FR2810758A1 - Procede d'evaluation de la surete de fonctionnement d'un ensemble de systemes electroniques integres recevant et produisant des donnees - Google Patents

Procede d'evaluation de la surete de fonctionnement d'un ensemble de systemes electroniques integres recevant et produisant des donnees Download PDF

Info

Publication number
FR2810758A1
FR2810758A1 FR0008251A FR0008251A FR2810758A1 FR 2810758 A1 FR2810758 A1 FR 2810758A1 FR 0008251 A FR0008251 A FR 0008251A FR 0008251 A FR0008251 A FR 0008251A FR 2810758 A1 FR2810758 A1 FR 2810758A1
Authority
FR
France
Prior art keywords
data
functions
error
database
modes
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
FR0008251A
Other languages
English (en)
Other versions
FR2810758B1 (fr
Inventor
Annie Blondel
Samuel Boutin
Alexis Toulet
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Renault SAS
Original Assignee
Renault SAS
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Renault SAS filed Critical Renault SAS
Priority to FR0008251A priority Critical patent/FR2810758B1/fr
Priority to PCT/FR2001/001974 priority patent/WO2002001240A1/fr
Priority to EP01947585A priority patent/EP1309876A1/fr
Publication of FR2810758A1 publication Critical patent/FR2810758A1/fr
Application granted granted Critical
Publication of FR2810758B1 publication Critical patent/FR2810758B1/fr
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G01MEASURING; TESTING
    • G01RMEASURING ELECTRIC VARIABLES; MEASURING MAGNETIC VARIABLES
    • G01R31/00Arrangements for testing electric properties; Arrangements for locating electric faults; Arrangements for electrical testing characterised by what is being tested not provided for elsewhere
    • G01R31/28Testing of electronic circuits, e.g. by signal tracer
    • G01R31/317Testing of digital circuits
    • G01R31/3181Functional testing
    • G01R31/3183Generation of test inputs, e.g. test vectors, patterns or sequences
    • G01R31/318342Generation of test inputs, e.g. test vectors, patterns or sequences by preliminary fault modelling, e.g. analysis, simulation
    • G01R31/31835Analysis of test coverage or failure detectability
    • GPHYSICS
    • G01MEASURING; TESTING
    • G01RMEASURING ELECTRIC VARIABLES; MEASURING MAGNETIC VARIABLES
    • G01R31/00Arrangements for testing electric properties; Arrangements for locating electric faults; Arrangements for electrical testing characterised by what is being tested not provided for elsewhere
    • G01R31/28Testing of electronic circuits, e.g. by signal tracer
    • G01R31/317Testing of digital circuits
    • G01R31/31719Security aspects, e.g. preventing unauthorised access during test

Landscapes

  • Engineering & Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Security & Cryptography (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
  • Combined Controls Of Internal Combustion Engines (AREA)

Abstract

Suivant ce procédé, a) on constitue une base de données (A-E) décrivant l'architecture fonctionnelle dudit ensemble, b) pour chaque donnée (x i ) on recherche dans ladite base l'ensemble (XInfin ) des données potentiellement affectées par une erreur sur ladite données (x i ), (XInfin ) étant la limite, quand n tend vers l'infini, de la suite définie par la relation de récurrence : Xn+1 = Xn UG (F (Xn )) où- Xn est l'ensemble des données touchées par une erreur sur la donnée (x i ), après n applications des fonctions consommant (xi),- F (Xn ) 1'ensemble des fonctions qui prennent en argument au moins une donnée de 1'ensemble Xn , - G (F (Xn ) ) l'ensemble des données de sortie des fonctions de l'ensemble F (Xn ),et c) on identifie dans l'ensemble (XInfin ) de données ainsi déterminées, celles qui affectent la sûreté de fonctionnement dudit ensemble de systèmes électroniques et appellent la mise en place de mesures correctives, touchant soit la donnée (xi) soit les données touchées par la propagation de l'erreur sur ladite donnée (xi).

