Présentation
RÉSUMÉ
Cet article a pour objectif de présenter les principes de sécurisation pouvant être mis en oeuvre dans le cadre des systèmes mécatroniques, afin de réduire le risque de défaillance. Un système mécatronique est composé d'éléments de différentes natures : des composants mécaniques, électroniques et logiciels. Deux aspects particuliers sont abordés : les aspects "architecture matérielle" (composante électronique) et les aspects "application logicielle" (composante informatique). La sécurisation d'une architecture matérielle a été l'occasion de nombreux travaux, qui ont permis de définir différents mécanismes tels que la détection des défauts, la diversité, la redondance temporelle, la redondance du matériel, la redondance des données et la reprise.
Lire cet article issu d'une ressource documentaire complète, actualisée et validée par des comités scientifiques.
Lire l’articleAuteur(s)
-
Jean-Louis BOULANGER : Docteur en science de l'informatique - Évaluateur-Certificateur
INTRODUCTION
Les systèmes mécatroniques sont de plus en plus complexes et induisent par voie de conséquence des défaillances de plus en plus fréquentes qu'il faut combattre pour en limiter le risque par un ensemble de techniques qui sont regroupées sous le terme de sécurisation des systèmes. Notre intérêt se porte sur deux composantes des systèmes mécatroniques :
-
les aspects « architecture matérielle » (la composante électronique) ;
-
les aspects « application logicielle » (la composante informatique).
Le risque lié à la composante mécanique n'est pas traité ici et le lecteur se reportera au dossier concernant l'intégration de la sécurité à la conception des machines [BM 5 007].
Ce premier dossier [BM 8 070] fait essentiellement l'objet des techniques de sécurisation d'une architecture matérielle électronique, avec un rappel des principes de base de la sûreté de fonctionnement et de la définition des entraves pouvant impacter le bon fonctionnement d'un système. La norme IEC 61508 caractérise les exigences à mettre en œuvre pour démontrer la sécurité d'un système E/E/EP (électrique/électronique/électronique programmable). Cette norme a été déclinée pour différents domaines (ferroviaire, automobile...). Les techniques de mise en sécurité de ces architectures électroniques comme la détection des défauts, la diversité, la redondance temporelle, la redondance du matériel, la redondance des données et la reprise sont illustrées par des exemples qui sont tous des représentations d'applications réelles des différents domaines (aéronautique, ferroviaire, automobile, spatial, nucléaire...). Un deuxième dossier [BM 8 071] traite des techniques de sécurisation d'une application logicielle.
VERSIONS
- Version courante de déc. 2021 par Jean-Louis BOULANGER
DOI (Digital Object Identifier)
CET ARTICLE SE TROUVE ÉGALEMENT DANS :
Accueil > Ressources documentaires > Archives > [Archives] Véhicule et mobilité du futur > Sécurisation des systèmes mécatroniques. Partie 1 > Mise en sécurité d'une architecture matérielle électronique
Cet article fait partie de l’offre
Fonctions et composants mécaniques
(214 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Un Parcours Pratique
Opérationnel et didactique, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive
Présentation
3. Mise en sécurité d'une architecture matérielle électronique
Au niveau d'une architecture matérielle, la principale défaillance est liée à l'émission d'une sortie erronée. Il y a deux possibilités :
-
l'émission d'une sortie permissive à tort, qui engendre un problème de sécurité (exemple de la mise au vert d'un feu autorisant le passage d'un véhicule à tort) ;
-
l'émission d'une sortie restrictive à tort, qui engendre un problème de disponibilité (exemple des convois ferroviaires à l'arrêt).
En fonction de l'impact de l'absence de sortie, il est possible de définir deux familles de système :
-
les systèmes intègres ; il ne doit pas y avoir de sorties erronées (mauvaises données ou données correctes à un instant incorrect, etc.). Les systèmes intègres sont des systèmes où le processus est irréversible (exemple des transactions bancaires). Pour ce genre de système, il est préférable de s'arrêter plutôt que de mal fonctionner. Le système est dit fail-silent (fail-safe, fail-stop ) ;
-
les systèmes persistants ; la non-sortie d'une donnée correcte ne doit pas se produire. Les systèmes persistants sont des systèmes ne disposant pas d'état de repli, ce qui implique que l'absence de données entraîne la perte du contrôle. Pour ce type de système, il est préférable d'avoir quelques mauvaises données plutôt que pas du tout. Le système est dit fail-operate.
Un système intègre devient un système sûr si l'on dispose d'un état de repli qui peut être atteint de façon passive.
À titre d'exemple, dans le domaine ferroviaire, la moindre défaillance vient à couper l'alimentation d'énergie. Toutefois, le freinage du train n'est pas désactivé. Le train atteint donc de façon passive l'état de sécurité : « train à l'arrêt ».
3.1 Réinitialisation d'une unité de traitement
Dans le cadre de la discussion sur la persistance et l'intégrité, nous avons identifié la nécessité de disposer ou non d'un état de repli. Dans le cas d'un équipement intègre, le passage à l'état de repli est définitif. Dans le cadre de défaut fugitif, l'indisponibilité induite peut être inacceptable...
Cet article fait partie de l’offre
Fonctions et composants mécaniques
(214 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Un Parcours Pratique
Opérationnel et didactique, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive
Mise en sécurité d'une architecture matérielle électronique
BIBLIOGRAPHIE
-
(1) - ABRIAL (Jr.) - The B book – Assigning programs to meanings. - Cambridge University Press, Cambridge, août 1996.
-
(2) - BALEANI (M.), FERRARI (A.), MANGERUCA (L.), PERI (M.), PEZZINI (S.) - Fault-tolerant platforms for automotive safety critical applications. - Proceedings of the 2003 international conference on Compilers, architecture and synthesis for embedded systems, p. 170-177 (2003).
-
(3) - BIED-CHARRETON (D.) - Concepts de mise en sécurité des architectures informatiques. - Recherche Transports Sécurité, no 64, p. 21-36, juil.-sept. 1999.
-
(4) - DUFOUR (J.L.) - Automotive safety concepts : 10-9/h for less than 100E a piece. - Automation, Assistence and Embedded Real Time Platforms for Transportation, AAET, Braunschweig, Allemagne, 16-17 fév. 2005.
-
(5) - ESSAME (D.), ARLAT (J.), POWELL (D.) - Tolérance aux fautes dans les systèmes critiques. - Rapport LAAS, no 151, mars 2000.
-
...
DANS NOS BASES DOCUMENTAIRES
ANNEXES
Atelier B http://www.atelierb.eu
SCADE http://www.esterel-technologues.com/products/scade-suite
HAUT DE PAGE
VERIMAG concernant les langages synchrones et en particulier LUSTRE http://www-verimag.imag.fr/SYNCHRONE/index.php?page=lang-design
Société ESTEREL Technology commercialisant l'environnement SCADE http://www.esterel-technologies.com/
Société CLEARSY commercialisant l'atelier B http://www.clearsy.com
Société...
Cet article fait partie de l’offre
Fonctions et composants mécaniques
(214 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Un Parcours Pratique
Opérationnel et didactique, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive