Informatique Industrielle

Formation CESI
Ingnieur Gnie lectrique

Patrick MONASSIER

Anne 2009

Module Informatique Industrielle

OBJECTIFS :
Savoir apprhender la problmatique spcifique des systmes dits ractifs par
rapport aux systmes classiques interactifs, transactionnels
Connatre tous les services ncessaires un systme informatique connect un
processus industriel
CONTENU :
Rappel sur les architectures matrielles simples : rpartition des actions
logicielles effectuer sur le ou les processeurs
Les architectures tolrant les fautes : redondance des actions logicielles ou du
matriel
Le principe de la programmation synchrone et asynchrone
Lordonnancement et les concepts de priorits des actions logicielles
Les interruptions matrielles , les vnements et le temps
DUREE : 7 heures
FORME : Cours magistral illustr par des exemples de problmatiques industrielles

La faon dont va se drouler le cours

Cest un cours magistral illustr par des exemples de problmatiques industrielles exprimes
laide de plusieurs mises en applications vcues. Ces exemples permettent dintroduire des
parties de cours thoriques sur la programmation des systmes informatique industriels et
de prsenter des applications ayant trouv des prolongements pratiques dans des
domaines varis.

1.

Introduction sur linformatique industrielle

2.

Application de scurit danticollision sur grues

3.

Supervisions et IHM en lien avec des robots industriels

4.

Systmes embarqus pour le transport routier (GPS, WIFI, GPRS)

Ces exemples sont issus de cas rels dvelopps et mis en uvre par lintervenant

Prsentation de lintervenant
Patrick Monassier

(CPE Lyon) -

Tlcharger les cours sur:

patrick.monassier@free.fr

http://patrick.monassier.free.fr

Activits professionnelles :

Cours :

Directeur Recherche Dveloppement 2007 - actuel

Systmes embarqus pour vhicules, poids lourds et bus
Direction Informatique Industrielle 2001-2007
Ingnierie robotique, Informatique de production, vision
Ingnieur daffaires 1998-2001
Applications informatiques pour les hpitaux et lindustrie pharmaceutique
Directeur technique 1992-1998
Systmes de scurit informatiques embarqus : grues, grues mobiles
Support commercial Avant-vente 1989-1992
Systmes et rseaux sur sites industriels et en embarqu
Ingnieur projets industriels 1986-1989
Cration de systmes temps rel et rseaux
Ingnieur dtudes1981-1986
Dveloppement de robots pour la maintenance nuclaire, en milieux irradis

Universit Lyon 1
CPE Lyon
CNAM
INSAT de TUNIS
CESI

Associations :
Vice-prsident de lAssociation des Ingnieurs CPE Lyon
Administrateur lURIS Rhne-Alpes (Union Rgionale des Ingnieurs et Scientifiques CNISF
Conseil National des Ingnieurs et Scientifiques de France)
Grant de la Maison des Ingnieurs de Lyon

Partie 1 - Introduction

Introduction aux systmes

Informatiques Industriels

Les applications
Il y a une explosion du nombre des applications : Il y en a partout ! On met de plus en plus de
microprocesseurs et de microcontrleurs dans toutes sortes de machines et dappareils, pour
lindustrie, pour des besoins en communication, des applications grand public...etc.
Cette explosion est principalement due laugmentation de la puissance des microprocesseurs et
de leurs circuits priphriques, la diminution du cot des composants, linternationalisation des
besoins. Les applications sont de plus en plus varies

Des applications de plus en plus tranges et de plus en plus caches

Transport : avions, bateaux, trains, transport routier, automobiles, motos, fauteuils pour
handicaps, ascenseurs
Mdical : Imagerie mdicale, robots danalyse, oprations assistes, scanners
Nuclaire : contrle des centrales, scurit
Multimdia : musique, films, connaissance, documentations
Portage : grues, grues mobiles, transpalettes
Usines : production automatise, production robotise
Traabilit : golocalisation, suivi de production
etc.

Des applications de plus en plus puissantes et

de plus en plus communicantes

Lvolution du matriel (hard)

Quelques dates, quelques rfrences
- 1970
- 1980
- 1983
- 1985
- 2000
- 2010

Les ordinateurs tiennent dans de grandes salles climatises 1 6 M

Lapparition des mini-ordinateurs 15 k
Lapparition des premiers microprocesseurs industriels
Lapparition du PC, 15 k, 100.000 Transistors, 10MHz
PC multimdia 10.000.000 transistors 1GHz 1,5 k
PC mobiles 250

On avait des puces, il faut maintenant sattendre larrive des pucerons

Des millions de petites puces partout qui changeront le monde
Rappel de la loi de Moore - Un des fondateurs dIntel

La puissance des microprocesseur double tous les 18 mois

Cela reste vrai, on a pas encore trouv les limites
Mais quen est-il du logiciel qui va animer ce matriel ?

