered Protocol for class C). Ce protocole implique une gestion TDMA (Time Division Multiple Access) de l accès au bus, c est-à-dire que les différents composants possèdent une période d émission fixe et déterminée statiquement par un ordonnancement prédéfini des tâches et des messages. Ce comportement déterministe permet un contrôle total du temps et du comportement temporel du système. En plus des services de communication de base, l architecture TTA permet la tolérance aux fautes de façon matérielle ou logicielle, ou avec de la redondance. La redondance est la stratégie la plus courante dans la tolérance aux fautes. Elle est parfois la seule solution pour tolérer certains types de fautes comme par exemple les fautes permanentes. TTA intègre certaines formes de redondance, et offre la possibilité d en utiliser d autres, en particulier la redondance d applications. Les différents mécanismes et services de tolérance aux fautes sont directement intégrés à l architecture, et assurent le bon fonctionnement du système sous certaines hypothèses de fautes. Les scénarios de fautes sortant de ces hypothèses seront détectés et une stratégie spécifique est définie pour le traitement de ces cas d urgence. Dans ce contexte de temps réel et de tolérance aux fautes, le comportement d un service est aussi important sur le plan de son bon fonctionnement que sur le plan de son temps d exécution. Par exemple 1 http ://tttech.com/customers/aerospace.htm 10

11 un service de détection d erreurs devra non seulement détecter l erreur, mais le faire dans un temps borné. Une nouvelle notion doit donc être ajoutée pour la validation de l architecture TTA : la validation des bornes temporelles de ses services. La détermination d une technique de validation adaptée à la validation d un système dépend de plusieurs critères. Dans le contexte industriel, et encore plus automobile, le temps et le coût du processus sont des facteurs indispensables à prendre en compte. Dans le contexte spécifique des systèmes embarqués critiques, la validation produite doit être garantie. Ces différents éléments orientent le choix d une technique de validation formelle, et pouvant être effectuée a priori, c est-à-dire tôt dans le processus de développement. Les méthodes formelles se basent sur une modélisation formelle du système et permettent une plus grande garantie de la validation, tandis que la détection anticipée des fautes de conception permet une économie en temps et en coût. Plusieurs techniques de validation ont été appliquées à l architecture TTA, qui ont conduit à la validation de certains algorithmes, à la validation des hypothèses de fautes, et parfois à la détection d erreurs de conception menant à la correction des spécifications. Cependant, la plupart de ces techniques ne permettent pas une validation formelle de l architecture, ou ne permettent la validation de l architecture que partiellement. Il est donc nécessaire de définir une nouvelle méthodologie de validation de l architecture TTA, permettant la validation des bornes temporelles de ses services en présence de fautes. Cette thèse propose une telle méthodologie. Elle a été réalisée dans le cadre d une collaboration entre le laboratoire CITI et la direction de la recherche de Renault. Plan du manuscrit Le manuscrit de cette thèse se compose de quatre parties. La première partie présente tout d abord une introduction du contexte de cette thèse, du domaine automobile et des applications X-by-wire. En particulier, cette partie insiste sur les différentes contraintes impliquées par ce contexte. Puis l architecture TTA est décrite, architecture conçue pour répondre aux contraintes précédentes. Cette description se concentre sur les services de base de TTA et de son protocole de communication TTP/C. Enfin, une dernière section donne la description détaillée des différents mécanismes de tolérance aux fautes intégrés à cette architecture. La deuxième partie est un état de l art des différentes méthodes de validation existantes dans le domaine de la validation de systèmes. Une définition est donnée des principales caractéristiques des méthodes existantes, et des avantages et inconvénients de leur application à notre contexte de la validation temporelle de systèmes critiques pour l automobile. Puis un résumé des résultats des différentes méthodes de validation appliquées à l architecture TTA est proposé qui montre que, malgré les résultats obtenus, aucune validation formelle de l architecture globale ni de ses bornes temporelles n existe. Cette partie conclut donc sur l utilité du développement d une nouvelle technique de validation de TTA, basée sur la méthode du model checking. La troisième partie est la présentation d une méthodologie de validation des bornes temporelles des services de TTA. Cette partie donne la description générale de cette méthodologie, qui est composée de deux phases : la conception d un modèle abstrait et validé de l architecture TTA, puis la validation effective de ce modèle. Le reste de cette partie est consacré à l explication de la première phase et à son application à l architecture TTA. Tout d abord, la conception du modèle repose sur le choix d un formalisme de modélisation adapté à la représentation du système et de ses caractéristiques. Le choix du formalisme pour la modélisation de TTA est expliqué, en se basant sur une analyse théorique des caractéristiques de TTA, ainsi que des pouvoirs d expression et d analyse des différents formalismes. Cette analyse théorique a été complétée par une comparaison expérimentale, afin de pouvoir aboutir au choix final du formalisme et de son outil associé : les TSA (Timed Safety Automata) et l outil UP- 11

