Introduction SCADE

F. Touchard

ESIL Dpartement d'Informatique, Rseaux et Multimdia

SICA

3me anne 2011-12

Introduction
SCADE : Safety-Critical Application Development Environment environnement de dveloppement pour les systmes critiques, en particulier dans le domaine de lembarqu

avionique (Airbus, Eurocopter) : leader de facto nuclaire (Schneider Electrics, CEA) automobile (standard mergent)

dvelopp initialement par le laboratoire Verimag de Grenoble partir des travaux de recherche avec Lustre maintenant commercialis par la socit Esterel Technologies

F. Touchard

ESIL Dpartement d'Informatique, Rseaux et Multimdia

SICA

3me anne 2011-12

Historique
Esterel Technologies en 1984, premiers lments du langage Esterel (issu des travaux pour construire un robot mobile pour un concours organis par une revue de microlectronique) groupe de recherche autour de Grard Berry pour le dveloppement dEsterel

utilisation du langage par des socits (AT&T Bell Labs, Bertin, Dassault) implmentation des programmes sur des FPGA, ou par soft

V4 du compilateur Esterel en 1994

en 1997, intgration du langage graphique SyncCharts (proche des StateCharts)

utilis par Dassault, Thales, Thomson CSF logiciel Esterel Studio, dvelopp par Simulog en 1999, cration de Esterel Technologies
SICA 3me anne 2011-12 3

F. Touchard

ESIL Dpartement d'Informatique, Rseaux et Multimdia

Historique
SCADE Lustre dvelopp dans les annes 1980 (P. Caspi, N. Halbwachs, laboratoire IMAG) en 1986, utilis par Merlin Grin (maintenant Scheider Electric) pour le contrle des centrales nuclaires (outil Saga)

dveloppement avec Verilog

rapprochement avec Arospatiale (maintenant Airbus) qui utilise un outil analogue (SAO) Verilog, en partenariat avec Merlin Grin et Arospatiale, dveloppe un outil commun : SCADE en 1993, Verilog et IMAG crent un laboratoire commun : Verimag SCADE rachet par Telelogic en 1999, puis par Esterel Technologies en 2001

F. Touchard ESIL Dpartement d'Informatique, Rseaux et Multimdia SICA 3me anne 2011-12 4

SCADE aujourdhui

environnement de dveloppement bas sur Lustre et Esterel

le langage textuel de SCADE est bas sur Lustre V3 utilis pour sauvegarder les modles (fichiers .saofd)

ESTEREL SCADE SuiteTM est le standard pour la cration dapplications critiques embarques

qualifi pour le standard DO-178B/ED-12B (niveau A) pour lavionique et les applications militaires certifi pour le standard IEC 6158 (niveau 3) pour les quipements lours et la production dnergie conforme au standard EN 60128 (niveau 3/4) pour les applications ferroviaires compatible avec le standard IEC 60880 pour le nuclaire

F. Touchard

associ maintenant ESTEREL SCADE Display TM , un environnement de dveloppement graphique pour concevoir et vrifier des applications telles que les systmes daffichage de cockpit ou de tableaux de bord
ESIL Dpartement d'Informatique, Rseaux et Multimdia SICA 3me anne 2011-12 5

Standard DO-178B/ED-12B

document produit par la RTCA (DO-178B, USA) et EUROCAE (ED-12B, Europe) pour fournir des lignes directrices prcisant la faon de produire du code pour les applications aronautiques (1re version en 1992)

complmentaire du document ARP 4754 qui spcifie le processus de conception des systmes de pilotage et de modification des systmes existants
System life-cycle processes (ARP 4754) System safety assessment process
System requirements allocated to software Software level(s) Design constraints Hardware definitions Fault containment boundaries Error sources identified/eliminated Software requirements & architecture

Software life-cycle processes (DO-178B)

part of implementation processees, for ARP 4754
F. Touchard ESIL Dpartement d'Informatique, Rseaux et Multimdia SICA 3me anne 2011-12 6

Standard DO-178B/ED-12B

les lignes directrices spcifient :

les objectifs pour chaque phase du cycle de vie du code la description des activits et des considrations quant la conception pour atteindre ces objectifs la description des preuves montrant que ces objectifs ont t atteints