Description

La présente invention est relative à procédé d'évaluation de la sûreté de fonctionnement d'un ensemble de systèmes électroniques intégrés recevant et produisant des données incorporées, par exemple, à des messages matérialisés par des groupes de signaux numériques se propageant sur au moins un bus multiplexé commun.
On connaît des ensembles de systèmes électroniques de ce type, conçus notamment pour équiper des véhicules automobiles. Un tel véhicule comprend couramment plusieurs systèmes assurant chacun l'exécution d'une prestation telle que la commande du moteur propulsant le véhicule, la gestion de la climatisation de l'habitacle, la gestion des liaisons du véhicule au sol (freinage, suspension...), la gestion de communications téléphoniques, etc, etc...
On a schématisé à la figure 1 du dessin annexé les moyens matériels qui constituent l'ensemble de ces systèmes. Ces moyens comprennent essentiellement des unités de commande électroniques ou "calculateurs" chaque calculateur étant éventuellement connecté à capteurs Cni à des actionneurs Amj, tous les calculateurs étant connectés à un même bus B pour y émettre ou recevoir des informations convenablement multiplexées, en provenance ou à destination des autres calculateurs connectés au bus B.
Ce multiplexage est obtenu notamment, comme cela est bien connu pour le bus CAN par exemple, en introduisant les informations en cause dans des messages matérialisés par des trames de signaux numériques comprenant notamment un "champ identificateur" de ladite trame et un "champ de données" reunissant couramment plusieurs informations de natures différentes (pression, température, etc...) contenues chacune dans une partie prédéterminée de ce champ.
A titre d'exemple illustratif, le système S- de "commande du moteur" comprend le calculateur UCE2, plusieurs capteurs C2i sensibles à des grandeurs telles que le régime moteur, à combustion interne par exemple, la pression au collecteur d'admission de ce moteur, la pression de l'air extérieur, la température de l'eau de refroidissement du moteur, celle de l'air, l'état de charge de la batterie, etc, etc..., et plusieurs actionneurs A2@. Le calculateur UCE2 est dûment programmé pour exécuter plusieurs fonctions de commande du moteur telles que : la régulation de ralenti, la régulation de la richesse du mélange air/carburant, le réglage de l'avance à l'allumage de ce mélange et la recirculation des gaz d'échappement. Pour ce faire le calculateur UCE2 exploite des informations venues capteurs C2i précités et élabore des signaux de commande actionneurs A2j constitués par une vanne de commande d'air additionnel et une bobine d'allumage de bougie pour la fonction "régulation de ralenti", un injecteur de carburant pour la fonction "régulateur de richesse", la même bobine d'allumage pour la fonction "avance de l'allumage" et une vanne pour la fonction "recirculation de gaz d'échappement".
Les autres "prestations" évoquées ci-dessus, "climatisation de l'habitacle", "liaison avec le sol", etc.. sont exécutées par des systèmes d'architecture analogues à celle présentee ci-dessus pour la commande du moteur.
Tous ces systèmes mis en communication par un même bus B constituent un réseau multiplexé. On conçoit alors que plusieurs fonctions relevant de systèmes différents peuvent exploiter informations issues de mêmes capteurs, par exemple, qui évite de coûteuses redondances dans structure de l'ensemble des systèmes. L'utilisation d' réseau multiplexé permet aussi de réduire de manière très importante la longueur des lignes électriques interconnectant les différents éléments de l'ensemble. Un tel ensemble multiplexé permet aussi la mise en place de fonctions non classiques et éventuellement complexes faisant intervenir parfois plusieurs systèmes et dites pour cette raison "transversales". A titre d'exemple illustrati et non limitatif, la perception de l'information "sac d' (ou "airbag") déclenché", significative de ce que le véhicule a subi un choc, peut être traitée alors de manière à commander l'émission d'un appel au secours par un dispositif de téléphonie mobile embarqué dans le véhicule.
Un ensemble de systèmes électroniques du type décrit ci-dessus est, sous la poussée des progrès techniques, soumis à une constante évolution, tant dans sa phase de conception que dans ses versions successives postérieures à sa première mise sur le marché.
Ces évolutions peuvent résulter, exemple, de l'intégration dans le système de fonctions nouvelles, par exemple de fonctions dites de "deuxième niveau" telles que par exemple la fonction dite "ESP" visant à commander la stabilité du véhicule en virage à partir d'informations fournies par des fonctions de "premier niveau" (anti- patinage, anti-blocage de roues, commande du moteur, etc...). Ces évolutions peuvent aussi résulter de nécessité de modifier l'architecture de l'ensemble fonction des prestations différentes offertes par les différents véhicules d'une gamme de tels véhicules, de l'appartenance d'un véhicule particulier à tel ou tel "segment" ou catégorie de véhicules ("normale" ou "supérieure", par exemple), voire aussi de modifications logicielles ou matérielles apportées à une architecture donnée par le remplacement d'un calculateur spécifique, fourni par un équipementier, par un calculateur originaire d'un autre équipementier.
