cs communication & systèmes – charte 2010 1 qds technical solution outlines

CS Communication & Systèmes – Charte 20101

QDS Technical Solution Outlines


QDS – Features

QDS Design & Development SupportHMI :Safe & Determinist

• Determinist Support Architecture (HW, SW)

• Simulation Support

Development Process with very high Testing & Verification (C2)

Precise and pre-established [ only] Operation & Maintenance procedures (finite use cases) implementation

Safe & Determinist OperationConstrained States/Transitions/Actions for HMI

Determinist Process Interface & I/O Mngt

RTOS & Scheduling constraints

Qualifiable HMI• HMI behaviour formally verified• Qualifiable HW• Qualifiable SW


Typical QDS Architecture

Redundant, deterministic Network

IO modules

x2

x2

QDS_1QDS_2

The N8000Qualified Nwrk?

MCS

Cablage / Lien série vers CE4000-S

CE4000-S

Serial Nwrk?Instead of Ethernet?

Field & Instruments


Partitioning / DO-297 Partiotn for QDS (F1) Partiotn for F2 or F3 DSPartiotn for BAR/BMF?


Conventional Island

Architecture ALSPA Proposée pour EPR

F1B F2 NC

NI : Division 1/2/3/4

GTW

Auxiliaires généraux

MCS


MCP

CCAD Client

CCAD Serveur

Réseau S8000 NI Réseau S8000 Site

LIA

ISO

NS

OP

TIQ

UE X

3

S8000

CE4000-S

CE4000-S

CE4000-S LIA

ISO

NS

OP

TIQ

UE X

3

S8000

CE4000-S

CE4000-S

CE4000-SLIA

ISO

NS

OP

TIQ

UE X

3

S8000

CE4000-S

CE4000-S

CE4000-S

LIA

ISO

NS

OP

TIQ

UE X

3

S8000

CE4000-S

CE4000-S

CE4000-S

LIA

ISO

NS

OP

TIQ

UE X

3

S8000

CE4000-S

CE4000-S

CE4000-S

TURBINE (div 2)

CONTROSTEAM

N8000 (plant wide)

SPCC

SA F2 CI : Division 2/3

SA F1B

MFC4000-N MFC4000-N MFC3000MFC3000

MFC3000

Salle de commandeStation de repli Divers Local Technique de

crise

Maintenance

MFC3000

Réseau S8000 CI

Serveur Temps

réel (CIS)x2

Serveur Historian

Réseau salles de contrôle

Niveau 3

GTW

SA NC


Conventional Island

Architecture ALSPA ProposéePoints àmodifier/adapter pour qualification

F1B F2 NC

Division 1/2/3/4

GTW

Auxiliaires généraux

MCS


MCP

CCAD Client

CCAD Serveur

Réseau S8000 NI Réseau S8000 Site

LIA

ISO

NS

OP

TIQ

UE X

3

S8000

CE4000-S

CE4000-S

CE4000-S LIA

ISO

NS

OP

TIQ

UE X

3

S8000

CE4000-S

CE4000-S

CE4000-SLIA

ISO

NS

OP

TIQ

UE X

3

S8000

CE4000-S

CE4000-S

CE4000-S

LIA

ISO

NS

OP

TIQ

UE X

3

S8000

CE4000-S

CE4000-S

CE4000-S

LIA

ISO

NS

OP

TIQ

UE X

3

S8000

CE4000-S

CE4000-S

CE4000-S

TURBINE (div 2)

CONTROSTEAM

N8000 (plant wide)

SA F2 CI : Division 2/3

SA F1B

MFC4000-N MFC4000-N MFC3000MFC3000

MFC3000

Salle de commandeStation de repli Divers Local Technique de

crise

Maintenance

MFC3000

Réseau S8000 CI

Serveur Temps

réel (CIS)x2

Serveur Historian

Réseau salles de contrôle

Niveau 3

GTW

SA NC 1: safety network pour échanges F1B

2: MFC4000-N : Tëte de cellule pour I/O CE4000 (F2)

3 : Base de données temps réel sur RTOS 4: Suppression des

fonctions OPC

5: Code sûr Controcad pour contrôles F1B

6 : Développements QDS

7: Carte actionneur

8: Segregation des réseaux entre divisions/classes de sûreté/lignes de défenses

9: Communication entre ilots

10: Amélioration sûreté du réseau S8000

11: Import d’un chaine CAO externe

12: Fonctions IHM F2

13: Gateway pour catégorie A

SPCC


SW Architecture &Development process

Cyclic /synchronous application deterministic connection to I/O

SCADE based solution


OSOS

QDS.Architecture.SW(cyclic task

SYNCHRONOUS APPROACH )

