Michel BARAT (ONERA/DTIM/MCT) ONERA 27 avenue de la Division Leclerc 92 Chatillon France
description
Transcript of Michel BARAT (ONERA/DTIM/MCT) ONERA 27 avenue de la Division Leclerc 92 Chatillon France
Modélisation et simulation comportementale en phases de définition et de conception pour la validation de systèmes de drone en vue de leur
certification.
Michel BARAT(ONERA/DTIM/MCT)ONERA 27 avenue de la Division Leclerc
92 Chatillon France
tel. (33) 01 46 73 43 88
Mme Artzner,Mr G. Grenier Aérospatiale Matra
Utilisation des techniques et outils de validation dans le cycle de développement des logiciels ?
Tendance : réduire les coûts et la complexitéen introduisant des procédures de validation dès les phases amont
en sélectionnant un enchaînement de techniques complémentaires
Cahier des charges
Spec fonctionnelle
Spec SCADE des procédures
Codes unitaires
Codes intégrés
Validation des besoins
Validation des architectures
Validation des procédures
Validation des codes unitaires
Validation des codes intégrés
Simulation/Model-checking
Simulation/Model-checking
Analyse statique /Tests
Génération de code
Mission de drone HALE
Endurance : 24-32 h, Endurance sur zone : +15h, 2500KmAltitude : +60000ft
Échanges entre le Système drone et les autres systèmes
Station Pilote Station ExploitationCdC ou CLA
MTO
AéronefVHF/UHF
Ligne TC/TM
Ligne Imagerie(video+ Trafic Contrôle)
VHF/UHF(Radio+ Comm Auto)
SAHARA
SAHARA Simulateur d'Architectures Hétérogènes d'Agents et de Ressources Actives.
LADA LAngage de Description d'Architectures
description du système à étudier en LADA
Compilateur
Scénario Résultats
Visualisation modification interactivité
Simulateur
• Comprendre le fonctionnement d ’un système par les interactions entre ses composantes
• Deux simulateurs: • fonctionnel :
simule les interactions entre les composants du système.
•logico-matériel: même chose qu ’en fonctionnel + prise en compte du temps dû à la charge de ressource: calcul, mémoire et canal
• Conception itérative :modélisation,simulation,exploitation des résultats.
Caractéristiques de SAHARA
Systèmes : contraintes temporelles,fonctionnant en parallèle,réactifs à l'environnement,communicant entre eux,asynchrones,indéterministes.
SAHARA <> SDRT Esterel Statechar
SESWorkbench, Bones …
Modèle : asynchrone déterministe indéterministe stochastique
Modèles comparables Automates d'états Réseau de Pétri
Modèle SAHARA : préconditions
postconditions
Etat initial
Etat final
transition
Les fonctions
le type de la fonction (standard, CSA, interuptible, Anytime)les entrées et les sortiesle contextela transformation
pistemenace
messagemise à jour
Analysetactique
Description de niveau fonctionnel
Les données échangées:
( nom_donnée ((attribut valeur) ...(attribut valeur)))
Modélisation des comportements Ils transcrivent les données d ’entrées en données sorties. Ces productions peuvent être déterministes ou non déterministes.
(def_fonction identifier_produit (entrees produit produits_stockes produits_connus)(sorties produits_stockes produit_rejete nouveau_produit)(transformation(declencheur produit (20 oubli (produit) (produit_rejete)) (70 mise_a_jour (produit produits_stockes produits_connus) ((produits_stockes ((modifieur modifier)))) (10 creation (produits produits_connus) (( nouveau_produit ((name $produit.name))))))
sélecteur
fréquence nom du comportement
sortiesentrées
Description de niveau matériel
La description de niveau matériel consiste :
• à décrire les ressources : cpu, mémoire et canalcapacité, délai latencetype de ressources :
• répartition uniforme, à priorité pour les cpu et ram,• répartition uniforme, à priorité, préemptif, à diffusion pour les canaux
• à projeter l ’architecture de niveau fonctionnel sur l ’architecture matériel
Résultats de simulation
• les interactions entre composantes système,• des mesures sur les charges des ressources: charge instantanée, maximum, moyenne, délai d ’attente, délai de transit
Architecture de principe retenu pour la modélisation
Gestion BDD Aéronautique
G
C
S
input
G
C
S
output
IMAGESSA
G
C
B
input
G
C
B
output
Equipements GNC
PORTEUR
CU SSU
CDC
CLA
AERONEFS
X_porteur
TC PORTEUR(1)
TC
TC PORTEUR(0)
