Académique Documents
Professionnel Documents
Culture Documents
F. Touchard
SICA
Introduction
SCADE : Safety-Critical Application Development Environment environnement de dveloppement pour les systmes critiques, en particulier dans le domaine de lembarqu
avionique (Airbus, Eurocopter) : leader de facto nuclaire (Schneider Electrics, CEA) automobile (standard mergent)
dvelopp initialement par le laboratoire Verimag de Grenoble partir des travaux de recherche avec Lustre maintenant commercialis par la socit Esterel Technologies
F. Touchard
SICA
Historique
Esterel Technologies en 1984, premiers lments du langage Esterel (issu des travaux pour construire un robot mobile pour un concours organis par une revue de microlectronique) groupe de recherche autour de Grard Berry pour le dveloppement dEsterel
utilisation du langage par des socits (AT&T Bell Labs, Bertin, Dassault) implmentation des programmes sur des FPGA, ou par soft
utilis par Dassault, Thales, Thomson CSF logiciel Esterel Studio, dvelopp par Simulog en 1999, cration de Esterel Technologies
SICA 3me anne 2011-12 3
F. Touchard
Historique
SCADE Lustre dvelopp dans les annes 1980 (P. Caspi, N. Halbwachs, laboratoire IMAG) en 1986, utilis par Merlin Grin (maintenant Scheider Electric) pour le contrle des centrales nuclaires (outil Saga)
rapprochement avec Arospatiale (maintenant Airbus) qui utilise un outil analogue (SAO) Verilog, en partenariat avec Merlin Grin et Arospatiale, dveloppe un outil commun : SCADE en 1993, Verilog et IMAG crent un laboratoire commun : Verimag SCADE rachet par Telelogic en 1999, puis par Esterel Technologies en 2001
F. Touchard ESIL Dpartement d'Informatique, Rseaux et Multimdia SICA 3me anne 2011-12 4
SCADE aujourdhui
le langage textuel de SCADE est bas sur Lustre V3 utilis pour sauvegarder les modles (fichiers .saofd)
ESTEREL SCADE SuiteTM est le standard pour la cration dapplications critiques embarques
qualifi pour le standard DO-178B/ED-12B (niveau A) pour lavionique et les applications militaires certifi pour le standard IEC 6158 (niveau 3) pour les quipements lours et la production dnergie conforme au standard EN 60128 (niveau 3/4) pour les applications ferroviaires compatible avec le standard IEC 60880 pour le nuclaire
F. Touchard
associ maintenant ESTEREL SCADE Display TM , un environnement de dveloppement graphique pour concevoir et vrifier des applications telles que les systmes daffichage de cockpit ou de tableaux de bord
ESIL Dpartement d'Informatique, Rseaux et Multimdia SICA 3me anne 2011-12 5
Standard DO-178B/ED-12B
document produit par la RTCA (DO-178B, USA) et EUROCAE (ED-12B, Europe) pour fournir des lignes directrices prcisant la faon de produire du code pour les applications aronautiques (1re version en 1992)
complmentaire du document ARP 4754 qui spcifie le processus de conception des systmes de pilotage et de modification des systmes existants
System life-cycle processes (ARP 4754) System safety assessment process
System requirements allocated to software Software level(s) Design constraints Hardware definitions Fault containment boundaries Error sources identified/eliminated Software requirements & architecture
Standard DO-178B/ED-12B
les objectifs pour chaque phase du cycle de vie du code la description des activits et des considrations quant la conception pour atteindre ces objectifs la description des preuves montrant que ces objectifs ont t atteints
F. Touchard
SICA
Standard DO-178B/ED-12B
DO-178B et ARP 4654 dfinissent en commun les niveaux de criticit pour les systmes, leurs composants et le code :
Niveau A : Problme catastrophique - Scurit du vol ou atterrissage compromis - Crash de l'avion Niveau B : Problme majeur entranant des dgts srieux voire la mort de quelques occupants Niveau C : Problme srieux entranant un dysfonctionnement des quipements vitaux de l'appareil Niveau D : Problme pouvant perturber la scurit du vol Niveau E : Problme sans effet sur la scurit du vol
lapproche est oriente objectif : on formule les objectifs et on vrifie quils ont t atteints
mais les mthodes prcises utiliser ne dont pas donnes (le cycle de vie du dveloppement nest mme pas spcifi)
SICA 3me anne 2011-12 8
F. Touchard
Standard DO-178B/ED-12B
niveau de criticit du dveloppement du code standards de conception vrifier que lindpendance des activits correspond au niveau de criticit du dveloppement vrifier que les standards de conception sont satisfaits et que la conception est complte, prcise et traable
dfinir des procdures pour vrifier que les procdures de vrification prcdemment dfinies sont excutes correctement, e.g.