évolutions peuvent toucher un système seulement, voire élément ou une fonction de ce système. Il convient de pouvoir vérifier à tout moment la compatibilité des modifications apportées par une évolution particulière dudit système, dudit élément de système ou de ladite fonction, avec caractéristiques des autres systèmes de l'ensemble, notamment au niveau des circulations d'informations qui s'opèrent dans le réseau multiplexé. A cet effet, la demande de brevet français N 0004 déposée le 6 avril 2000 par la demanderesse décrit procédé de contrôle de la cohérence d'un ensemble de systèmes électroniques, permettant de contrôler automatiquement cette cohérence à tout moment, pendant la phase conception de l'ensemble par exemple, et d'indiquer éventuellement les corrections à apporter à l'ensemble pour assurer cette cohérence, ce qui permet une progression sûre de ladite phase de conception.
convient aussi, notamment pendant une telle phase de conception ou de développement d'un ensemble de systèmes électroniques embarqués dans un véhicule automobile, de pouvoir évaluer la sûreté de fonctionnement de l'ensemble, à tout moment de ces phases de conception ou de développement. Une telle évaluation est difficile à réaliser car, pendant de telles phases, les évolutions des différents calculateurs ou autres composants électroniques de l'ensemble sont difficiles à contrôler, ces évolutions résultant des travaux d'un grand nombre de personnes travaillant en parallèle.
Malgré cette difficulté, il est nécessaire, pour assurer la sûreté de fonctionnement de l'ensemble de systèmes électroniques, de pouvoir déterminer le périmètre d'impact d'une erreur détectée à l'intérieur de l'ensemble, activant un "mode dégradé" de traitement des informations qui prend en compte cette erreur, ou le périmètre d'impact d'une erreur non détectée par l'ensemble.
En matière d'analyse des défauts de fonctionnement sous-système formant partie d'un système électronique, connaît du brevet US 5 161 158 un appareil d'analyse de la propagation de tels défauts dans le système, comprenant une base de connaissances pour simuler le système, une interface utilisateur et un "moteur" d'analyse de défauts couplé auxdites base et interface, ce moteur comprenant une intelligence artificielle et un système expert permettant, par un traitement systématique de chaque erreur possible, de déterminer les sous-systèmes affectés par cette erreur.
Cet appareil, développé pour des systèmes d'avionique, n'est cependant pas adapté à l'étude d'un système dans lequel les échanges d'informations s'opèrent moyen d'un bus multiplexé installé dans un véhicule automobile, tel que décrit ci-dessus en liaison avec la figure 1. Par ailleurs le traitement d'une erreur par les moyens décrits dans l'appareil de US 5<B>161</B> 158 peut subir bouclage et donc ne pas permettre de déboucher sur un diagnostic.
Enfin, le traitement systématique décrit dans ce document n'est pas adapté à la détermination du périmètre impact maximal d'une erreur permettant, par exemple, de diagnostiquer que des fonctions considérées comme critiques ne sont pas affectées par des défaillances de fonctions qui ne le sont pas.
La présente invention a précisément pour but de fournir un procédé d'évaluation de la sûreté de fonctionnement d'un ensemble de systèmes électroniques intégrés, adapté à la production de tels diagnostics.
La présente invention a aussi pour but de fournir un procédé permettant de déterminer si fonctions distribuées dans l'ensemble peuvent être 'ettes à des défaillances d'impact trop large, du point de vue de la sûreté de fonctionnement du système. I1 en ainsi, par exemple, quand des défaillances de fonctions mineures ont un impact sur des fonctions plus critiques.
On atteint ces buts de l'invention, ainsi que d'autres qui apparaîtront à la lecture de description qui va suivre, avec un procédé d'évaluation de la sûreté de fonctionnement d'un ensemble de système électronique intégré recevant et produisant des données (xi), ce procédé étant remarquable en ce que a) on constitue une base de données décrivant l'architecture fonctionnelle dudit ensemble, b) pour chaque donnée (xi) on recherche dans ladite base l'ensemble (X.) des données potentiellement affectées par une erreur sur ladite données (xi), (Xo) étant la limite, quand n tend vers l'infini, de la suite définie par la relation de récurrence Xn+l X'a U"(1"(Xn où .
- est l'ensemble des données touchées par erreur la donnée (xi), après n application des fonctions consommant (xi) , - F(XJ l'ensemble des fonctions qui prennent en argument au moins une donnée de l'ensemble - (F(X")) l'ensemble des données de sortie des fonctions de l'ensemble F (X,,), et on identifie dans l'ensemble (X,,,) données ainsi déterminées, celles qui affectent la sûreté de fonctionnement dudit ensemble de systèmes électroniques et appellent la mise en place de mesures correctives, touchant soit la donnée (xi) soit les données touchées par la propagation de l'erreur sur ladite donnée (xi .
Suivant d'autres caractéristiques optionnelles du procédé selon l'invention - pour la recherche de l'ensemble de données(X,,), on limite l'ensemble G(F(X")) aux données de sortie des fonctions de l'ensemble F(X,) de fonctions qui sont sensiblement affectées par une erreur sur données l'ensemble (X,,) , - base de données utilisée comprend 1 ) table "fonctions", définissant toutes les fonctions exécutées par l'ensemble de systèmes électroniques, 2 ) une table "données" définissant les différentes données échangées par lesdites fonctions, 3 ) une table "liens fonctions-données" qui définit les liens entre données et fonctions et, 4 ) une table "modes contenant la liste des modes dans lesquels peuvent trouver les données, - la base de données comprend en outre une table "Modes-données-valeurs" qui définit les valeurs particulières prises par chaque donnée dans chacun ses différents modes, - lesdites données sont transmises dans ledit ensemble de systèmes électroniques sous la forme de trames de signaux numériques comportant des moyens d'identification du mode dans lequel se trouve la donnée transmise, - la base de données comprend en outre une table "modes dégradés", définissant les conditions dans lesquelles une des fonctions dudit ensemble est remplacée par une version dégradée de ladite fonction.