F. Touchard

ESIL Dpartement d'Informatique, Rseaux et Multimdia

SICA

3me anne 2011-12

Standard DO-178B/ED-12B

DO-178B et ARP 4654 dfinissent en commun les niveaux de criticit pour les systmes, leurs composants et le code :

Niveau A : Problme catastrophique - Scurit du vol ou atterrissage compromis - Crash de l'avion Niveau B : Problme majeur entranant des dgts srieux voire la mort de quelques occupants Niveau C : Problme srieux entranant un dysfonctionnement des quipements vitaux de l'appareil Niveau D : Problme pouvant perturber la scurit du vol Niveau E : Problme sans effet sur la scurit du vol

lapproche est oriente objectif : on formule les objectifs et on vrifie quils ont t atteints

mais les mthodes prcises utiliser ne dont pas donnes (le cycle de vie du dveloppement nest mme pas spcifi)
SICA 3me anne 2011-12 8

F. Touchard

ESIL Dpartement d'Informatique, Rseaux et Multimdia

Standard DO-178B/ED-12B

approche propose par DO-178B :

sassurer que les objectifs appropris sont dfinis, e.g.

niveau de criticit du dveloppement du code standards de conception vrifier que lindpendance des activits correspond au niveau de criticit du dveloppement vrifier que les standards de conception sont satisfaits et que la conception est complte, prcise et traable

dfinir des procdures pour la vrification des objectifs, e.g.

dfinir des procdures pour vrifier que les procdures de vrification prcdemment dfinies sont excutes correctement, e.g.

vrifier que les remarques des revues des documents de conception ont bien t prises en compte vrifier que les tests montrant que le contenu du cahier des charges est rempli ont t effectus

F. Touchard

ESIL Dpartement d'Informatique, Rseaux et Multimdia

SICA

3me anne 2011-12

Loutil SCADE
la satisfaction du standard est trs contraignante pour les dveloppeurs ( rendement en termes de lignes de code produites par jour typiquement 4 fois plus faible que pour des applications non critiques des outils pour aider satisfaire le standard sont essentiels fournit lensemble des fonctionnalits rclames par les standards pour le codage dapplications critiques :

modlisation de lapplication vrification du modle gnration de code certifi

F. Touchard

ESIL Dpartement d'Informatique, Rseaux et Multimdia

SICA

3me anne 2011-12

10

modlisation de lapplication

architecture typique dun systme temps rel embarqu critique :

! lois de contrle, e ex algorithmes, Contrleurmodes , pl aux logique daccs om etc... c

application application interagissant interagissant avec avec

Gestion des entres-sorties Systme dexploitation Pilotes

composants composants de bas niveau de bas niveau gestion des gestion des donnes donnes environnement environnement

Matriel

F. Touchard

ESIL Dpartement d'Informatique, Rseaux et Multimdia

SICA

3me anne 2011-12

11

modlisation de lapplication

SCADE propose un langage rigoureux pour saisir les besoins en matire de calcul et de logique

quations de flot de donnes pour le calcul machines tats pour la logique

Code manuel

Lustre Esterel

la fonction principale de SCADE est appele de faon cyclique code dvelopp manuellement pour linterfaage avec les couches logicielles de bas niveau et le matriel

Fonction SCADE Contrleur

Gestion des entres-sorties Systme dexploitation Pilotes

Matriel
F. Touchard ESIL Dpartement d'Informatique, Rseaux et Multimdia SICA 3me anne 2011-12 12

Code manuel

exemple dun rgulateur de vitesse

F. Touchard

ESIL Dpartement d'Informatique, Rseaux et Multimdia

SICA

3me anne 2011-12

13

exemple dun rgulateur de vitesse

modlisation des tats du rgulateur par une FSM

ESIL Dpartement d'Informatique, Rseaux et Multimdia SICA 3me anne 2011-12 14

F. Touchard

exemple dun rgulateur de vitesse

la loi de contrle pour la rgulation est modlise par loprateur CruiseControl

F. Touchard

ESIL Dpartement d'Informatique, Rseaux et Multimdia

SICA

3me anne 2011-12

15

vrification du modle

but de la vrification :

conformit du modle tabli avec les spcifications contenues dans le cahier des charges absence de fonctions non intentionnelles, sans rapport avec le contenu du cahier des charges revue du modle simulation couverture structurelle vrification formelle prdiction des performances