ETATS PORTEUR
X_porteur
Images(vidéo+TCAS+trafic)
liaisons aéronautiques
Réponse BDSAéro
REQUETE
PL
CDT
PILOTE
VHF / UHF
COMM AUTO
Opérateur pilote
Lia
ison
SSA
/ C
LA
TM
CU
X_ p
orteur
Destruction données CU ou
CU
Param
_contraintes_vols
Cal
cula
teur
/ G
esti
on d
e m
isio
n
Poste de Contrôles-Commandes
Etats EQMTSAutres
équipements
Etats Porteur
X-porteur
Cm
d GN
C
Dispositif de neutralisation
TC neutr
Equipements Surveillance
Etats SURV
TC neutr
TC neutr
Enregistreurs
Etats C
U
TC
CU
Etat GCB out
COMM AUTO
Image VideoImage traficImage TCAS
Etats G
NC
Etats P
orteur
Etat GCB in
Cmd SURV
Liai
son
imag
erie
Représentation graphique de l’architecture du drone
LDDM mise en route image traffic+TCAS sur ON [1i/2s]
-2000
0
2000
4000
6000
8000
10000
12000
0 100 200 300 400 500 600 700
temps (en pas de temps de 10 ms)
tau
x d
e ch
arg
e (%
)
Taux de Charge entre 0 et 2s
-2
0
2
4
6
8
10
12
14
0 50 100 150 200 250
taux,
Fonctionnement nominal de la liaison directe
Reconfiguration de la liaison image
L ’architecture du drone comporte deux liaisons sol/air:une liaison télémesures/télécommandes TC/TM(0.8Mb/s) et une liaison imagerie (10Mb/s).En cas de perte de la liaison imagerie, les images vidéo transitent par la liaison TC/TM mais ilest nécessaire de valider par simulation les paramètres d ’image :taille d ’image en pixels, codage pixel, facteur de compression et période d ’acquisition.
Taux charge fonction du temps Délai transit en fonction du temps
Delai TM
0
2
4
6
8
10
12
0 100 200 300 400 500 600 700
Delai hale5
Delai hale5-1
Délai de transit des télémesures
Pour le modèle hale5, la liaison direct est sans priorité,les TM étant en concurrence avec les images de délais de transit est de 100ms. Pour le modèle hale5-1 avec priorité et les TM sont prioritaires sur les images et le délais de transit reste constant à 10ms.
Delai Images hale5 hale5-1
0
2
4
6
8
10
12
14
0 100 200 300 400 500 600 700
Delai hale5
Delai hale5-1
Résultats de 2 simulations correspondant à la reconfiguration des communications en cas de perte de la liaison image.
Inversement pour les images, le délais de transit est de 110ms dans le cas de hale5 (pas de priorité) et de 120ms dans le cas de hale5-1(avec priorité aux TM)
Mise en pratique d ’une démarche pour la SdF
• Principes généraux
Niveaux de gravité : Catastrophique, Critique, Majeur, Mineur
Modes de contrôles : Gestion PA, Autonome, Procédurale, Assisté sol
Modes de replis sécuritaires : système :Poursuite, Report mission, Go/No Go, Mise en sécurité, Assistéporteur : Assisté sol , Poursuite du plan vol, Reconfigurationautres systèmes : Mise en attente, Obtention de moyens externes
Démarche d ’évaluation cas MALE/HALE
• Hypothèses sur les moyens de liaison :•liaison satellite SSA/Porteur : de 100Kb/s à 64Kb/s•liaisons HDCP et HDLP : 2Mb/s•liaison LDHP : 100 - 64Kb/s•liaison Secours : 10Kb/s à 1Kb/s
•Scénarios d ’évaluation
Phase de vol: Image trafic Vidéo Radio TM/état•mission Male nominale x - x x•mission Hale nominale x - - x•décollage/atterrissage nominale x x x x•mission Male dégradée x - - x•mission Hale dégradée - - - x
• Résultats d ’évaluation
Liaison descendante(640Kb/s) Délai spécifié Délai simuléX_porteur 1s 40msEtat_porteur 1s 40msImage trafic (800Kb) 2s 1250ms
Dimensionnement du mode dégradé
Cas de la liaison de secours 1kb/s mission MALE dégradé
Mode nominale Mode dégradéImage trafic 24 kb/s 30avions /s 200o/5s 2avions /5sTM_porteur
X_porteur 800 b/100ms 1X/100ms 800b/2s 1X /2sEtat_porteur 8kb/s 100param/s 1,2Kb/2s (40 param/2s)
Liaisons radio 2.4 kb/s téléphone
Apports de la modélisation et de la simulation
• détermination des délais d ’acheminement,
• calcul de la charge instantanée, du délai d ’attente en cas de concurrence à la ressource,
• prise en compte de délai de latence des relais (satellite, chemin de comm),
• évaluation du niveau de criticité de conflits d ’accès aux comm.,
• détermination des tailles, périodicités, facteurs de compression, niveaux de priorités des flux de données, en adéquation avec la capacité des ressources
En phase de conception, la démarche permet d ’appréhender le comportement du système dans ses différents modes de fonctionnement.