D'autres caractéristiques de la présente invention apparaîtront à la lecture de la description qui va suivre et à l'examen du dessin annexé dans lequel - la figure 1 est un schéma d'un ensemble de systèmes électroniques dont on se propose d'étudier la sûreté de fonctionnement par le procédé suivant la présente invention, cet ensemble étant décrit dans le préambule de la présente description, et - la figure 2 est un schéma d'organisation de la base de données utilisée dans le procédé suivant l'invention.
Suivant la présente invention, cette base de données rassemble toutes les informations permettant de décrire l'architecture fonctionnelle de l'ensemble de systèmes électroniques.
Suivant la présente invention, également, on constitue un outil logiciel propre à interroger la base de données, par voie de requêtes, de manière à exécuter les algorithmes de recherche d'impact d'erreur décrits ci- dessous. A titre d'exemple illustratif et non limitatif, on pourra utiliser à cet effet le langage de requête SQL, bien connu de l'homme de métier.
Si est un objet de la base de données, on note dans la suite F(x) une requête sur x, par exemple la requete "ensemble des fonctions dont une entrée est x". On utilise la notation majuscule X pour dénommer un ensemble donné. F(X) alors l'union des ensembles F(x) pour x appartenant à X. Ceci est cohérent avec l'exploitation requêtes d'une base de données puisque le résultat d' requête un ensemble de solutions. Comme les résultats de plusieurs requêtes sur des éléments homogènes sont homogènes on peut parler de leur union ou réunion.
Dans l'ensemble de systèmes électroniques considéré, une erreur sur une donnée peut être détectable ou non, l'ensemble pouvant en effet comprendre des moyens de détection d'erreur sur certaines données. La reconnaissance d'une telle erreur commande automatiquement le traitement de la donnée ainsi dégradée, voire absente, par une plusieurs fonctions conçues par s'accommoder d'une telle dégradation. D'autres erreurs, au contraire, ne peuvent être détectées par les systèmes de l'ensemble. L'étude de la sûreté de fonctionnement de cet ensemble passe donc par la recherche de l'impact d'une erreur sur une donnée, successivement dans les cas d'une erreur non détectée et d'une erreur détectée.
<U>Algorithme de recherche de l'impact d'une erreur non</U> <U>détectée</U> l'ensemble <U>de systèmes électroniques.</U>
Si considère une donnée xi (i de 1 à p) particulière produite ou consommée par une ou plusieurs fonctions de l'ensemble, on note - F(xi) la requête "ensemble des fonctions qui prennent la donnée xi en argument" - G(f) la requête "ensemble des sorties de la fonction f".
peut écrire alors X, <I≥</I> {x, {U G(F(X, <I>))</I> X1 étant l'ensemble des données potentiellement affectées par erreur sur xi, après application, au moins une fois, de chacune des fonctions consommant la donnee xi.
On définit de même <I>X, = X, U</I> G(F(X, <I>))</I> l'ensemble X= des données potentiellement affectees après que toutes les fonctions consommant xi soient appliquées au moins deux fois.
On tire de ce qui précède la suite récurrente d'ensembles de données (X., ... Xn, Xn+i...) telle que Xo = { xi } et X., <I≥</I> X,, <I>U</I> G(F(X,,)) où - est l'ensemble des données touchées par erreur la donnée (xi) après n applications des fonctions consommant (xi), - F(Xn) est l'ensemble des fonctions qui prennent en argument au moins une donnée de l'ensemble et - (F(Xn)) l'ensemble des données de sortie des fonctions de l'ensemble F(Xn).
appelle X,-, la limite quand n tend vers de la suite Xn, X,, désignant ainsi l'ensemble des données potentiellement affectées par une erreur sur xi F(X.C) l'ensemble des fonctions potentiellement affectees par cette erreur.
I1 faut évidemment s'assurer de l'existence X,,, et de ce que l'ensemble trouvé G(F(X,,,)) de données est un sous-ensemble propre de X,,,,. le premier point il est clair que X,, ç X",1. Par ailleurs, X" étant inclus dans l'ensemble des données de l'ensemble de systèmes électroniques, il existe un indice N pour lequel XN+1 = XN.
s'ensuit que XN+2 <I≥ U</I> G(F(XA,-, <I>)) =</I> X#, <I>U</I> G(F(Xh,) <I≥</I> X@,+, <I>-</I> X, I1 en résulte, par récurrence, que Xcl = XN, qui démontre l'existence de X,,.
Sur le deuxième point, puisque X,,+,=XN UG(F(X,)), on tire, substituant X,, à XN+1 et XN X, <I≥</I> X. UG(F(X.)) lecture de cette égalité de la droite vers la gauche fait apparaître que tout élément de G(F j appartient à X,,, et donc que G (F X,,,) ) est un sous-ensemble propre de X..
Ayant ainsi établi la composition de l'ensemble données X., on identifie dans cet ensemble de données celles qui affectent la sûreté de fonctionnement de l'ensemble de systèmes électroniques étudié, et qui appellent la mise en place de mesures correctives touchant soit xi, soit les données touchées par la propagation de l'erreur sur xi.