Sur le logiciel : Quelques thmes de rflexion

Ma dfinition du logiciel

Cest un trs trs trs long texte crit dans un langage

plutt ennuyeux dans lequel chaque dtail compte
Quand nous avons commenc programmer nos ordinateurs, nous avons trouv notre
grande
surprise quil tait beaucoup plus difficile davoir des programmes qui marchent que ce que nous
avions pens . Il fallait que nous inventions le debugging. Je peux me souvenir du moment exact
o je me suis aperu quune grande partie de ma vie allait tre consacre trouver des erreurs
dans mes propres programmes
Vous feriez vous oprer en toute confiance par un robot chirurgien ?
Le hard excute stupidement, parfaitement et trs rapidement toute une
succession doprations primaires dictes par le logiciel.
Imaginez vous faire marcher une entreprise de 10 000 employs parfaitement stupides,
et parfaitement obissant. Sans une seule dlgation de pouvoir et sans un brin de rflexion aux
diffrents niveaux dexcution. ? Est-ce qui arrive avec le logiciel ?

Le logiciel : un objet intellectuel trs lourd

Un logiciel a besoins de logiciels pour tre cr, mul et pour fonctionner
Code source
Le code source

Outil de dveloppement

Compilateur
Bibliothques
firmware

Des milliers de
lignes de code

Langage

Drivers
Gestion des versions

Systme dexploitation

Lexcutable
Cible

1 mtre
dpaisseur
de listing

10.000

1 mtre
dpaisseur
de listing

15.000

Une question au hasard

Entre 1 mtre de listing 10.000
et 1 mtre de listing 15.000 .
lequel choisissez vous ?

Prendre le logiciel au srieux

Vision industrielle :
Une conduite de projet rigoureuse
Outillages techniques impeccables (simulation, visualisation)
Juste valuation des cots
Programmation dfensive
Approche Scientifique :
Mieux comprendre lobjet logiciel
Faire des outils valeur ajoute
Sappuyer sur des modles mathmatiques appropris
Dans lidal : Expliquer formellement pourquoi le logiciel marche !

Difficile raliser dans des contextes industriels concurrentiels

Primordial dans des applications critiques
LAirbus A380 a entirement conu, ralis, simul laide dordinateurs et de logiciels spcifiques
Il ne serait venu lide de personne qu son premier vol, il ne dcolle pas !
Raction dun des ingnieurs aprs le premier vol :
Lavion sest comport presque aussi bien que ce que nous avions prvu

10

Et le hard dans tout a ?

On peut considrer globalement que la fiabilit des microprocesseur et des circuits lectroniques
en temps que tels est devenue excellente.

Il nempche ! Nous devons prendre des prcautions !!!

Dans les phases de conception et de choix technologiques
Dans le choix des approvisionnements et des solutions
Dans la prise en compte des environnements de fonctionnement
Dans lvaluation de la fatigue et du vieillissement des composantes du systme
Dans tous les changes entre les capteurs, les actionneurs et le systme
.etcetcetc

Certains domaines dapplications exigent le respects de normes et de rgles :

ferroviaire, avionique, nuclaire, automobile
Ce nest pas le cas de toutes les applications industrielles
Agressions sur le hard : Tempratures haute et basses, vibrations, chocs, salinit, perturbations
lectromagntiques, connectique, humaines, composants
Logiciel

Matriel
hard

Systme

Capteurs
Actionneurs
Communication

Environnement
dapplication

11

Et la communication ?
Communiquer en IHM ou en M2M nest pas une aussi simple
quon le pense en premire approche :
Il faut adapter la communication lapplication.
Il ny a pas de solution standard
Il faut aussi adapter en fonction de lenvironnement
Il faut faire les bons choix face aux contraintes temporelles
Si tout marche bien en labo, il est parier que des problmes arriveront dans lenvironnement
industriel si certaines prcautions nont pas t prises.
Problmes de communication :
IHM : Mauvaise acceptation du systme, interface non adapte, erreurs dinterprtation,
interfaces non protges.
M2M : agressions extrieures (Perturbations lectromagntiques, connectique), communication
adapte, perturbations du rseau, ruptures de communication
IHM : Interface Homme Machine
M2M : Machine To Machine Communication entre systmes