12 PAAL 2, développé par les universités Aalborg University (AAL) au Danemark et Uppsala University (UPP) en Suède. Cette première phase de la méthodologie permet de concevoir un premier modèle du système : le modèle conceptuel. Ce premier modèle est cependant trop expressif pour être efficace lors de son analyse et mène souvent à un dépassement des limites de l outil. Une section présente alors des techniques d optimisation de la complexité du processus d analyse. Cette optimisation s effectue d une part par des techniques d optimisation implémentées directement dans l outil UPPAAL. D autre part, notre méthodologie intègre, dans une deuxième étape de la phase de conception du modèle, des règles d abstraction qui permettent des optimisations complémentaires de la complexité de l analyse. Enfin, la quatrième partie illustre la deuxième phase de notre méthodologie : la validation effective des bornes temporelles de TTA avec UPPAAL. L environnement nécessaire à la validation est tout d abord introduit, en précisant les hypothèses de fautes et de modélisation, en décrivant le modèle de base de l architecture (le fonctionnement normal) et le scénario applicatif considéré. Puis une étude détaillée de la validation des bornes temporelles de deux services de TTA est effectuée, ainsi que celle de la borne temporelle de leur composition. Cette partie s achève par la liste de l ensemble des bornes obtenues par l application de notre méthodologie sur différents services de TTA sous différentes hypothèses de fautes, par une comparaison avec une borne extraite de la littérature par une méthodologie proche de la nôtre, et par deux exemples d utilisation de ces bornes temporelles. Ce manuscrit se termine par une conclusion de nos travaux et par la présentation de nouvelles pistes de recherche. Confidentialité Ce travail de doctorat ayant été effectué sous contrat industriel, les annexes et la partie 1.3 ne seront pas incluses dans la version diffusable de ce document

13 Première partie Contexte 13

14 14

15 Chapitre 1 Contexte de l étude L étude réalisée dans cette thèse se situe dans le contexte des architectures embarquées pour l automobile. Ce domaine possède des caractéristiques particulières et entraîne ainsi des contraintes spécifiques. En particulier, les systèmes cibles supportent des applications critiques sur le plan de la fiabilité. Ce sont des systèmes embarqués distribués, à fortes contraintes temporelles et tolérants aux fautes. Pour répondre à leurs contraintes spécifiques de fiabilité, des architectures ont été développées, comme par exemple TTA 1 (Time-Triggered Architecture) [Kop98], [KB03], intégrant des mécanismes de tolérance aux fautes. Cette partie est composée de trois chapitres. Le premier chapitre aborde le contexte automobile, par une description des systèmes cibles et des contraintes qui y sont rattachées. Ensuite, le contexte de la fiabilité d un système, et plus particulièrement de la tolérance aux fautes, sera introduit de façon globale. Le second chapitre traite des architectures spécifiques développées pour le contexte défini, et en particulier d une architecture particulière : TTA (Time-Triggered Architecture). Cette architecture est basée sur un protocole de communication, TTP/C (Time-Triggered Protocol for Class C applications, [KG94], [TTT03]). Le dernier chapitre décrit plus en détail les différents mécanismes de tolérance aux fautes implémentés dans TTA. 1.1 Le contexte automobile Applications et systèmes cibles L évolution technologique actuelle dans les voitures s oriente vers la substitution des composants mécaniques par des composants soit intégrant de l électronique, soit complètement électroniques et communiquant grâce à un réseau. L amélioration des standards de sécurité dans le domaine automobile passe en effet par le remplacement des structures mécaniques par des systèmes distribués, fiables et tolérants aux fautes, embarqués dans le véhicule. Les systèmes informatiques embarqués peuvent également implémenter de nouvelles fonctionnalités complémentaires permettant l amélioration de la sécurité. L introduction de l électronique peut de plus, par exemple, offrir une baisse du coût global de fabrication, une diminution de la pollution, une amélioration des performances ou une réduction du poids et du volume utilisé. Depuis plusieurs années, des applications informatiques non critiques sont embarquées dans les véhicules pour assurer des fonctionnalités de confort, comme par exemple la gestion des vitres électriques ou la régulation de la pollution. Ces applications ne concernent cependant pas les applications de contrôle des fonctionnalités liées au fonctionnement des véhicules, comme par exemple le contrôle du freinage ou de la direction. Ces applications sont des applications critiques, ou temps-réel dur, c est-à-dire que la violation de leurs contraintes temporelles peut avoir des conséquences catastrophiques. Ces applications