L'ensemble X,, ainsi trouvé peut être très important, beaucoup plus que l'observation des réactions effectives de l'ensemble de systèmes électroniques, à une erreur sur une donnée x; particulière, ne peut le laisser prévoir. La raison en est que l'impact de certaines variables d'une fonction peut être mineur, par exemple d'un ordre de grandeur inférieur à celui d'autres variables de cette fonction. Suivant la présente invention, peut alors réduire l'importance de l'ensemble de donnees Xc à étudier du point de vue de la sûreté de fonctionnement de l'ensemble de systèmes électroniques, en affinant la requête G(F(Xn)). Pour ce faire on définit celle-ci comme recherche de l'ensemble des sorties des fonctions de l'ensemble F(X,) qui sont<U>sensiblement</U> affectées par une erreur sur les données de l'ensemble Pour s'assurer qu'aucune erreur détectable sur une donnée ne peut affecter une fonction critique, on utilise l'algorithme de recherche impact d'erreur non détectée pour toutes les données produites par des fonctions mineures, c'est-à-dire l'appliquant à l'ensemble Xm de toutes ces données. Ceci revient à écrire Xo=Xr", et à réutiliser l'algorithme defini précédemment. I1 suffit alors de vérifier que F ne contient aucune fonction critique.
<U>Algorithme de recherche de l'impact d'une erreur détectée</U> <U>par l'ensemble de systèmes électroniques</U> Pour certaines fonctions exécutées par des systèmes de cet ensemble, lorsqu'une des donnees variables xi de la fonction est affectée d'une erreur, il y a remplacement de cette fonction f par une autre fonction f' dite "dégradée", conçue pour pallier le fait que xi est en erreur. Ce fait peut être signalé par la valeur même prise par xi, ou par un bit d'état associé à x;.
L'ensemble des variables d'entrée de la fonction f' est différent de celui de la fonction f. Les variables de sortie de f' sont, au moins pour certaines, évidemment affectées par la non disponibilité de la variable xi en erreur. Le niveau de qualité de ces sorties peut ressortir de la valeur qui leur est donnée, ou bits d'état. C'est ainsi que l'impact de l'erreur sur peut être limité à une baisse de précision sur certaines des sorties de la fonction f', plutôt qu'à une perte totale de sortie. On reprend alors l'algorithme de recherche d'impact décrit ci-dessus en cas d'erreur non détectée, en remplaçant la fonction f par la fonction "dégradée" f'. La requête F doit maintenant prendre en compte la ou les fonctions dégradées et la requête G doit intégrer le fait que certaines des sorties de ces fonctions dégradées ne sont plus fournies à leur meilleur niveau de précision.
On se réfere maintenant à la figure 2 du dessin annexé pour décrire les différents objets de la base de données sur laquelle sont formulées les requêtes définies ci-dessus. Cette base contient - une table A "fonctions" qui contient toutes les fonctions l'ensemble de systèmes électroniques, correspondant à une situation normale ou dégradée. Pour chaque fonction, la table comprend outre les éléments d'identification Fonction Id et Nom Fonction, son niveau de criticité. La fonction peut ainsi en allant au plus simple, être caractérisée comme étant "critique" ou "non critique".
- une table "données", définissant les différentes données échangées par les fonctions, par liaison filaire ou, comme décrit en préambule de la présente description, par liaison multiplexée. La table contient éléments d'identification de chaque donnée.
- Une table C "liens-fonctions-données" qui définit les liens entre données et fonctions. Chaque élément de la table un quadruplet (fonction f, donnée xi, indicateur ' produite/consommée, mode m).
Si i indique "produite", f produit la donnée xi dans le mode m. Si i indique "consommée", f consomme la donnée xi dans le mode m.
Si la fonction f ne correspond ni à un mode dégradé ni à un mode transitoire (lié à une phase de fonctionnement particulière, d'initialisation par exemple), mode m sera "normal" pour toutes les données produites consommées par f.
- Une table D "modes-dégradés" qui définit conditions dans lesquelles s'opère le passage d' fonction à l'un de ses modes dégradés. Chaque élément de la table est un quadruplet (donnée xi, mode m, fonction f, fonction dégradée f'). Ceci implique que la fonction dégradée f' consomme la donnée xi dans le mode m et non plus dans le mode qu'exigeait la fonction f pour cette donnée xi.
- Une table E "Modes-Données-Valeurs" qui définit valeurs particulières prises par une donnée, dans différents modes, le cas échéant.
- Une table "Modes" qui contient la liste des modes dans lesquels peuvent se trouver les données. Les modes peuvent correspondre à des niveaux de qualité différents pour la production d'une donnée, correspondant à des situations plus ou moins dégradées, ou à des phases transitoires (initialisation etc...) .
En qui concerne la table D, relative au passage d'une fonction f à une fonction dégradée f', on notera que la fonction f' peut elle aussi avoir un mode dégradé f", au cas ou une autre entrée de f' serait elle-même dégradée ou invalidee. Les requêtes posées sur la base de données doivent alors établir un bouclage sur la table D pour suivre la propagation d'erreurs dans tous les modes dégradés possibles intervenant à la suite d'une erreur sur une ou plusieurs des entrées de la fonction f, ou de la fonction f .
Deux listes de données sont nécessaires pour décrire le mode dégradé d'une fonction : 1) les nouvelles données d'entrée avec leur mode attendu, "normal" pour certaines et pour d'autres non, 2) les nouvelles données de sortie pour lesquelles le mode sera aussi "normal" ou non. Ces deux listes peuvent être tirées des tables A, B et C. comparaison avec les entrées et sorties de la fonction dégradée permet de repérer les sorties dégradées et donc les directions dans lesquelles la propagation d'une erreur doit être suivie.
Pour illustrer le procédé suivant l'invention, décrit ci-dessous, à titre évidemment illustratif et non limitatif, un exemple d'une situation pouvant être rencontrée dans le contexte d'un véhicule automobile, analysée par le procédé d'évaluation de sûreté de fonctionnement selon l'invention.
