CS Communication & Systèmes – Charte 20101
QDS Technical Solution Outlines
CS Communication & Systèmes – Charte 20103
QDS – Features
QDS Design & Development SupportHMI :Safe & Determinist
• Determinist Support Architecture (HW, SW)
• Simulation Support
Development Process with very high Testing & Verification (C2)
Precise and pre-established [ only] Operation & Maintenance procedures (finite use cases) implementation
Safe & Determinist OperationConstrained States/Transitions/Actions for HMI
Determinist Process Interface & I/O Mngt
RTOS & Scheduling constraints
Qualifiable HMI• HMI behaviour formally verified• Qualifiable HW• Qualifiable SW
CS Communication & Systèmes – Charte 20105
Typical QDS Architecture
Redundant, deterministic Network
IO modules
x2
x2
QDS_1QDS_2
The N8000Qualified Nwrk?
MCS
Cablage / Lien série vers CE4000-S
CE4000-S
Serial Nwrk?Instead of Ethernet?
Field & Instruments
CS Communication & Systèmes – Charte 20106
Partitioning / DO-297 Partiotn for QDS (F1) Partiotn for F2 or F3 DSPartiotn for BAR/BMF?
CS Communication & Systèmes – Charte 20107
Conventional Island
Architecture ALSPA Proposée pour EPR
F1B F2 NC
NI : Division 1/2/3/4
GTW
Auxiliaires généraux
MCS
Cablage / Lien série vers CE4000-S
MCP
CCAD Client
CCAD Serveur
Réseau S8000 NI Réseau S8000 Site
LIA
ISO
NS
OP
TIQ
UE X
3
S8000
CE4000-S
CE4000-S
CE4000-S LIA
ISO
NS
OP
TIQ
UE X
3
S8000
CE4000-S
CE4000-S
CE4000-SLIA
ISO
NS
OP
TIQ
UE X
3
S8000
CE4000-S
CE4000-S
CE4000-S
LIA
ISO
NS
OP
TIQ
UE X
3
S8000
CE4000-S
CE4000-S
CE4000-S
LIA
ISO
NS
OP
TIQ
UE X
3
S8000
CE4000-S
CE4000-S
CE4000-S
TURBINE (div 2)
CONTROSTEAM
N8000 (plant wide)
SPCC
SA F2 CI : Division 2/3
SA F1B
MFC4000-N MFC4000-N MFC3000MFC3000
MFC3000
Salle de commandeStation de repli Divers Local Technique de
crise
Maintenance
MFC3000
Réseau S8000 CI
Serveur Temps
réel (CIS)x2
Serveur Historian
Réseau salles de contrôle
Niveau 3
GTW
SA NC
CS Communication & Systèmes – Charte 20108
Conventional Island
Architecture ALSPA ProposéePoints àmodifier/adapter pour qualification
F1B F2 NC
Division 1/2/3/4
GTW
Auxiliaires généraux
MCS
Cablage / Lien série vers CE4000-S
MCP
CCAD Client
CCAD Serveur
Réseau S8000 NI Réseau S8000 Site
LIA
ISO
NS
OP
TIQ
UE X
3
S8000
CE4000-S
CE4000-S
CE4000-S LIA
ISO
NS
OP
TIQ
UE X
3
S8000
CE4000-S
CE4000-S
CE4000-SLIA
ISO
NS
OP
TIQ
UE X
3
S8000
CE4000-S
CE4000-S
CE4000-S
LIA
ISO
NS
OP
TIQ
UE X
3
S8000
CE4000-S
CE4000-S
CE4000-S
LIA
ISO
NS
OP
TIQ
UE X
3
S8000
CE4000-S
CE4000-S
CE4000-S
TURBINE (div 2)
CONTROSTEAM
N8000 (plant wide)
SA F2 CI : Division 2/3
SA F1B
MFC4000-N MFC4000-N MFC3000MFC3000
MFC3000
Salle de commandeStation de repli Divers Local Technique de
crise
Maintenance
MFC3000
Réseau S8000 CI
Serveur Temps
réel (CIS)x2
Serveur Historian
Réseau salles de contrôle
Niveau 3
GTW
SA NC 1: safety network pour échanges F1B
2: MFC4000-N : Tëte de cellule pour I/O CE4000 (F2)
3 : Base de données temps réel sur RTOS 4: Suppression des
fonctions OPC
5: Code sûr Controcad pour contrôles F1B
6 : Développements QDS
7: Carte actionneur
8: Segregation des réseaux entre divisions/classes de sûreté/lignes de défenses
9: Communication entre ilots
10: Amélioration sûreté du réseau S8000
11: Import d’un chaine CAO externe
12: Fonctions IHM F2
13: Gateway pour catégorie A
SPCC
CS Communication & Systèmes – Charte 20109
SW Architecture &Development process
Cyclic /synchronous application deterministic connection to I/O
SCADE based solution
CS Communication & Systèmes – Charte 201010
OSOS
QDS.Architecture.SW(cyclic task
SYNCHRONOUS APPROACH )
Loop• Get I/O data• Display data• Process inputs• Send I/O data
end loop
DisplayDisplay
GPUOpenGL Renderer
GPUOpenGL Renderer
ComChipComChip
TCP/IPDriverTCP/IPDriver
Ntwk BUSNtwk BUS
NetworkNetwork
ComChipComChip
osos
CPUCPU
NetworkDriver
NetworkDriver
CPU/GPUCPU/GPU
GRAPHICDriver
GRAPHICDriver
CPUCPU
ApplicationTask
ApplicationTask
TouchScreenTrackballKeyboard
TouchScreenTrackballKeyboard
InputsDriverInputsDriver
KB,Mouse, TouchinputsKB,Mouse, Touchinputs
I/O Data, StatusI/O Data, Status
CommandsCommands
Display ConfigurationDisplay Configuration
CS Communication & Systèmes – Charte 201011
SW Architecture based on SCADE + SCADE-Display
CS Communication & Systèmes – Charte 201012
RT Vizu of SW Spec
CS Communication & Systèmes – Charte 201013
Typical SW architecturefor graphics
CS Communication & Systèmes – Charte 201014
Verification integration
CS Communication & Systèmes – Charte 201015
SCADE based Development Process
One periodic task with 4 code units : OGLX library
SCADE display code for HMI
SCADE code
Manual “glue” code
Solution built by CS on Arinc 653 platform Allowing partitioned applications running on the same CPU
Allowing safe and deterministic behaviour of each application
Co-simulation – interactive HMI
Mitigation of Project risks through prototyping
Deterministic scheduling may impact response time?
CS Communication & Systèmes – Charte 201016
Qualifiable HMI Development Processusing Scade-Display
Incremental Approach : Capture & model requirement using
• Scade system (SysML: structured , semi-informal capture (state transition diagram, use cases,..))
• Formal verification of associated state transition systems
Automated translation of HMI automata to SCADE Display
Early Co-Simulation (Scade-suite _ Scade Display) and formal validation for each new requirement
Prototyping
Support of incremental qualification :• Automated non regression testing (mode batch)
• Automatic code generation from simulation to target
CS Communication & Systèmes – Charte 201018
QDSQualification Process
CS Communication & Systèmes – Charte 201020
Différences RCC-E-2005/IEC 62138 et DO-178B pour le niveau C2AMDEC Requis au niveau logiciel – Analyse réalisée au niveau système dans le domaine aéronautique
Analyse sécurité Requis au niveau logiciel – Non requis au niveau logiciel ni dans l’issue B (ni dans l’issue C) du DO-178
Plans et standards
Le PQL reprend les conclusions de l’AMDEC et de l’analyse de sécurité. Le Plan de développement est inclus dans le PQL, notamment les moyens de s’assurer de l’efficacité des dispositions prises (conclusions AMDEC et Analyse de sécurité) y sont à décrire.
ConfigurationNotion de dossier de fabrication à comparer avec l’index de configuration du logiciel et l’index de configuration de l’environnement de développement complété des procédures d’installation.