Loop• Get I/O data• Display data• Process inputs• Send I/O data

end loop

DisplayDisplay

GPUOpenGL Renderer

GPUOpenGL Renderer

ComChipComChip

TCP/IPDriverTCP/IPDriver

Ntwk BUSNtwk BUS

NetworkNetwork

ComChipComChip

osos

CPUCPU

NetworkDriver

NetworkDriver

CPU/GPUCPU/GPU

GRAPHICDriver

GRAPHICDriver

CPUCPU

ApplicationTask

ApplicationTask

TouchScreenTrackballKeyboard

TouchScreenTrackballKeyboard

InputsDriverInputsDriver

KB,Mouse, TouchinputsKB,Mouse, Touchinputs

I/O Data, StatusI/O Data, Status

CommandsCommands

Display ConfigurationDisplay Configuration


SW Architecture based on SCADE + SCADE-Display


RT Vizu of SW Spec


Typical SW architecturefor graphics


Verification integration


SCADE based Development Process

One periodic task with 4 code units : OGLX library

SCADE display code for HMI

SCADE code

Manual “glue” code

Solution built by CS on Arinc 653 platform Allowing partitioned applications running on the same CPU

Allowing safe and deterministic behaviour of each application

Co-simulation – interactive HMI

Mitigation of Project risks through prototyping

Deterministic scheduling may impact response time?


Qualifiable HMI Development Processusing Scade-Display

Incremental Approach : Capture & model requirement using

• Scade system (SysML: structured , semi-informal capture (state transition diagram, use cases,..))

• Formal verification of associated state transition systems

Automated translation of HMI automata to SCADE Display

Early Co-Simulation (Scade-suite _ Scade Display) and formal validation for each new requirement

Prototyping

Support of incremental qualification :• Automated non regression testing (mode batch)

• Automatic code generation from simulation to target


QDSQualification Process


Différences RCC-E-2005/IEC 62138 et DO-178B pour le niveau C2AMDEC Requis au niveau logiciel – Analyse réalisée au niveau système dans le domaine aéronautique

Analyse sécurité Requis au niveau logiciel – Non requis au niveau logiciel ni dans l’issue B (ni dans l’issue C) du DO-178

Plans et standards

Le PQL reprend les conclusions de l’AMDEC et de l’analyse de sécurité. Le Plan de développement est inclus dans le PQL, notamment les moyens de s’assurer de l’efficacité des dispositions prises (conclusions AMDEC et Analyse de sécurité) y sont à décrire.

ConfigurationNotion de dossier de fabrication à comparer avec l’index de configuration du logiciel et l’index de configuration de l’environnement de développement complété des procédures d’installation.

Développement

• Découpage à priori entre logiciel "Application" et logiciel "Système".• Le niveau de détail de la spécification est adaptable à la classe de sûreté.• Les méthodes de spécification doivent être adaptées aux ingénieurs de "Fonctionnement". • Transition entre phases obligatoire et formalisée pour tout niveau de sûreté.• La phase de conception est explicitement composée d’une phase CP et d’une phase CD.• La phase CD s’accompagne de la fourniture des PTUs.

Vérifications et Tests logiciels

• Deux Plans séparés (Plan DO-178B unique SVP) :• Plan de Test et de Vérifications incluant un Plan d’intégration,• Plan de validation.

• Les Tests Unitaires sont obligatoires pour tous les modules logiciels à partir de C2.• Indépendance (vis-à-vis de l’équipe de réalisation) requise pour le niveau C2 pour l’écriture des

plans et non pour l’exécution des tests.• Pour C2, aucun critère d’arrêt des tests par atteinte d’un pourcentage de couverture fonctionnelle

et/ou structurel n’est fixé par la norme. Ce pourcentage est à définir dans la stratégie de test (Plans) de chaque projet.

Qualification (aspects logiciels)

• Constitution du référentiel pour la Qualification - équivalent à l’élaboration du PSAC.• Définition d’un programme de Qualification préétabli - pas d’équivalence DO-178B.• Exécution du programme de Qualification - équivalent Audit de

Certification.• Etablissement du Compte-rendu de Qualification - équivalent Rapport d’Audit. L’IEC 62138 stipule pour les logiciels de catégorie B :

"Si des langages orientés application sont disponibles, il convient de leur accorder la préférence.""Il convient que les langages généralistes utilisés aient des caractéristiques facilitant l’analyse statique des programmes par des outils."


Les principes et règles à adopteren vue de la Qualification (C2 au sens RCC-E-2005)

Réaliser une AMDEC précise et détaillée

Réaliser une analyse des menaces et des vulnérabilités pour les aspects logiciels de la sécurité (IEC 62138)

Choisir un process de développement et les outils support pour atteindre le niveau C2 (ou catégorie B IEC 62138) – s’assurer de la qualification des outils

Etablir le référentiel pour la Qualification et définir le programme de Qualification

Décrire le process et prendre en compte les conclusions de l’AMDEC et les dispositions pour la sécurité dans le Plan Qualité Logiciel (PQL) puis faire pré-valider le PQL et le programme de Qualification (si possible) avant le démarrage du projet par l’IRSN

Définir les normes et règles de réalisation

Réaliser des documents de spécification et de conception conformément aux normes et règles de réalisation retenues (granularité, précision, traçabilité des exigences, vérifiabilité, …)

Définir une architecture dynamique dont la preuve de déterminisme est aisée à produire

