Conception des logiciels critiques dans le domaine spatial

11/2001

This document is the property of EADS LAUNCH VEHICLES and shall not be communicated to third parties and/or reproduced without prior written agreement.Its contents shall not be disclosed. - EADS LAUNCH VEHICLES - 2001

PSLC

Conception des logiciels critiquesConception des logiciels critiquesdans le domaine spatialdans le domaine spatial

Du système au logiciel...Du système au logiciel...

Retour d’expérience sur les méthodes formellesRetour d’expérience sur les méthodes formelles

David LESENS

EADS LAUNCH VEHICLES, Route de Verneuil

BP 2, F-78133 Les Mureaux Cedex – France

Email : [email protected]

11/2001


PSLC

Plan

EADS LAUNCH VEHICLES Qui nous sommes

Méthodologie de développement d’un système véhicule Développement Validation

Les méthodes formelles de spécification logicielle Pourquoi Comment

Retour d’expérience L’Automatic Transfer Vehicle

• Spécification du logiciel MSU• Bilan

11/2001


PSLC

EADS : Un acteur majeur de l’industrie aéronautique et de défense

n° 3 mondial - n° 1 européen

CA 2000* : 24,2 Mds €Prise de commandes 2000*: 49,3 Mds €

* valeur pro forma

0 10 20 30 40 50 60

Boeing

Lockheed-Martin

EADS

Bae-Systéms

Raytheon

Northrop

Thales

11/2001


PSLC

European Aeronautics Defence and Space companyLAUNCH VEHICLES

11/2001


PSLC

Activités phares d’EADS LAUNCH VEHICLES

Systèmesstratégiques

M4 / M5M51Maîtrise d’œuvre systèmes complets

Transport spatial

Ariane 4Ariane 5

ATV

Soyuz

Lanceurs complémentaires

ARD

ARES THEMIS

Equipements Equipements spatiaux

Produits satellites

Produits technologiques et divers

11/2001


PSLC

697,7 Millions €

50 Millions €

295,8 Millions €

CA 2000 : 1043,5 Millions €

67%Transport spatial civil

5%Equipements

28%Lanceurs stratégiques

Chiffre d’affaires par activité

11/2001


PSLC

Plan






11/2001


PSLC

Développement d’un logiciel spatial

Spécification véhicule

Conception véhicule

Spécificationéquipements

Spécificationlogicielles

Développement

Simulateur Développement

Gestion demission

Communication Thermique

Puissance

Propulsion

Algorithmesnavigation,guidage, control

Panneauxsolaires

Développement

I/F I/F

11/2001


PSLC

Validation du logiciel

Le premier vol est un vol de qualification

Logiciel réel

Simulateurs des équipements

Simulateur de l’environnement

Equipements réels

Simulation d’un vol complet

11/2001


PSLC

Objectif de la spécification logicielle

Capturer le besoin système Spécialistes métiers

Servir d’entrée à l’activité de développement Cohérence Complétude

Référence pour la validation fonctionnelle Exigences validables

11/2001


PSLC

Plan






11/2001


PSLC

Pourquoi utiliser des méthodes formelles ?

Raffinement

Etudes Systèmes

Qualification

Spécification Technique

Conception

Développement Tests Unitaires

Intégration

ValidationFonctionnelle

Diminution des corrections tardives

Ecriture desspécifications en méthode formelle

Repriseimmédiate

Spécification« validable »

Génération de tests

11/2001


PSLC

1er objectif des méthodes formelles de spécification

Augmenter la formalisation de notre spécification

Standard de communication• Pour des informaticiens• Pour des non informaticiens

Différents types d’application• Synchrone et/ou• Asynchrone et/ou• Algorithmique

11/2001


PSLC

2nd objectif des méthodes formelles de spécification

Détecter les erreurs en phase amont de développement

Validation de la spécification• Cohérence de la spécification• Complétude de la spécification• Preuve sur la spécification

Test• Prototypage rapide• Simulation de la spécification

11/2001


PSLC

3ième objectif des méthodes formelles de spécification

Faciliter le raffinement de la spécification vers une conception

Réutilisation des tests de simulation de la spécification Ecriture d’une conception à l’aide d’une méthode formelle ? Génération de code

• Séquentiel ou multitâche• Langage cible• Embarquable ?

11/2001


PSLC

Et en pratique ? Soyons pragmatiques !Retour d’expérience

Les méthodes formelles sont lourdes à utiliser Utiliser selon les besoins

Modélisation statique Type SADT ou SART

• Vérification de la cohérence des flots de données

Modélisation dynamique Mieux comprendre un point dur Simulation / validation

Spécification Développement complet

Spécification véhicule ou code embarquable

Choix de la méthode

En support d’une spécification ou d’une analyse

11/2001


PSLC

Quelles méthodes « formelles » choisir?

Systèmevéhicule

Etudesalgorithmiques

SimulinkJames

SDL,StateCharts

Spécification logicielle

Conception logicielle

Codage

ScadeSignalEsterel

Méthode B

Exemples d’applications

UML

11/2001


PSLC

Plan






11/2001


PSLC

Retours d’expérience à EADS Launch Véhicles

Spécification système Chaîne de sécurité ATV

• Sol / Système de communication• Pool d’ordinateurs de bord / bus / liens filaires• Système de sécurité (MSU) et logiciel associé

Spécification logicielle Architecture du GNC Ariane 5

• Cyclique / synchrone• Multi-fréquence, condition d ’activation

Séquentiel Ariane 5• Asynchrone couplé au synchrone

Logiciel MSU• Sécurité ATV / ISS

Etudes amont En SDL

Etudes amont Rétro ingénierie en SCADE Etudes amont Rétro ingénierie en SDL

Développement opérationnelen SCADE

11/2001


PSLC

The Automated Transfer Vehicle (ATV) context

One of the European contributions to the International Space Station (ISS).