Développement
• Découpage à priori entre logiciel "Application" et logiciel "Système".• Le niveau de détail de la spécification est adaptable à la classe de sûreté.• Les méthodes de spécification doivent être adaptées aux ingénieurs de "Fonctionnement". • Transition entre phases obligatoire et formalisée pour tout niveau de sûreté.• La phase de conception est explicitement composée d’une phase CP et d’une phase CD.• La phase CD s’accompagne de la fourniture des PTUs.
Vérifications et Tests logiciels
• Deux Plans séparés (Plan DO-178B unique SVP) :• Plan de Test et de Vérifications incluant un Plan d’intégration,• Plan de validation.
• Les Tests Unitaires sont obligatoires pour tous les modules logiciels à partir de C2.• Indépendance (vis-à-vis de l’équipe de réalisation) requise pour le niveau C2 pour l’écriture des
plans et non pour l’exécution des tests.• Pour C2, aucun critère d’arrêt des tests par atteinte d’un pourcentage de couverture fonctionnelle
et/ou structurel n’est fixé par la norme. Ce pourcentage est à définir dans la stratégie de test (Plans) de chaque projet.
Qualification (aspects logiciels)
• Constitution du référentiel pour la Qualification - équivalent à l’élaboration du PSAC.• Définition d’un programme de Qualification préétabli - pas d’équivalence DO-178B.• Exécution du programme de Qualification - équivalent Audit de
Certification.• Etablissement du Compte-rendu de Qualification - équivalent Rapport d’Audit. L’IEC 62138 stipule pour les logiciels de catégorie B :
"Si des langages orientés application sont disponibles, il convient de leur accorder la préférence.""Il convient que les langages généralistes utilisés aient des caractéristiques facilitant l’analyse statique des programmes par des outils."
CS Communication & Systèmes – Charte 201021
Les principes et règles à adopteren vue de la Qualification (C2 au sens RCC-E-2005)
Réaliser une AMDEC précise et détaillée
Réaliser une analyse des menaces et des vulnérabilités pour les aspects logiciels de la sécurité (IEC 62138)
Choisir un process de développement et les outils support pour atteindre le niveau C2 (ou catégorie B IEC 62138) – s’assurer de la qualification des outils
Etablir le référentiel pour la Qualification et définir le programme de Qualification
Décrire le process et prendre en compte les conclusions de l’AMDEC et les dispositions pour la sécurité dans le Plan Qualité Logiciel (PQL) puis faire pré-valider le PQL et le programme de Qualification (si possible) avant le démarrage du projet par l’IRSN
Définir les normes et règles de réalisation
Réaliser des documents de spécification et de conception conformément aux normes et règles de réalisation retenues (granularité, précision, traçabilité des exigences, vérifiabilité, …)
Définir une architecture dynamique dont la preuve de déterminisme est aisée à produire
Concevoir des tests et produire des analyses en vue de démontrer la fiabilité et le déterminisme du système :
Tests de robustesse vis-à-vis des modes de défaillance évalués par l’AMDEC
Tests de performances
WCET (Worst Case Execution Time) – solution AIT d’Absint ou RAPITIME
Documenter l’ensemble des preuves (résultats de tests et des analyses) et s’assurer que l’ensemble des objectifs requis pour la qualification sont couverts par la documentation projet produite et par ces preuves formalisées
CS Communication & Systèmes – Charte 201022
Environnement de développement (suite)
Solution intégrée avec Scade system• Formalise les besoins recueillis
• L’intégration avec Scade Display-Scade suite facilite la traçabilité avec les besoins recueillis
Utilisation de techniques de vérification formelle :• Utilisation d’outillage de Model-Checking – solution déployée par CS sur ATC pour Airbus
• Utilisation de Frama-C - solution déployée par CS sur projet spatial embarqué Nosyca
Utilisation de process transverses éprouvés dans le domaine aéronautique :
• Traçabilité des artefacts de développement (DOORS et/ou Reqtify) :• Besoins Spécification Design code
• Traçabilité artefacts de développement vs tests (DOORS et/ou Reqtify) :• Besoins tests de validation système