Logiciel

Matriel
hard

Systme

Capteurs
Actionneurs
Communication

Environnement
dapplication

12

Le risque industriel
Pour une majorit dapplications industrielles, les systmes sont maintenant de plus en plus
enfouis. Il y a de moins en moins dinterface humaine : quelque fois rduite son minimum, voir
compltement absente. Le systme agit cach : on ne voit physiquement que le rsultat de sa
dcision
Ceci amne prendre en compte dune faon importante lvaluation des risques et la gestion de
la scurit. Ceci dpend videmment de lenvironnement de fonctionnement du systme :
toutes les applications ne sont pas soumises aux mmes contraintes.
Il y a une grande diffrence entre le problme de limpression dun document informatique et un
systme ABS qui oublie de freiner, ou un rgulateur de vitesse qui se bloque !

Le BUG !
On ne doit pas avoir une vision limitative du bug (ou bogue) et considrer que cela vient
uniquement du logiciel. Dans une vision industrielle, on doit prendre en compte toutes les
composantes de lapplication finale comme nous lavons vu prcdemment : logiciel, hard,
systme, capteurs/actionneurs, communication, environnement, erreurs dvaluations etc.
On doit considrer le risque en termes de Sret, de Scurit et Disponibilit
Sret : rien de mal ne peut arriver
Scurit : il ny aura pas daccident grave
Disponibilit : le systme sera toujours disponible

13

Quelques exemples de bugs

Windows. LOL
Ariane V : volution de Ariane IV vers ArianeV (plus puissante). On rcupre une partie des calculateurs
lectroniques. Sur un des calculateurs de trajectoire, alors que la fuse approche de la fin de son lancement, vers
la puissance maxi, il y a dpassement de capacit dun registre de calcul. La fuse quitte la trajectoire et doit tre
dtruite. Le calculateur tait parfaitement adapt aux paramtres dAriane IV. On na pas suffisamment vrifi son
adaptation un environnement moteur plus puissant
Mars Polar Lander : La sone tombe en panne sur Mars. Il y a inversion de priorits des tches dans le noyau
temps rel : les tches les plus prioritaire sont masques par les tches les moins prioritaires. Grce la fonction
Debug reste intgre anormalement au programme, on a pu distance reprogrammer le gestionnaire de taches.
USS Yorktown : Un des fleuron de la marine amricaine, un bateau dernire gnration reste bloqu pendant six
heures en pleine mer parce quun oprateur a entr une valeur 0.0 au lieu de 1.0 en paramtre, entranant une
erreur de division par 0 et des ractions en chanes de mises en scurit.
Microprocesseur Pentium : Un erreur dans une opration de division cache lintrieur du microprocesseur
entrane une reprise des composants.Le cot a t estim 475 M$ soit plus que le cot du dveloppement de ce
microprocesseur.
Therac 25 : Un appui sur la touche TAB du clavier, accompagn dune squence particulire, envoie une dose
dirradiations maximum au patient cancreux, pendant un court instant.
Le Bug soft est reproductible linfini dans les mmes conditions de squences. Il ne sagit pas uniquement
dun enchanement de circonstances non reproductible. Laccident de lavion Concorde en est un exemple :
laccident arrive suite choc avec une pice tombe dun autre avion sur la piste. Le risque de reproduire un
accident identique partir des mmes causes est pratiquement nul.

14

viter les bugs cest DUR, trs DUR !

Il est difficile de dcouvrir certains bugs bien cachs au fond des programmes.

Il y a beaucoup dinteractions et on a beaucoup de mal

conceptualiser ce qui se passe
Il y a le problme des Bug mais aussi des divergences dapplications

Difficults trouver les bugs

Raison 1 :
SSII : Le client ne sait pas ce quil veut mais on va lui faire quand mme.
Je corrigerai bien lerreur mais je nai plus les sources
Raison 2 (plus srieuses) :
Difficult trouver des bugs :
Invisible : pas dinspection visuelle
Programmes trs gros : Comprhension globale difficile
Programmes discontinu : pas de marge de scurit
Plein dinteractions : Comportements combinatoires
Pas dauto-correction : tous les dtails comptent
Interface Homme-Machine : 2 logiques diffrentes

Il faut un homme pour faire une erreur

Il faut un ordinateur pour faire un dsastre

15

Rappel - CONTENU :

Fin de partie 1 - Think-Tank

Les architectures tolrant les fautes : redondance des actions logicielles ou du

matriel
Think Tank :
En groupe, une rflexion sur tout ce qui peut
amener des dysfonctionnements graves dans
un systme de scurit informatique industriel.
On part sur la base dun systme embarqu reli
des capteurs et des actionneurs,
communiquant par rseau avec dautres
systmes quivalents.
Le systme possde une interface humaine
simplifie.