<U>Exemple.</U> Par hypothèse le véhicule est muni, notamment, d'un calculateur de gestion du moteur, d'un dispositif d'anti- blocage des roues permettant le maintien du contrôle de la trajectoire du véhicule par le conducteur, et d'une boîte de vitesses automatique (BVA). Une séquence d'événements pouvant intervenir dans ce contexte est la suivante : un des capteurs délivrant des signaux au calculateur de gestion du moteur tombe en panne et empêche le calcul, par ce dernier, du couple délivré par le moteur. La donnée "couple" passe alors en valeur "invalide". I1 s'ensuit que le contrôle de trajectoire subit une dégradation légère, la fonction correspondante passant en un mode dégradé. Cependant la non-disponibilité du couple a aussi pour consequence de faire passer la gestion de la BVA en mode "refuge", ce passage inhibant totalement le contrôle de trajectoire qui passe dans un mode dégradé correspondant en fait à une totale indisponibilité de ce contrôle.
On formalise cet enchaînement de conséquence en notant f1, fet f; la fonction "gestion du moteur", la fonction "contrôle de trajectoire" et la fonction "gestion BVA" respectivement, x1, x2 la donnée "couple réel", et la donnée "mode de gestion BVA" respectivement. Ainsi l'événement à l'origine de l'enchaînement décrit ci-dessus est l'impossibilité pour<B>fi</B> de fournir x1 à son meilleur niveau de précision, comme suite à la panne de l'un des capteurs associé à la gestion du moteur Ceci se modélise en posant que<B>fi</B> passe dans un mode dégradé f', fournissant x1 dans le mode "invalide" et non dans mode "normal". Il s'ensuit que f2 et f3 passent dans les modes dégrades f'2 et f'3 respectivement, f'3 fournissant alors x3 dans un mode différent de celui dans lesquels f3 fournit normalement x3 (la valeur "refuge" particulière de x2 ayant des conséquences pour la sûreté de fonctionnement, on lui associe un mode particulier) . Or le passage de x2 dans ce mode refuge" provoque l'inhibition complète de f,;> qui passe mode dégradé f"2, dans lequel toutes les données produites par f2 sont invalides, cette dernière fonction ayant ainsi subi deux dégradations successives.
Lorsqu'on met en ceuvre le procédé selon l'invention dans le contexte d'un ensemble de systèmes électroniques embarqués dans un véhicule automobile par exemple, doit tenir compte de ce que cet ensemble évolue constamment pour s'adapter aux progrès techniques rapides de l'industrie automobile. Comme on l'a indiqué en préambule de la présente description, l'architecture d'un tel ensemble évolue alors constamment, tant pendant la phase de conception de l'ensemble, qu'après la première commercialisation du véhicule. Cette évolution peut concerner un ou plusieurs systèmes ou parties de systèmes, placés sous la responsabilité de personnes différentes. I1 est évidemment nécessaire qu'une personne qui modifie le système ou la partie de système dont elle est responsable, puisse s'assurer que cette modification ne dégrade pas la sûreté de fonctionnement de l'ensemble des systèmes. Une telle dégradation est en effet possible étant donné les multiples échanges de données qui s'opèrent entre ces systèmes, intégrés dans un réseau multiplexé. Les personnes responsables évoquees ci-dessus disposent d'une base de données intégrant toutes les informations permettant de décrire structurellement et fonctionnellement l'ensemble, y compris celles comprises dans les tables de la figure 2.
Chaque responsable d'un système ou d'une partie de système est ainsi également responsable de la mise à jour d'un groupe de tables associées au système ou à ladite partie du système. En cas de modification, les tables correspondantes sont mises à jour ces tables servent à leur tour à mettre à jour la base de données. Le langage de requête évoqué ci-dessus permet alors d'interroger la base mise à jour de manière à évaluer l'impact de la modification sur la sûreté de fonctionnement de 'ensemble de systèmes électroniques étudié ci-dessus. En de non satisfaction des règles posées en la matière, le logiciel en diagnostique les causes pour permettre aux personnes responsables d'y porter remède.
Il apparaît maintenant que la présente invention permet bien d'atteindre le but fixé, à savoir permettre la réalisation automatique d'une évaluation de la sûreté de fonctionnement d'un ensemble de systèmes électroniques, aussi bien en phase de conception de celui-ci qu'en phase d'exploitation, et ceci après toute modification affectant la structure ou le fonctionnement de l'ensemble.
Bien entendu l'invention n'est pas limitée au mode de réalisation décrit et représenté qui n'a été donné qu'à titre d'exemple. C'est ainsi que l'invention est applicable dans toute industrie à l'évaluation de la sûreté de fonctionnement de tout ensemble de systèmes électroniques multiplexés, quel que soit le type du réseau utilisé pour le multiplexage, le réseau CAN évoqué ' dessus pouvant être remplacé par un réseau VAN, par exemple De même les messages transportant les informations circulant dans le réseau pourraient être constitués autrement que par des trames d'informations numériques, par exemple des intervalles de temps définis statiquement dans le d'un bus TDMA (de l'anglais Time Division Multiple Access) c'est-à-dire un bus pour lequel l'échange entre deux calculateurs se fait dans un intervalle de temps défini à 'avance entre les deux calculateurs, ou encore par des plages de fréquences pour des média de type FDMA (de l'anglais Frequency Division Multiple Access) est-à-dire des média pour lesquels l'échange de données fait à des plages fréquences convenues à l'avance entre les deux calculateurs.