• Spécification SW Tests de validation SW
• Architecture SW Tests d’Intégration
• Conception Détaillée TU
• Gestion de configuration éprouvée et outillée (SVN)
RT-RT pour les TU (solution déployée sur l’ensemble des systèmes Airbus certifiés)
Chaîne de compilation fonction de la cible et de l’OS retenus
CS Communication & Systèmes – Charte 201023
Possibilité offerte par la Simulation Scade
Basée sur la ré-utilisation des scénarii déjà mis au point sur machine hôte en co-simulation le bénéfice est double :
Couplée avec la couverture du modèle durant la simulation – les objectifs de vérification de la Conception sont satisfaits
Les procédures de tests issus des scénarii mis au point permettent de satisfaire les objectifs de Validation
Le passage dans l’environnement de test est facilité par une passerelle qualifiée vers l’outillage RT-RT
DesignModel
Environnementde simulation
Scénarios(basés sur les HLR)
Editeur de modèle
Tests sur cibleExecutable
Object Code
Réutilisation
Mise au point
Résultats corrects etcouverture du modèle(objectifs Table MBA-4 selon le DO-178C)
Résultats de vérification HLR(objectifs Table MBA-6 selon le DO-178C)
HLR
ValidationModèle
Générateurde code et
compilation qualifiées
Passerelle qualifiée(ou contrôle outputs)
DesignModel
Environnementde simulation
Scénarios(basés sur les HLR)
Editeur de modèle
Tests sur cibleExecutable
Object Code
Réutilisation
Mise au point
Résultats corrects etcouverture du modèle(objectifs Table MBA-4 selon le DO-178C)
Résultats de vérification HLR(objectifs Table MBA-6 selon le DO-178C)
HLR
ValidationModèle
Générateurde code et
compilation qualifiées
Passerelle qualifiée(ou contrôle outputs)
CS Communication & Systèmes – Charte 201024
Argumentaire QDS pour client final
CS Communication & Systèmes – Charte 201025
Points forts techniques de la solutionoutils utilisés qualifiés
Scade-Display couplé à Scade-suite• Code sûr généré automatiquement
• Solution intrinsèquement déterministe
• Capacité de mise au point rapide par co-simulation(Scade-suite – Scade Display)
• Rejeu en environnement Target des scénarii mis au point en simulation
• Maintenabilité facilitée par l’approche graphique
• Solution certifiée IEC 61508 et conforme à l’IEC 60880(et utilisée dans le projet LMC-MFD A400M certifiableDO-178B pour un niveau de criticité B – équivalent C2)
CS Communication & Systèmes – Charte 201026
QDS Exploitation & Maintenance
• Deterministtic Solution
• Simulation for validating changes/updates of HMI
• Replay in target environment of scénarii debugged in simulation
• Maintenability through graphical approach
• Solution certifiée IEC 61508 et conforme à l’IEC 60880(et utilisée dans le projet LMC-MFD A400M certifiableDO-178B pour un niveau de criticité B – équivalent C2)
CS Communication & Systèmes – Charte 201027
QDS FAQs & Issues
• SCADE toolset license costs? ~20-30K
• SCADE display vs Host OS
• SCADE limitations ( - Resources )• Max object displayabkes or• Display on several screens Large displays?• Refresh rate ( 300ms to 1s)• How to verify that a given value is refreshed?• SCADE perennity?
CS Communication & Systèmes – Charte 201028
Summary
Solution allowing:
SW Architecture HW indépendant
qualifiable
Maintenance Upstream simulation , automated porting on target environnement
automation of verification procedures (tests)
Fast Operation & Exploitation after updates
Pérennity ?? HW independancy
SCADE tooset? But C language
CS Communication & Systèmes – Charte 201029
Additional slides44
CS Communication & Systèmes – Charte 201030
QDS SW Architecture
CS Communication & Systèmes – Charte 201031
Dev i
S_CPS_CPDev iDev i
S_CP
Initialisation
goInitDev
Init
maxD_log
Dev 1
Dev 2
login i
ackLog ( id )
operate (op)
ackOper ( role )
logout i
...
maxD_oper
CS Communication & Systèmes – Charte 201032
Safety & Control Integration
CS Communication & Systèmes – Charte 201033
ARINC 653 based Architecture
CS Communication & Systèmes – Charte 201034
ARINC 653 RTOS Architecture
Priority-Preemptive Inside Partitions