Oula ! Grave l ! Ca ressemble un bug a !!!!

Capteurs et
actionneurs

Communication
Carte lectronique
Logiciel embarqu

Systme embarqu

IHM simple

16

Partie 2 Application de scurit

Application de scurit
danticollision sur grues

17

Historique

D'OU CA VIENT ?Il convient de rappeler

l'existence d'un dcret dat du 23 aot
1947 qui dfinit les prcautions observer
par les utilisateurs de grues de chantiers.
Dans les annes 1970/1980 certains
chantiers comme les chantiers de
construction de centrales nuclaires sur
lesquels on dnombre souvent 30 grues
et plus enregistrent des accidents graves
voire mortels.
Au dbut des annes 80 apparaissent les premiers dispositifs d'aide la conduite,
essentiellement bass sur de l'lectronique analogique.
Le 07/07/1987, en France une circulaire du ministre des affaires sociales et de
lemploi pose les conditions gnrales d'utilisation des grues tour dont les zones
d'actions se recoupent.
C'est la fin des annes 80, suite aux progrs importants raliss en lectronique
numrique qu'apparaissent les premiers systmes microprocesseurs qui
permettront l'essor des systmes ANTI-COLLISION.
Les progrs techniques accomplis et l'exprience acquise depuis la circulaire de 07/87
entranent le lgislateur publier la note technique du 06061991qui apporte les
prcisions ncessaires ou indispensables pour tous.

18

Les risques d'accidents

- collisions
- survols de zones

Charge

On cherche viter les collisions entre le cble qui porte la charge et la structure dune grue adverse
Le risque est de dsquilibrer la charge et de provoquer un accident au sol
Il ny a aucun risque de chute dune grue lors de ce type de collision
On cherche aussi viter le survol de zone sensibles (cour dcole, voie ferre, route) par une charge

19

GRUES - Les Mouvements

ORIENTATION

Grue haute

DISTRIBUTION
Grue haute

Grue basse
Charge

TRANSLATION

20

GRUES - Interfrences et survol de zone

Chantier : Vue de dessus

Survol de zone

TRANSLATION

ORIENTATION

Interfrence

X
X

Interfrence

DISTRIBUTION

On veut grer jusqu 16 grues sur une distance de 2000 mtres

21

GRUES - Interfrences et survol de zone

Le systme doit tre dynamique et aider le conducteur de la grue

mieux piloter : si le systme est uniquement scuritaire, il ne sera pas
accept par loprateur. Une interface humaine est ncessaire.

ORIENTATION

Calculs par vectorisation dynamique tenant compte des inerties et des vitesses
Anticipation des collisions (IHM : flches vertes, orange, rouge)
Connaissance des positions entre grues rafrachies toutes les 300ms
0

Rfrentiel chantier

22

Chantier : Vue en coupe

Inertie Rotation : pleine charge
Longueur
contre-flche

Longueur flche

hauteur

Sol chantier =0
Translation
Point 0 de recalage

23

Rappel - CONTENU :

Application grues : Think-Tank N1

Rappel sur les architectures matrielles simples : rpartition des actions

logicielles effectuer sur le ou les processeurs
Think Tank :
Imaginer une architecture matrielle et surtout
logicielle apte rpondre lapplication
Anticollision de grues. Prendre le problme dans
son ensemble
Ne pas chercher rentrer dans le dtail pour
linstant.

Capteurs et
actionneurs

Communication
Carte lectronique
Logiciel embarqu

Systme embarqu

IHM simple

24

Architecture gnrale de linstallation

Quelle architecture gnrale ?
O mettre le ou les systmes ?
Comment assurer lchange des donnes ?

liaison Radio

4
Jusqu 16 grues
Distance totale 2000 mtres maxi

Bus de terrain

25

Implanter le systme et relier les capteurs

ORIENTATION

O mettre le systme ?
Comment relier les capteurs et actionneurs ?
Comment changer les donnes ?

DISTRIBUTION

Lgende
Rseau interne
Rseau inter-grues
Systme
TRANSLATION

Capteurs
Actionneurs

26

Architecture du systme
Comment architecturer le systme ?
Quelles cartes mettre ?
Prsentation physique du systme ?