16 sont dites de classe C dans une étude menée par le comité SAE (Society of Automotive Engineers) [SAE94]. Elles pourront améliorer la sécurité des véhicules en déchargeant le conducteur des tâches courantes et en l assistant dans les situations critiques, et permettront un gain du coût des véhicules. Il existe déjà des cas concrets d introduction de l électronique dans des systèmes critiques. Ces fonctionnalités ne sont cependant pour l instant que des fonctions complémentaires, assistées en cas de fautes par l ancienne structure mécanique. Un exemple typique est l ABS, qui gère les forces de freinage appliquées aux roues sans toutefois remplacer le système de freinage mécanique. L objectif est cependant de supprimer totalement cette charge mécanique, dans des systèmes dit X-by-wire. Un système X-by-wire est conçu comme un système distribué composé de plusieurs composants tolérants aux fautes, connectés par un système de communication temps-réel fiable. Le X de X-by-wire représente une application critique de classe C, comme par exemple le système break-by-wire illustré sur la figure : le trait rouge représente le système de freinage, reliant les quatre composants gérant les roues et le capteur de pédale de frein. Cette figure montre également (en jaune) un système de transmission. FIG. 1.1 Break-by-wire, système critique embarqué pour l automobile L introduction de ce type de systèmes by-wire dans les véhicules est déjà réalisée dans le domaine de l avionique. De nombreux systèmes critiques dans les avions sont gérés par des systèmes électroniques embarqués, et non plus par des systèmes mécaniques. Le domaine de l avionique n a cependant pas les mêmes contraintes que l automobile sur le processus de développement, en particulier sur le coût. Par exemple, le taux de redondance utilisé pour garantir la tolérance aux fautes dans l avionique est beaucoup trop coûteux à l échelle d un véhicule automobile. Dans notre contexte, les architectures employées sont donc différentes, avec des contraintes différentes Contraintes Sûreté de fonctionnement L industrie automobile est un domaine impliquant directement la vie d êtres humains. Le principal facteur à prendre en considération est donc la sûreté de fonctionnement, c est-à-dire la propriété d un système permettant à ses utilisateurs (autre système, humain ou physique) de placer une confiance justifiée dans le service délivré ([Zie96]). La sûreté de fonctionnement est un ensemble de contraintes à respecter lors de la spécification, la conception, le développement et la validation des véhicules automobiles. Elle comprend différents aspects complémentaires : Fiabilité : capacité d un système à fournir le service demandé pendant une durée donnée (continuité du service) ; Maintenabilité : capacité d un système défaillant à redevenir opérationnel ou à être réparé ; 2 The Rare Glitch Project : Verifying Bus Protocols for Embedded Systems, Edmund Clarke and Daniel Kroening, Carnegie Mellon University 16

17 Disponibilité : capacité d un système à délivrer le service attendu à un instant donné ; Sécurité-Innocuité : aptitude d un système à éviter les états défaillants avec des conséquences catastrophiques ; Sécurité-Confidentialité : aptitude d un système à conserver la confidentialité et l intégrité des informations. Les critères de fiabilité, maintenabilité et disponibilité peuvent être définis comme des mesures permettant de quantifier l alternance entre l état correct du système, c est-à-dire lorsque le service fourni accomplit la fonction demandée, et l état incorrect lorsque le service délivré n accomplit pas cette fonction. Contraintes du X-by-wire : fiabilité et temps-réel L importance relative des différents critères de la sûreté de fonctionnement dépend des fonctions applicatives du système cible. Dans le contexte des systèmes X-by-wire, la principale caractéristique des applications est leur besoin essentiel de fiabilité, ce terme regroupant dans le contexte de la sûreté de fonctionnement les attributs fiabilité, disponibiblité et maintenabilité. La fiabilité inclut de nombreuses contraintes et mécanismes, concernant en particulier la tolérance aux fautes, la détection d erreurs ou le service d acquittement. Ces différents éléments seront décrits dans la partie suivante. Un deuxième élément indispensable à considérer dans les caractéristiques des systèmes X-by-wire est le temps réel. Les systèmes temps réel sont des systèmes dont le comportement temporel est soumis à des contraintes fortes. Dans ces systèmes, le dépassement par une tâche de son temps d exécution supposé peut avoir des conséquences catastrophiques, souvent sur le plan financier, ou même impliquant la vie d êtres humains. La gestion du temps réel et des contraintes temporelles est donc un facteur dominant à intégrer à notre contexte. Autres contraintes du domaine automobile En plus de cet aspect sûreté de fonctionnement, l industrie automobile est soumise à des contraintes spécifiques caractéristiques : en tant qu industrie de masse grand public, le domaine automobile est soumis à une forte contrainte de coût et de temps sur le processus de conception. Ces contraintes s appliquent à tous les stades du processus, de la conception au développement, la validation et la maintenance, contrairement à des domaines comme l avionique par exemple pour lesquels la production en petite série réduit les contraintes sur les coûts matériels par rapport à ceux du développement logiciel. une caractéristique intrinsèque à l automobile est le découpage en fonctionnalités complémentaires et modulaires. D une part, une même gamme de véhicule est proposée avec différentes options fonctionnelles. D autre part, l évolution rapide des gammes et la conception répartie entre différents équipementiers nécessitent une possibilité d utilisation de fonctionnalités hétérogènes. La modularité fonctionnelle est donc un élément essentiel dans la conception de l architecture. d autres facteurs influencent le processus de conception, comme le respect de la législation (normes anti-pollution en Europe par exemple). La réduction du poids et de l encombrement, ainsi que de la consommation sont également des facteurs qui entrent en compte dans la conception. L étude des systèmes caractéristiques du contexte des applications X-by-wire dans l automobile a permis d extraire un certain nombre de contraintes à respecter lors de l implémentation des architectures de ces systèmes. La principale contrainte reste pour ces applications critiques le besoin de fiabilité du système à faible coût, dont les principes fondamentaux vont être présentés dans la section suivante. 17