plusieurs phases dans le processus de vrification

chaque tape, SCADE fournit des outils spcifiques

F. Touchard

ESIL Dpartement d'Informatique, Rseaux et Multimdia

SICA

3me anne 2011-12

16

vrification du modle

revue du modle

vrification que chaque lment dun modle SCADE est en rapport direct avec une ou plusieurs exigences fournies en entre de la phase de conception du modle loutil SCADE Suite Requirements Management GatewayTM gre la traabilit des exigences travers SCADE calcule galement le pourcentage de couverture des exigences par le modle

F. Touchard

ESIL Dpartement d'Informatique, Rseaux et Multimdia

SICA

3me anne 2011-12

17

vrification du modle

simulation

vrification fonctionnelle laide de loutil SCADE Suite SimulatorTM SCADE garantit que les rsultats de la simulation du modle sont identiques ceux qui seront obtenus plus tard par le code gnr partir du modle sur la cible outil complmentaire SCADE Suite Rapid Prototyper TM

F. Touchard

ESIL Dpartement d'Informatique, Rseaux et Multimdia

SICA

3me anne 2011-12

18

vrification du modle

couverture structurelle

mesure de combien ce logiciel a t test permet didentifier des parties de ce logiciel qui nont jamais est testes outil SCADE Suite Model Test CoverageTM (requis par les normes comme DO-178B ou EN-50128) peut mettre en vidence

les ventuelles insuffisances des tests des contradictions dans les exigences ou des parties du modle qui ne sont pas accessibles, et qui sont donc inutiles

F. Touchard

ESIL Dpartement d'Informatique, Rseaux et Multimdia

SICA

3me anne 2011-12

19

vrification du modle

dveloppement traditionnel

F. Touchard

ESIL Dpartement d'Informatique, Rseaux et Multimdia

SICA

3me anne 2011-12

20

vrification du modle

dveloppement SCADE

F. Touchard

ESIL Dpartement d'Informatique, Rseaux et Multimdia

SICA

3me anne 2011-12

21

vrification du modle

vrification formelle

vient en complment des tests de simulation

avec les tests, on ne peut pas tre sr 100% que le modle est correct (il peut manquer des scnarios dexcution dans lensemble des tests)

utilise loutil SCADE Suite Design VerifierTM associ au plugin Prover Plug-InTM de Prover TechnologyTM (analogue LESAR dans Lustre)

lutilisateur fournit un ensemble de proprits de sret qui doivent tre vrifies (dcrites dans le formalisme de SCADE) Design Verifier effectue une analyse mathmatique et exhaustive de lensemble des comportements possibles du systme si la proprit nest pas vrifie par un des scnarios, Design Verifier fournit un point de dpart pour une nouvelle simulation conduisant une erreur, qui peut alors tre plus facilement corrige
SICA 3me anne 2011-12 22

F. Touchard

ESIL Dpartement d'Informatique, Rseaux et Multimdia

vrification du modle

prdiction des performances

utilise loutil SCADE Suite Timing and Stack VerifierTM pour le code qui sera gnr pour la cible, donne

une estimation du temps dexcution maximal du code C sa consommation maximale despace mmoire sur la pile

intgre une technique danalyse statique dveloppe par Absint avec loutil aiT

repose la fois sur le modle SCADE de lapplication et sur un modle du processeur cible qui permettra dvaluer les performances

F. Touchard

ESIL Dpartement d'Informatique, Rseaux et Multimdia

SICA

3me anne 2011-12

23

gnration de code certifi

la phase de codage suivant la conception est entirement automatise utilise le gnrateur de code certifi SCADE Suite KCGTM le code produit est

traable par rapport au modle fourni en entre lisible conforme la norme ISO-C indpendant de la cible comportement dterministe

pas dallocation dynamique de mmoire pas doprations arithmtiques sur les pointeurs

KCG a t dvelopp avec le mme niveau dexigence que celui attendu pour le code produit

certifi niveau A de DO-178B pas de nouvelle vrification ncessaire au niveau du code

SICA 3me anne 2011-12 24

F. Touchard

ESIL Dpartement d'Informatique, Rseaux et Multimdia