Carte Communication

Autres systmes
Traitements

Carte CPU

Carte E/S

Interface humaine

Capteurs/actionneurs grue

Grutier

27

Organisation logicielle
Comment organiser le logiciel ?
Comment assurer le Dterminisme de la communication ?
Comment dlguer les tches ?
Temps de cycle ?

Microcontrleur rseau
Microprocesseur

Carte E/S

Afficheur,
manettes grue

Bus de Terrain
Traitements anti-collision

Prise dinformations,
dcision physique

Information, action

Aprs calcul et essais, il a t dcid de prendre un temps de cycle de 300 ms, rptable linfini

28

Organisation du temps
Comment organiser le cycle de 300 ms ?
Comment tre sr de pouvoir faire le traitement
dans les 300 ms ?

Acquisition

Traitement

Rsultat

Synchronisation

Lecture des
capteurs de
la grue
locale

Traitements de
survol de zone et
dinterfrence
Position des
autres grues

Pilotage des
actionneurs
de la grue
Locale et
affichage au
grutier

Temps
dattente

(Rseau Inter-grues)

Temps de cycle : 300 ms

29

Organisation du temps
Comment organiser le cycle de 300 ms ?
Comment tre sr de pouvoir faire le traitement
dans les 300 ms ?

Acquisition

Traitement

Rsultat

Synchronisation

Rseau
CPU
E/S

30

Tches imparties chaque carte

Comment rpartir les tches ?
Comment optimiser le temps ?

Acquisition

Traitement

Rsultat

Synchronisation

CPU

(1)
Communication : change des donnes entre les 16 grues 300ms
Carte Entres/Sorties Afficheur, manettes grutier

Rseau
E/S

Rseau
(1) Rcuprer les position es autres grues mais
envoyer aussi vers le autres grues ses propres
positions

CPU
E/S

31

Comment changer les donnes entre grues ?

Quelles donnes changer ?
Comment respecter le temps (dterminisme) ?

Communication rseau
1

Informations transmettre:

5 octets

- N de la grue:.. 4 bits
- Orientation:......12 bits
- Distribution:..... 12 bits
- Translation:..... 12 bits
Temps de cycle divis par 16 : 300ms / 16 = 18,75 ms

10

11

12

13

14

15

16

attente

Temps de cycle : 300 ms

32

Trame Bus de Terrain

Comment transporter les donnes par un bus

de terrain ?
Comment tenir compte des contraintes
temporelles et des distances ?

Exemple : Rseau CAN (Controlled Area Network)

18,75 ms maximum impos

Dbut de trame
Identifieur

12

Commande

Donnes

40

Espace
intertrame
C.R.C.
Fin de trame

15

10

bits de
donnes

47 bits
18.75ms / 87 bits = 0.21ms par bit => 1 / 0.21ms = 4,64Kb/s

Voir le Diaporama CAN de lintervenant

Principes et fonctionnement du rseau CAN

20 Kbits / s => facteur 4

33

Trame Bus de Terrain

18,75 ms maximum

Dbut de trame
Identifieur

Commande

Informations transmettre:
- N de la grue:.. 4 bits
- Orientation:......12 bits
- Distribution:..... 12 bits
- Translation:..... 12 bits

Espace
intertrame
C.R.C.
Fin de trame

Donnes

34

Bus de Terrain

Dbit Kbits / s

Quelle vitesse choisir pour les changes des

donnes ?
Sassurer de la compatibilit du rseau, un
exemple avec la distance
Tenir compte aussi de la topologie

GRUES - Distances en fonction de la

vitesse de transmission (rseau CAN)
1600
Valeur maximale du protocole CAN

1000

100
20 Kbit / s
10
4000 m
5
10

100

1000
Longueur du rseau (mtres)

10 000 mtres

35

10

Autres rseaux

Peut-on prendre un autre rseau que CAN ?

Protocole constructeur: Support filaire RS485 9,6 Kb/s - Protocole et trames constructeur
N Grue 4 bits

Donnes 40 bits

C.R.C. 8 bits
52 bits

5,4 ms
Protocole FIP: Support filaire 1Mb/s - Protocole FIP simplifi - Trames FIP
100 bits
100 uS
Protocole CAN: Support filaire 20 Kb/s - Protocole et trames CAN
87 bits
4,35 ms

36

Autres rseaux

Peut-on prendre un autre rseau que CAN ?

Et le modle ISO en 7 couches ?