vrifier que les remarques des revues des documents de conception ont bien t prises en compte vrifier que les tests montrant que le contenu du cahier des charges est rempli ont t effectus
F. Touchard
SICA
Loutil SCADE
la satisfaction du standard est trs contraignante pour les dveloppeurs ( rendement en termes de lignes de code produites par jour typiquement 4 fois plus faible que pour des applications non critiques des outils pour aider satisfaire le standard sont essentiels fournit lensemble des fonctionnalits rclames par les standards pour le codage dapplications critiques :
F. Touchard
SICA
10
modlisation de lapplication
composants composants de bas niveau de bas niveau gestion des gestion des donnes donnes environnement environnement
Matriel
F. Touchard
SICA
11
modlisation de lapplication
SCADE propose un langage rigoureux pour saisir les besoins en matire de calcul et de logique
Lustre Esterel
la fonction principale de SCADE est appele de faon cyclique code dvelopp manuellement pour linterfaage avec les couches logicielles de bas niveau et le matriel
Matriel
F. Touchard ESIL Dpartement d'Informatique, Rseaux et Multimdia SICA 3me anne 2011-12 12
Code manuel
F. Touchard
SICA
13
F. Touchard
F. Touchard
SICA
15
vrification du modle
but de la vrification :
conformit du modle tabli avec les spcifications contenues dans le cahier des charges absence de fonctions non intentionnelles, sans rapport avec le contenu du cahier des charges revue du modle simulation couverture structurelle vrification formelle prdiction des performances
F. Touchard
SICA
16
vrification du modle
revue du modle
vrification que chaque lment dun modle SCADE est en rapport direct avec une ou plusieurs exigences fournies en entre de la phase de conception du modle loutil SCADE Suite Requirements Management GatewayTM gre la traabilit des exigences travers SCADE calcule galement le pourcentage de couverture des exigences par le modle
F. Touchard
SICA
17
vrification du modle
simulation
vrification fonctionnelle laide de loutil SCADE Suite SimulatorTM SCADE garantit que les rsultats de la simulation du modle sont identiques ceux qui seront obtenus plus tard par le code gnr partir du modle sur la cible outil complmentaire SCADE Suite Rapid Prototyper TM
F. Touchard
SICA
18
vrification du modle
couverture structurelle
mesure de combien ce logiciel a t test permet didentifier des parties de ce logiciel qui nont jamais est testes outil SCADE Suite Model Test CoverageTM (requis par les normes comme DO-178B ou EN-50128) peut mettre en vidence
les ventuelles insuffisances des tests des contradictions dans les exigences ou des parties du modle qui ne sont pas accessibles, et qui sont donc inutiles
F. Touchard
SICA
19
vrification du modle
dveloppement traditionnel
F. Touchard
SICA
20
vrification du modle
dveloppement SCADE
F. Touchard
SICA
21
vrification du modle
vrification formelle
avec les tests, on ne peut pas tre sr 100% que le modle est correct (il peut manquer des scnarios dexcution dans lensemble des tests)
utilise loutil SCADE Suite Design VerifierTM associ au plugin Prover Plug-InTM de Prover TechnologyTM (analogue LESAR dans Lustre)
lutilisateur fournit un ensemble de proprits de sret qui doivent tre vrifies (dcrites dans le formalisme de SCADE) Design Verifier effectue une analyse mathmatique et exhaustive de lensemble des comportements possibles du systme si la proprit nest pas vrifie par un des scnarios, Design Verifier fournit un point de dpart pour une nouvelle simulation conduisant une erreur, qui peut alors tre plus facilement corrige
SICA 3me anne 2011-12 22
F. Touchard
vrification du modle
utilise loutil SCADE Suite Timing and Stack VerifierTM pour le code qui sera gnr pour la cible, donne
une estimation du temps dexcution maximal du code C sa consommation maximale despace mmoire sur la pile
intgre une technique danalyse statique dveloppe par Absint avec loutil aiT
repose la fois sur le modle SCADE de lapplication et sur un modle du processeur cible qui permettra dvaluer les performances
F. Touchard
SICA
23
traable par rapport au modle fourni en entre lisible conforme la norme ISO-C indpendant de la cible comportement dterministe
pas dallocation dynamique de mmoire pas doprations arithmtiques sur les pointeurs
KCG a t dvelopp avec le mme niveau dexigence que celui attendu pour le code produit
F. Touchard