1 CEG4566/CSI4541 – SIGE – Hiver 2013 RNM CEG4566/CSI4541 – Conception de systèmes temps réel SIGE– U. Ottawa – Hiver 2013 Chapitre I: Introduction aux systèmes en temps réel
1 CEG4566/CSI4541 – SIGE – Hiver 2013
RNM
CEG4566/CSI4541 – Conception de systèmes temps réelSIGE– U. Ottawa – Hiver 2013
Chapitre I: Introduction aux systèmes en temps réel
2 CEG4566/CSI4541 – SIGE – Hiver 2013
RNM
Chapitre I: Introduction aux systèmes en temps réel
1.1. Place des systèmes temps réel dans le monde de l’ingénierie
1.2. Concepts et définitions
1.3. Architecture typique d’un système temps réel
1.4. Classification des systèmes temps réel
1.5. Prévisibilité et déterminisme
1.6. Caractéristiques des systèmes temps réel
1.7. Types de contraintes dans les systèmes temps réel
1.8. Type d’architectures des systèmes temps réel
1.9. Notion d’ordonnancement
1.10. Divers exemples de systèmes temps réel
1.11. Conclusion
1.12. Introduction à la culture de la sureté de fonctionnement
1.13. Introduction de la notion de sureté et de sécurité dans les STR
3 CEG4566/CSI4541 – SIGE – Hiver 2013
RNM
Génie logiciel
Systèmes critiques
Systèmes embarqués
Instrumentation temps réel
Systèmes distribués
1.1. Place des systèmes temps réel dans le monde de l’ingénierie
4 CEG4566/CSI4541 – SIGE – Hiver 2013
RNM
Système : Ensemble d’éléments matériels, logiciels et humains en interaction, organisés pour remplir une mission déterminée, dans un environnement de référence, et évoluant dans le temps.
Système temps réel: Système dont le résultat dépend de l’exactitude des calculs mais surtout du temps où sont produits les résultats.
Note: 99% des processeurs vont pour le marché des systèmes embarqués
1.2. Concepts et définitions
5 CEG4566/CSI4541 – SIGE – Hiver 2013
RNM
1.3. Architecture typique d’un système temps réel
Le système temps réel contrôle un système plus large (le système contrôlé).
Les capteurs scrutent les événements du système contrôlé,
fournissent des mesures, ...
Les actionneurs agissent sur le fonctionnement en fonction
des traitements du système temps réel sur le système contrôlé
Système de contrôle
Capteur
Capteur
Actionneur
Actionneur
Environnem
ent
d’o
péra
tion
Système contrôlé
6 CEG4566/CSI4541 – SIGE – Hiver 2013
RNM
1.4. Classification des systèmes temps réel
Systèmes temps réel piloté par les événements: le STR réagit en fonction d’états préétablis et atteints (temps, température,…)
Systèmes temps réel piloté par le temps: le STR réagit sur des échéances régulières définis par un temps interne au système
Le systèmes temps réel sera qualifié de réactif, si il doit réagir à un événement en temps imparti
Note : On appelle échéance une contrainte temps à laquelle doit au plus tard se produire un événement. Les systèmes sont classifiés par rapport à la tolérance aux échéances
7 CEG4566/CSI4541 – SIGE – Hiver 2013
RNM
1.4. Classification des systèmes temps réel (suite)
Temps-réel mou : un retard dans l'obtention du résultat n'est pasdramatique (distributeur de billets)
Temps-réel dur : un retard dans l'obtention du résultat le rendinutile (détection de missile)
Temps-réel ferme : un retard, s'il arrive très peu souvent, peut êtretoléré (téléphonie)
Note: La plupart des systèmes temps-réel sont hybrides.
Les types de temps-réel:
8 CEG4566/CSI4541 – SIGE – Hiver 2013
RNM
1.5. Prévisibilité et déterminisme
Prévisibilité: capacité à déterminer le temps des opérations à réaliser
Déterminisme: objectif à atteindre pour connaître le temps d’exécution d’un programme
9 CEG4566/CSI4541 – SIGE – Hiver 2013
RNM
Exactitude logique (comme tout système) : les sorties sont déterminées en fonction des entrées et de l'état interne
Exactitude temporelle : les sorties sont positionnées au bon moment
1.6. Caractéristiques des systèmes temps réel
10 CEG4566/CSI4541 – SIGE – Hiver 2013
RNM
1.7. Types de contraintes dans les systèmes temps réel
Précision : effectuer certaines opérations à un moment précis
Temps de réponse : effectuer certaines opérations en un tempsmaximum (système de freinage ABS) ou avec un temps moyen (distributeur de billets)
Rendement : nombre de requêtes traitées par unité de temps (robot de production dans une usine)
11 CEG4566/CSI4541 – SIGE – Hiver 2013
RNM
1.8.1. Architecture mono-tâche
Un système temps-réel à une seule tâche est simple à définir. Il suffit de répéter indéfiniment la suite de tâches :
- Attendre un stimulus- Agir en fonction du stimulus
Le dimensionnement du processeur dépend du temps de réponsesouhaité.