Driver
RS 485

Microprocesseur

Fil

Constructeur

Microprocesseur

Contrleur FIP

Driver FIP
Transformateur

Fil

FIP
FIPART
Microprocesseur

Contrleur CAN

Driver CAN

Fil

CAN
82527 Intel

80C250
Philips

Modle ISO ..... Couche 7 Application..........Couche 2 liaison..... Couche 1 Physique

37

11

Carte rseau

Protger la carte rseau

Isolation galvanique

Que peut-il arriver sur le rseau ?

+5V=

uP

+5V= Isol

Driver CAN

Contrleur
CAN
Intel 82527

82C250
Filtres

2 Opto
HCPL7101

Couche 7 Application

Couche 2 liaison

Couche 1 Physique

38

Application grues : Think-Tank N2

Think Tank :
Au vu de larchitecture que nous avons choisi,
Imaginer tout ce que nous pouvons mettre en
place pour assurer la scurit de lapplication.
Tenir compte de scurits matrielles et
logicielles, de larchitecture et du choix des
composants des diffrentes cartes lectroniques.
Attention : nous sommes dans un cas o en cas de collision, de survol de zone interdite,
il peut y avoir des consquences graves : dcs de personnel par chute dchafaudage
par exemple si la charge est dsquilibre soudainement , collision de la charge avec un
train si on survole une voie ferr, chute de charge pendant le survol dune cour dcole.

39

12

La Scurit : Une vue de points prendre en compte

Capteurs : Glissement des capteurs, rupture mcanique, rupture de cbles, information

altre
Solutions : Doubler les capteurs, comparer les valeurs entre eux, vrifier en dynamique les
carts de valeurs soudaines, dtecter les ruptures de cbles, vrifier la cohrence des
donnes
Actionneurs : linfo nest pas relaye, la carte Sortie nest plus disponible, rupture de la
communication avec la carte Entres/Sorties, Mise en scurit de la grue en cas dincident.
Solutions : Relire linformation de sortie et la comparer (relais de scurit), dtecter la non
communication de la carte E/S, Mettre les sorties en scurit en cas dincident : piloter les
relais en coupure en cas de problme
Rseau : dtecter une rupture de rseau, vrifier la cohrence des valeurs, se mettre en
scurit en cas de problme, ragir face un rseau fonctionnant de faon alatoire, vrifier
que les donnes sont bien rafrachies quand il le faut (cycle de 300 ms). Grer les cas normaux
dallumage et dextinction dune systme adverse
Solutions : Vrifier la bonne prise en compte des donnes dun nouveau systme qui vient
dtre mont. Vrifier que les donnes sont bien rafrachies, vrifier les valeurs limites des
donnes, vrifier leur volution temporelle. Mettre la grue en scurit en cas de coupure
rseau. Mettre en scurit la grue face un systme adverse qui vient dtre coup, rallum ou
nouvellement insr.

40

13

La Scurit : Une vue de points prendre en compte

Carte CPU hard : dfaut dun composant priphrique (RAM, EPROM, FLASH, RTC)
Solutions : Vrifier la disponibilit des composants, Vrifier la cohrence et la disponibilit des
donnes, doubler les donnes crites en RAM et vrifier en lecture, mettre en place des CRC
sur les programme et la Flash, vrifier priodiquement les mcanismes de scurit
Carte CPU Soft : dfaut de droulement du programme, perturbations du microprocesseur
Solutions : Mettre en place des signatures de traabilit passage par des chemins de
traitements logiciels cohrents et complets. Vrifier la priodicit des traitements (timers,
Watch-dog). Vrifier la cohrence des ordres de sorties.
En final : peut-on assurer la scurit avec un seul systme ?
Dans certains domaines (avionique par exemple) on triple les systmes : Ce principe de doublement
ou triplement des systmes consiste effectuer un traitement similaire partir de mmes valeurs
dentres et de comparer chaque fois les rsultats obtenus entre systmes. Si les rsultats sont
diffrents, on put supposer un problme : dans ce cas, il faut arbitrer sur la dcision prendre
ATTENTION : Dans une architecture double ou triple systme, les hard et les logiciels doivent tre
diffrents !! En effet, si un bug soft arrive par exemple, il se produira au mme endroit et au mme
moment sur chaque systme sils sont similaires : a ne sert donc rien ! En mettant en parallle des
hard et des softs diffrents, effectuant les mme taches, on a la garantie quun bug soft ou hard ne se
rptera pas au mme moment sur les deux ou sur les trois systmes

41

FIN de Prsentation

Patrick MONASSIER
CESI 2009

42