Concevoir des tests et produire des analyses en vue de démontrer la fiabilité et le déterminisme du système :

Tests de robustesse vis-à-vis des modes de défaillance évalués par l’AMDEC

Tests de performances

WCET (Worst Case Execution Time) – solution AIT d’Absint ou RAPITIME

Documenter l’ensemble des preuves (résultats de tests et des analyses) et s’assurer que l’ensemble des objectifs requis pour la qualification sont couverts par la documentation projet produite et par ces preuves formalisées


Environnement de développement (suite)

Solution intégrée avec Scade system• Formalise les besoins recueillis

• L’intégration avec Scade Display-Scade suite facilite la traçabilité avec les besoins recueillis

Utilisation de techniques de vérification formelle :• Utilisation d’outillage de Model-Checking – solution déployée par CS sur ATC pour Airbus

• Utilisation de Frama-C - solution déployée par CS sur projet spatial embarqué Nosyca

Utilisation de process transverses éprouvés dans le domaine aéronautique :

• Traçabilité des artefacts de développement (DOORS et/ou Reqtify) :• Besoins Spécification Design code

• Traçabilité artefacts de développement vs tests (DOORS et/ou Reqtify) :• Besoins tests de validation système

• Spécification SW Tests de validation SW

• Architecture SW Tests d’Intégration

• Conception Détaillée TU

• Gestion de configuration éprouvée et outillée (SVN)

RT-RT pour les TU (solution déployée sur l’ensemble des systèmes Airbus certifiés)

Chaîne de compilation fonction de la cible et de l’OS retenus


Possibilité offerte par la Simulation Scade

Basée sur la ré-utilisation des scénarii déjà mis au point sur machine hôte en co-simulation le bénéfice est double :

Couplée avec la couverture du modèle durant la simulation – les objectifs de vérification de la Conception sont satisfaits

Les procédures de tests issus des scénarii mis au point permettent de satisfaire les objectifs de Validation

Le passage dans l’environnement de test est facilité par une passerelle qualifiée vers l’outillage RT-RT

DesignModel

Environnementde simulation

Scénarios(basés sur les HLR)

Editeur de modèle

Tests sur cibleExecutable

Object Code

Réutilisation

Mise au point

Résultats corrects etcouverture du modèle(objectifs Table MBA-4 selon le DO-178C)

Résultats de vérification HLR(objectifs Table MBA-6 selon le DO-178C)

HLR

ValidationModèle

Générateurde code et

compilation qualifiées

Passerelle qualifiée(ou contrôle outputs)

DesignModel

Environnementde simulation

Scénarios(basés sur les HLR)

Editeur de modèle

Tests sur cibleExecutable

Object Code

Réutilisation

Mise au point

Résultats corrects etcouverture du modèle(objectifs Table MBA-4 selon le DO-178C)

Résultats de vérification HLR(objectifs Table MBA-6 selon le DO-178C)

HLR

ValidationModèle

Générateurde code et

compilation qualifiées

Passerelle qualifiée(ou contrôle outputs)


Argumentaire QDS pour client final


Points forts techniques de la solutionoutils utilisés qualifiés

Scade-Display couplé à Scade-suite• Code sûr généré automatiquement

• Solution intrinsèquement déterministe

• Capacité de mise au point rapide par co-simulation(Scade-suite – Scade Display)

• Rejeu en environnement Target des scénarii mis au point en simulation

• Maintenabilité facilitée par l’approche graphique

• Solution certifiée IEC 61508 et conforme à l’IEC 60880(et utilisée dans le projet LMC-MFD A400M certifiableDO-178B pour un niveau de criticité B – équivalent C2)


QDS Exploitation & Maintenance

• Deterministtic Solution

• Simulation for validating changes/updates of HMI

• Replay in target environment of scénarii debugged in simulation

• Maintenability through graphical approach

• Solution certifiée IEC 61508 et conforme à l’IEC 60880(et utilisée dans le projet LMC-MFD A400M certifiableDO-178B pour un niveau de criticité B – équivalent C2)


QDS FAQs & Issues

• SCADE toolset license costs? ~20-30K

• SCADE display vs Host OS

• SCADE limitations ( - Resources )• Max object displayabkes or• Display on several screens Large displays?• Refresh rate ( 300ms to 1s)• How to verify that a given value is refreshed?• SCADE perennity?


Summary

Solution allowing:

SW Architecture HW indépendant

qualifiable

Maintenance Upstream simulation , automated porting on target environnement

automation of verification procedures (tests)

Fast Operation & Exploitation after updates

Pérennity ?? HW independancy

SCADE tooset? But C language


Additional slides44


QDS SW Architecture


Dev i

S_CPS_CPDev iDev i

S_CP

Initialisation

goInitDev

Init

maxD_log

Dev 1

Dev 2

login i

ackLog ( id )

operate (op)

ackOper ( role )

logout i

...

maxD_oper


Safety & Control Integration


ARINC 653 based Architecture


ARINC 653 RTOS Architecture

Priority-Preemptive Inside Partitions

cs communication & systèmes – charte 2010 1 qds technical solution outlines

Documents