Exemples :Un distributeur automatiqueUne carte à puce
1.8. Type d’architectures des systèmes temps réel
12 CEG4566/CSI4541 – SIGE – Hiver 2013
RNM
1.8.2. Architecture multitâches
Plusieurs problèmes se posent lorsque plusieurs tâches s'exécutent simultanément :
- accès au processeur- accès concurrent à la mémoire- accès aux périphériques
Il faut prévoir un ordonnancement permettant au système de remplir son rôle.
1.8. Type d’architectures des systèmes temps réel (suite)
13 CEG4566/CSI4541 – SIGE – Hiver 2013
RNM
1.9. Notion d’ordonnancement
Un ordonnancement consiste à définir un ordre surl'utilisation des ressources du système afin de respecter les échéances temporelles
On appelle ordonnanceur (scheduler) le processus système qui gère l'ordonnancement des processus
(Note: Ces notions sont à couvrir plus tard dans la session)
14 CEG4566/CSI4541 – SIGE – Hiver 2013
RNM
L’algorithme d’ordonnancement s'appuie sur la connaissance de
certaines caractéristiques des processus ou du système
– processus périodiques ou apériodiques;
– processus cyclique ou non cyclique;
– préemption possible ou pas;
– échéance et pire temps d'exécution des processus
– système à priorité fixe ou à échéance
1.9. Notion d’ordonnancement (suite)
15 CEG4566/CSI4541 – SIGE – Hiver 2013
RNM
Exemple 1-1: L’exemple de la conduite d’automobile
• Mission: Arriver à destination en toute sécurité
• Système à contrôler: L’automobile
• Environnement d’opération: Conditions de la route
• Systèmes de contrôle:- Le conducteur humain: Capteurs (yeux et oreils). - Ordinateur de bord: Capteurs (camera, récepteur Infra rouge, laser, etc…)
• Contrôles: Accelerateur, Direction, pédales de frein.
• Actionneurs: roues, moteur, freins.
1.10. Divers exemples de systèmes temps réel
16 CEG4566/CSI4541 – SIGE – Hiver 2013
RNM
Exemple 1-1 (suite)
Tâches critiques: Direction et freinage
Tâches non critiques: Régler la radio (?).
Performance: Elle mesure le rendement par rapport au meilleur rendement possible dans des conditions données.
Coût de la mission → Chercher la solution efficasse.
Fiabilité du conducteur → Tolérance aux fautes
17 CEG4566/CSI4541 – SIGE – Hiver 2013
RNM
Exemple 1-2: Système de contrôle de débit
18 CEG4566/CSI4541 – SIGE – Hiver 2013
RNM
Fuel Tank
Furnace
Bin
Pipe
fuel
grain
Exemple 1-3: L’exemple de contrôle d’un rôtissoire à grain
19 CEG4566/CSI4541 – SIGE – Hiver 2013
RNM
Line controller
ComputerSwitch
Assembly line
Box
0 = stop
1 = run
Bell
Switch
Exemple 1-4: Contrôle d’une station d’emballage
20 CEG4566/CSI4541 – SIGE – Hiver 2013
RNM
Production
Control
System
Parts
Machine Tools Manipulators Conveyor Belt
Finished
Products
Exemple 1-5: Commande d’une ligne de production
21 CEG4566/CSI4541 – SIGE – Hiver 2013
RNM
Exemple 1-6: Exemple d’un système en temps réel complexe:Le cockpit du jet d’affaire Falcon 7X
Présentation :Le Falcon 7X est le premier avion au monde à avoir été développéentièrement dans une filière numérique grâce aux nouveaux outils informatiques créés par la société Dassault Systèmes. Grâce à CATIAet au PLM, aucun prototype ni maquette n'ont été réalisés. Les formes et l'architecture de l'avion ont été conçues uniquement sur maquette numérique
22 CEG4566/CSI4541 – SIGE – Hiver 2013
RNM
Exemple 1-6 (suite) Falcon 7X - EASy cockpit
Le ‘FlightDeck’ est composé de 3 parties:1. Le panneau tête haute: La plupart des contrôles pour les systèmes de l’avion2. Le panneau frontal: 4 grands écrans, contrôleur de vols, et l’instrumentation
de secours (Stand By).3. Console centrale: Clavier multi fonction, Trackball, Contrôleur de check-list,
panneau audio, commande de démarrage des moteurs
23 CEG4566/CSI4541 – SIGE – Hiver 2013
RNM
EASyEASy main componentsmain components
MAUsMAUs, Busses, Busses
Fly By Fly By WireWire
AircraftAircraft
SystemsSystems
IRSIRS, , AHRSAHRS
RA, RA, MagnetometerMagnetometer
ADSADS: Smart Probes; TAT: Smart Probes; TAT
Standby DisplayStandby Display
ControllersControllers
DisplaysDisplays
MRCMRC modules; HFmodules; HF
Combi recorderCombi recorder
Exemple 1-6 (suite) Falcon 7X – Système avionique
24 CEG4566/CSI4541 – SIGE – Hiver 2013
RNM
CAS Messages
Primary EngineData
(N1, N2, ITT)
2/3 Area for Primary Flight Information 1/3 Area
Flight Mode
Major Airplane
Parameters
Configurable windowENG-TRIM-BRKRadios dataNAV SensorsTrafficAutomatic pop-up
of : TAWS terrainTCASENG-TRIM-BRK
Horizontal situationRadio Information
Airplane Configuration
Exemple 1-6 (suite) Falcon 7X – Écran primaire d’affichage (PFD)
25 CEG4566/CSI4541 – SIGE – Hiver 2013
RNM
Les systèmes ou applications temps-réel sont:
– Complexes– Font intimement intervenir le temps dans leur conception– Ont des besoins de fiabilité importants– Généralement décomposés en sous-systèmes avec des tâches ou des processus qui interagissent. Contrôle concurrent de différentssystèmes– Doivent être implémentés avec des langages appropriés– Doivent être exécutés sur des systèmes ou des exécutifs adaptés- Manipulation de données réelles- Fiabilité et sécurité
- Contrôle en temps réel- Interaction avec des interfaces matérielles- Implementation efficace.