It will supply from 2004 onward the following services to the ISS:

Refuelling, ISS orbit correction, Freight delivery, ISS trash destruction.

11/2001


PSLC

ATV safety chain and Collision Avoidance maneuver

Healthstatus

Reset

MSU 1

Safety Chain

MSU 2

Sensors

Thrusters

Responsible of ISS safety by triggering a CAM

2 redundant chains Coded in ADA No ADA exception Single task

DPU 1

FTCP

DPU 2

DPU 3

• Rendezvousmonitoring

• Red button

11/2001


PSLC

How the MSU software is specified ?

GNC algorithms

Algorithms Reference DocumentsAlgorithms Reference Documents

Technical Specification of the MSU SWTechnical Specification of the MSU SW

• State automaton• MSU SW architecture• CAM sequencer

SCADE modeling

• Non functional requirements• Functional requirements

FrameMaker editor

+

11/2001


PSLC

Contains of the MSU SW SCADE model

Navigation

Monitoring

Control

Activation condition

Data flowdescription

Post-CAM

CAM

Hierarchicaldecomposition

FBY 2Data ageing

Synchronous and cycle architecture

11/2001


PSLC

Formal semantics

Validation of a SCADE specification

Formalproof

Specification• Complete• Coherent• Implementable

No ambiguous Easy to understand (graphic) Well accepted by the participants

Semanticsverifier

Executablespecification

Spec validation• Code generation• Simulation

Validation improprement• Exhaustiveness• Automatic

11/2001


PSLC

Formal proofs on the MSU SW TS

SCADEmodel

Environmentdescription

LogicalProperty

Exhaustive verification

LESAR tools

True property

Diagnostic

LESAR tool is developed by the VERIMAG laboratory

11/2001


PSLC

Properties description

Use of synchronous observer, specified In SCADE In LUSTRE Using regular expression

Observedsoftware

Environment

Properties

InputsOutputs

Environmentoracle

Propertiesoracle

11/2001


PSLC

Proof by model checking

Construction of a mathematical model of the SCADE model Computation of the reachable states Comparison with the forbidden states

Forbiddenstates

Initialstates

SCADEmodel

Mathematicalmodel

11/2001


PSLC

Property examples

A CAM test can only be triggered by a “red button” signal true_after_false( CAM_TEST_TRIG ) RED_BUTTON No assertion is required from the environment to satisfy this property.

When the initialisation of the two MSU chains is correct, they can not triggered both a CAM at the same time #( MSU1_CAM_TRIG , MSU2_CAM_TRIG ) It is satisfied only when the initialisation of the 2 MSU is correct cam_arm( SWITCH_ON_MSU1, ARM_MSU1, SWITCH_ON_MSU2, ARM_MSU2,

RED_BUTTON )

on1 arm1 on2 arm2Init S1 S2 S3 S4

11/2001


PSLC

Conclusion on formal method use for ATV

Improve the Improve the qualityqualityof the TS of the TS

of the MSU Softwareof the MSU Software

- Description of a MSU cyclic andsynchronous architecture

- Formal semantics (no ambiguity,no incoherence)

. Data flow / Activation condition

. Data obsolescence description- MSU SW TS easy to understand- Semantics verification / Formal proof

Not usable for aNot usable for acomplexcomplex software software

- Non adapted for asynchronoussoftware

- Limited to small, cyclic, synchronoussoftware

- Start of the MSU software design

11/2001


PSLC

Complex software (1): level of description ?

Dataupdate

Communicationsystem

Algorithms

GNC

TC TM TC

Dataupdate Algorithms

TM

cmd ack

Synchronous specificationAsynchronous specification

Communication system

GNC

11/2001


PSLC

Measurement

Bus frame

Software

Complex software (2): synchronous hypothesis (1)

Algo

Cmd

Cycle nCycle n-1 Cycle n+1

Algo period

Algo Algo

11/2001


PSLC


Bus frame

Software

Measurement Cmd

AlgoAlgo Algo


Algo period

11/2001


PSLC

AlgoAlgo Algo


Bus frame

Software

Measurement Cmd


Algo period

11/2001


PSLC

Plan






11/2001


PSLC

Conclusion: Comment utiliser les méthodes formelles

En rétro-ingénierie Développement d’un modèle formel

• A partir d’une spécification logicielle• Pour analyser un point particulier

Trois étapes en développement Spécification

• Quand débuter le développement ? Maturité du besoin• Précision de la description ? Positionnement dans le cycle

Validation de la spécification• Nouvelle activité à planifier et à financer

Raffinement vers du code• Evolution du cycle de développement

11/2001


PSLC

Prospectives (1)

Amélioration des techniques utilisées Des techniques de spécification

Mixer synchrone et asynchrone Raffiner de l’asynchrone vers du synchrone ...

Des techniques de preuve Spécification des propriétés Puissance des outils ...

Des techniques de conception Langages de compilation Architectures multi-tâches ...

11/2001


PSLC

Prospectives (2)

Amélioration de la méthodologie

Etendre l’approche formelle au système véhicule Utilisation par des non informaticiens Raffinement

Rendre systématique l’approche formelle Utilisation dans les futures projets Systèmes critiques et moins critiques Culture d’entreprise

Conception des logiciels critiques dans le domaine spatial

Documents

Transcript of Conception des logiciels critiques dans le domaine spatial