Claims (1)

  1. <U>REVENDICATIONS</U> Procédé d'évaluation de la sûreté de fonctionnement d'un ensemble de systèmes électroniques intégrés recevant et produisant des données (xi), ce procédé étant caractérisé en ce que on constitue une base de données (A-E) décrivant l'architecture fonctionnelle dudit ensemble, b) pour chaque donnée (xi), on recherche dans ladite base l'ensemble (X,,) des données potentiellement affectées par une erreur sur ladite donnée (xi), (Xx) étant la limite, quand n tend vers l'infini, de la suite définie par la relation de récurrence X,t+, <I≥ X,,</I> UG(F(Xn)) où . - est l'ensemble des données touchées par une erreur la donnée (xi), après n applications des fonctions consommant (xi), - F(XR) l'ensemble des fonctions qui prennent en argument au moins une donnée de l'ensemble X", - G(F(XJ) l'ensemble des données sortie des fonctions de l'ensemble F(Xn), et c) on identifie dans l'ensemble de données ainsi déterminées, celles qui affectent sûreté de fonctionnement dudit ensemble de systèmes électroniques et appellent la mise en place de mesures correctives, touchant soit la donnée (xi) soit les données touchées par la propagation de l'erreur sur ladite donnée . 2. Procédé conforme à la revendication 1, caractérisé en ce que, pour la recherche de l'ensemble de données (X,,), on limite l'ensemble G(F(XR) aux données de sortie des fonctions de l'ensemble F(Xn) fonctions qui sont sensiblement affectées par une erreur les données de l'ensemble (X") . 3. Procédé conforme à l'une quelconque des revendications 1 et 2, caractérisé en ce que ladite base de donnee comprend 1) une table "fonctions", définissant toutes les fonctions exécutées par ledit ensemble de systèmes électroniques, 2) une table "données" définissant les différentes données échangées par lesdites fonctions, 3) une table "liens fonctions-données" qui définit les liens entre données et fonctions, et 4) une table modes" contenant la liste des modes dans lesquels peuvent se trouver les données. 4. Procédé conforme à la revendication 3, caractérisé en ce que ladite base de données comprend en outre table "Modes-données-valeurs" qui définit les valeurs particulières prises par chaque donnée dans chacun de ses différents modes. 5. Procédé conforme à la revendication 4, caractérisé en ce que lesdites données sont transmises dans ledit ensemble de systèmes électroniques sous la forme de trames de signaux numériques comportant des moyens d'identification du mode dans lequel se trouve la donnée transmise. 6. Procédé conforme à l'une quelconque des revendications 1 à 5, caractérisé en ce que ladite base de données comprend une table "modes dégradés", définissant les conditions dans lesquelles une des fonctions dudit ensemble est remplacée par une version dégradée f') de ladite fonction.
FR0008251A 2000-06-27 2000-06-27 Procede d'evaluation de la surete de fonctionnement d'un ensemble de systemes electroniques integres recevant et produisant des donnees Expired - Fee Related FR2810758B1 (fr)