1.11. Conclusion
26 CEG4566/CSI4541 – SIGE – Hiver 2013
RNM
1ère réalité : Même les grands experts peuvent faire des erreurs.
1.12. Introduction à la culture de la sureté de fonctionnement
27 CEG4566/CSI4541 – SIGE – Hiver 2013
RNM
2ème réalité : Un système peut fonctionner sans pour autant être stable et ‘robuste’.
28 CEG4566/CSI4541 – SIGE – Hiver 2013
RNM
3ème réalité : Même dans les endroits où on s’y attend le moins on remarque des défaillances des systèmes temps réel (Il suffit d’ouvrir les yeux!).
Exemple 1: Lieu: Peut arriver n’importe où !
29 CEG4566/CSI4541 – SIGE – Hiver 2013
RNM
Exemple 2: Lieu: Aéroport de Toulouse (France)
30 CEG4566/CSI4541 – SIGE – Hiver 2013
RNM
Exemple 3: Lieu: Aéroport Heathrow (London, UK)
31 CEG4566/CSI4541 – SIGE – Hiver 2013
RNM
1.13. Introduction de la notion de sureté et de sécurité dans les STR
1.13.1. Sureté de fonctionnement, c’est quoi?
Caractérise l’aptitude pour un système, un produit ou une activité de
satisfaire l’ensemble des performances opérationnelles requise pour une
mission donnée:
Fiabilité (Reliability)
Disponibilité (Availability)
Maintenabilité (Maintenability)
Sécurité (Safety)
Testabilité (Testability)
(FDMST) (RAMST)
32 CEG4566/CSI4541 – SIGE – Hiver 2013
RNM
1.13. Introduction de la notion de sureté et de sécurité dans les STR
Le Droit, jeudi 21 aout 2008
33 CEG4566/CSI4541 – SIGE – Hiver 2013
RNM
Le Droit, Vendredi 22 aout 2008
34 CEG4566/CSI4541 – SIGE – Hiver 2013
RNM
Le Droit, 21 aout 2008
35 CEG4566/CSI4541 – SIGE – Hiver 2013
RNM
1.13.2 Le risque, c’est quoi?
Grandeur à deux dimensions associée à une circonstance précise de la vie du système et caractérisant un événement non désiré par :
- Sa probabilité d’apparition,- La gravité des conséquences
Note1; Le risque zéro n’existe pasNote2 : Le couple Gravité x Probabilité est appelé ‘Criticité’
Courbe de FARMER
36 CEG4566/CSI4541 – SIGE – Hiver 2013
RNM
1.13.3 Événement redouté : Événement jugé inacceptable soit par sa gravité, soit par sa probabilité.
Exemple d’échelle :
Aucun effet sur la mission.5. Sans effet
Sans influence sur la mission4. Mineur
Interruption de la mission, c’est un incident.3. Majeur
Mise en jeu de la sécurité, l’accident est rattrapépar l’intervention d’un système de sauvegarde.
2. Critique
Mise en jeu de la sécurité sans système de sauvegarde. Cela peut donner lieu à un accident grave.
1. Catastrophique
Conséquences sur les personnes ou sur l’environnement
Classes de gravité des conséquences
37 CEG4566/CSI4541 – SIGE – Hiver 2013
RNM
1.13.4. Sécurité (Safety), c’est quoi?
- Aptitude d’une entité à maintenir un niveau d’acceptabilité d’événement àpriori redoutés pouvant mettre en cause immédiatement ou à terme la vie de l’homme, l’intégrité de ses biens, son environnement (C’est la probabilité que le système puisse faire apparaitre des événements définis comme redoutés avec un niveau de risque inacceptable).
- Prévention : Actions à réduire la probabilité d’occurrence des événements redoutés.
- Protection : Actions visant à réduire la gravité des conséquences des événements redoutés.
38 CEG4566/CSI4541 – SIGE – Hiver 2013
RNM
Question?