Priority Applications (3)

Application Number Priority Date Filing Date Title
FR0008251A FR2810758B1 (fr) 2000-06-27 2000-06-27 Procede d'evaluation de la surete de fonctionnement d'un ensemble de systemes electroniques integres recevant et produisant des donnees
PCT/FR2001/001974 WO2002001240A1 (fr) 2000-06-27 2001-06-22 Procede d'evaluation de la surete de fonctionnement d'un ensemble de systemes eectroniques integres recevant et produisant des donnees
EP01947585A EP1309876A1 (fr) 2000-06-27 2001-06-22 Procede d'evaluation de la surete de fonctionnement d'un ensemble de systemes eectroniques integres recevant et produisant des donnees

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
FR0008251A FR2810758B1 (fr) 2000-06-27 2000-06-27 Procede d'evaluation de la surete de fonctionnement d'un ensemble de systemes electroniques integres recevant et produisant des donnees

Publications (2)

Publication Number Publication Date
FR2810758A1 true FR2810758A1 (fr) 2001-12-28
FR2810758B1 FR2810758B1 (fr) 2002-10-11

Family

ID=8851749

Family Applications (1)

Application Number Title Priority Date Filing Date
FR0008251A Expired - Fee Related FR2810758B1 (fr) 2000-06-27 2000-06-27 Procede d'evaluation de la surete de fonctionnement d'un ensemble de systemes electroniques integres recevant et produisant des donnees

Country Status (3)

Country Link
EP (1) EP1309876A1 (fr)
FR (1) FR2810758B1 (fr)
WO (1) WO2002001240A1 (fr)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4766595A (en) * 1986-11-26 1988-08-23 Allied-Signal Inc. Fault diagnostic system incorporating behavior models
US5822218A (en) * 1996-08-27 1998-10-13 Clemson University Systems, methods and computer program products for prediction of defect-related failures in integrated circuits

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4766595A (en) * 1986-11-26 1988-08-23 Allied-Signal Inc. Fault diagnostic system incorporating behavior models
US5822218A (en) * 1996-08-27 1998-10-13 Clemson University Systems, methods and computer program products for prediction of defect-related failures in integrated circuits

Also Published As

Publication number Publication date
WO2002001240A1 (fr) 2002-01-03
EP1309876A1 (fr) 2003-05-14
FR2810758B1 (fr) 2002-10-11

Similar Documents

Publication Publication Date Title
US5835871A (en) Method and system for diagnosing and reporting failure of a vehicle emission test
EP1953614B1 (fr) Procédé de surveillance de moteurs d&#39;avion
EP1569176B1 (fr) Système opérateur et méthode d&#39;identification d&#39;état au moyen de fichiers
US20110178674A1 (en) Method for detecting leaks in a tank system
SE510029C2 (sv) Diagnossystem i ett driftsystem för motorer jämte en diagnosfunktionsmodul (DF-modul) i ett driftsystem för motorer
FR3078791A1 (fr) Outil de diagnostic calculateur
FR2826744A1 (fr) Procede et dispositif de surveillance du fonctionnement d&#39;un systeme
US11466638B2 (en) Sensor diagnostic procedure
FR3028068A1 (fr) Procede, equipement et systeme d’aide au diagnostic
RU2622777C2 (ru) Способ обнаружения самовольного нарушения настройки
WO2004059519A2 (fr) Procede de diagnostic de defaut de fonctionnement d’un ensemble de systemes electroniques
FR2810758A1 (fr) Procede d&#39;evaluation de la surete de fonctionnement d&#39;un ensemble de systemes electroniques integres recevant et produisant des donnees
FR2920558A1 (fr) Procede et systeme de diagnostic du dysfonctionnement d&#39;un vehicule automobile
EP1451655B1 (fr) Procede de diagnostic de defauts de fonctionnement d&#39;un ensemble de systemes electroniques, notamment dans un vehicule automobile
EP1573412B1 (fr) Procede de diagnostic de defauts de fonctionnement d une arc hitecture fonctionnelle
FR2925408A1 (fr) Procede de gestion de dysfonctionnements d&#39;un systeme de controle a architecture modulaire d&#39;un groupe motopropulseur de vehicule automobile et systeme de controle correspondant
FR2970947A1 (fr) Equipement a surveillance integree remplacable en escale et architecture distribuee comprenant un tel equipement
FR3064390A1 (fr) Vehicule automobile equipe d’un ordinateur de bord et d’un outil de diagnostic
EP4379681A1 (fr) Procédé de détection, de prédiction et de prévention de l&#39;apparition de défaillances et de contrôle de continuité de véhicules, système mettant en oeuvre ledit procédé et dispositif utilisé dans ledit système
EP1673733A1 (fr) Systeme de diagnostic predictif des dysfonctionnements d&#39;un vehicule automobile et son dispositf de diagnostic embarque
EP0697638A1 (fr) Procédé de détection des séquences complètes et des séquences d&#39;échec dans un système de reconnaissance de situations
EP4058365B1 (fr) Dispositif et procede de gestion d&#39;une flotte de dispositifs de communication d&#39;information pour mise a jour d&#39;un jumeau numerique d&#39;une turbomachine
FR2807531A1 (fr) Procede de controle de la coherence d&#39;un ensemble de systemes electroniques integres
EP1431855A2 (fr) Procédé de diagnostic de défauts de fonctionnement d&#39;un ensemble de fonctions
FR2923040A1 (fr) Procede de diagnostic d&#39;un calculateur

Legal Events

Date Code Title Description
TP Transmission of property
ST Notification of lapse

Effective date: 20080229