CHAPITRE I CONTEXTE GÉNÉRAL ET CONCEPTS FONDAMENTAUX
II.2 L ’ INTÉGRITÉ DES COMMUNICATIONS DANS LES RÉSEAUX EMBARQUÉS
II.2 L’INTÉGRITÉ DES COMMUNICATIONS DANS LES
RÉSEAUX EMBARQUÉS
Pour assurer l’intégrité des communications, on peut observer aujourd’hui un ensemble de techniques et de mécanismes de détection ou de masquage d’erreurs (rappelons que le masquage sert à empêcher la propagation et l’effet de l’erreur sans la détecter, par exemple en transmettant le message n fois et en utilisant un système de vote) qui est déployé dans les réseaux embarqués. Puisqu’ils sont communément utilisés dans les systèmes embarqués critiques, nous allons décrire les mécanismes d’intégrité déployés dans les protocoles suivants : ARINC 429, MIL-STD-1553, AFDX, TTP/C, LIN, Flexray et CAN. Le focus de cette présentation porte sur ces mécanismes d’intégrité (on ne vise pas une description exhaustive de toutes les caractéristiques de ces protocoles), et il est limité aux solutions mises en place dans les domaines que ciblent nos travaux.
II.2.1 ARINC 429
L’ARINC 429 est un bus de données utilisé particulièrement dans le domaine avionique. Nous pouvons le retrouver, par exemple, dans les Airbus A310/A320 et A330/340, les Boeing (du 727 au 767) et dans les hélicoptères Bell. C’est un bus série simplex avec des canaux de communication permettant de transmettre la donnée dans un unique sens à la fois. ARINC 429 est basé sur des communications de bout en bout. La taille des messages échangés est égale à 32 bits dont 19 bits de charge utile. Pour assurer l’intégrité des communications, l’ARINC 429 implémente une redondance d’information (voir chapitre I, section I.3.3.4) consistant en un code de parité pour protéger toute la trame.
II.2.2 MIL-STD-1553
Le bus MIL-STD-1553 (« Aircraft Internal Time Division Command/Response Multiplex Databus ») est un bus de communication qui a été développé par l’armée américaine pour l’avion militaire F-16 en 1973. Il est communément utilisé dans le domaine avionique militaire ainsi que le domaine spatial [Fuchs 2012]. Les messages échangés contiennent 20 bits dont 16 bits de charge utile. Le MIL-STD-1553 implémente les mécanismes de détection d’erreurs suivants :
• une redondance d’information consistant en un bit de parité,
• une redondance matérielle basée sur la duplication des canaux de communication.
II.2.3 AFDX
Le bus AFDX (Avionics Full DupleX switched Ethernet) est une version de l’Ethernet plus fiable et plus redondante développée et installée dans l’Airbus 380. C’est un bus « Full duplex » redondant normalisé par la partie 7 de la norme ARINC 664. La taille de trame AFDX peut atteindre 1500 octets.
Pour assurer l’intégrité des communications, l’AFDX est basé sur :
• une redondance d’information consistant en un CRC 32 bits protégeant toute la trame, • une redondance matérielle basée sur la duplication des canaux de communication, ce
qui permet l’envoi de deux copies de la même donnée ; une erreur est détectée si les deux copies reçues sont différentes.
II.2.4 TTP/C
TTP (« Time Triggered Protocol TTP ») est basé sur une topologie en étoile duplex avec un contrôle d’accès au média de type TDMA (« Time Division Multiple Access »). Pour assurer l’intégrité des communications, TTP implémente :
• une redondance d’information consistant en un CRC-16 pour renforcer l’intégrité de toute la trame,
• une redondance matérielle dynamique qui sert à dupliquer les nœuds, les nœuds dupliqués ne seront mis en fonctionnement que si les nœuds principaux défaillent.
II.2.5 LIN
Le bus LIN (« Local Interconnect Network ») est un réseau embarqué principalement utilisé dans l’industrie automobile. C’est un réseau à faible coût parfois utilisé comme sous réseau du bus CAN. Il est basé sur la norme ISO 9141. Le bus LIN est basé sur une topologie de bus en série et caractérisé par un coût et une complexité faibles. Les messages échangés peuvent contenir jusqu’à 8 octets de charge utile (64 bits).
Pour assurer l’intégrité des communications, le bus LIN implémente comme mécanismes : • une redondance d’information consistant en une somme de contrôle arithmétique de
taille 8 bits [Rahmani et al. 2007], deux bits de parité pour protéger exclusivement le champ d’identificateur et un CRC protégeant toute la trame,
• un dispositif de contrôle : chaque émetteur utilise un dispositif de contrôle pour comparer le signal envoyé et le signal observé sur le canal de communication.
II.2.6 Flexray
Flexray est un protocole de bus de données utilisé dans l’automobile qui peut être basé sur une topologie en bus, en étoile ou hybride. FlexRay est un ensemble de standards ISO de 17458-1 à 17458-5. Les messages échangés dans Flexray peuvent contenir jusqu’à 254 octets de charge utile. Une trame Flexray est composée de 5 octets d’entête, d’un champ de données utiles et d’un champ de contrôle. Flexray présente moins de flexibilité que le CAN [Paulitsch & Hall 2008]. Les principaux mécanismes implémentés par FlexRay pour assurer l’intégrité des communications sont les suivants :
• une redondance d’information consistant en deux CRC différents utilisés pour chaque trame. Un CRC-11 est utilisé pour protéger l’entête, et un CRC-24 est utilisé pour protéger à la fois l’entête et les données utiles ;
• une redondance matérielle qui est la duplication des canaux de communication : les données sont envoyées simultanément via deux canaux de communication, une erreur est détectée si les deux copies reçues sont différentes ;
• un Gardien de bus : c’est un gardien de bus local qui a été conçu pour renforcer le contrôle temporel et qui a évolué pour une mise en œuvre compliquée comportant les mêmes capacités qu’un contrôleur de communication et ayant de grandes performances en détection d’erreurs.
II.2 l’intégrité des communications dans les réseaux embarqués 33
II.2.7 CAN
Ce bus est communément utilisé dans l’industrie et plus particulièrement dans l’automobile. Il est normalisé selon la norme ISO 11898. C’est un bus de diffusion basé sur la technique CSMA-CA. Les messages échangés via le bus CAN peuvent contenir jusqu’à 64 bits de charge utile. CAN permet la retransmission automatique des trames mais ne propose pas la redondance des canaux de communication. Le bus CAN implémente un ensemble de mécanismes et de mesures pour la détection d’erreurs [Paret 2007], dont les principaux ci- sont :
• Une redondance d’information consistant en un CRC : un CRC-15 dont le polynôme générateur est G(x) = x15+x14+x10+x8+x7+x4+x3+1.
• Un « Bit stuffing » : le CAN utilise une technique de bourrage qui consiste à ajouter un bit à 0 (respectivement un bit à 1) après chaque séquence de 5 bits à 1 (respectivement 5 bits à 0) consécutifs. Ainsi, une erreur est détectée si le message reçu contient une séquence de 6 bits similaires consécutifs. C’est une autre forme de redondance d’information.
• Un « Bus Monitoring » : l’émetteur vérifie si le signal qu’il désire envoyer correspond au signal observé sur le canal physique. S’il est différent, l’émetteur envoie une trame d’erreur. Ainsi à la destination, l’erreur est détectée.
• Un « Message Frame Check »: pour détecter les trames corrompues, le CAN procède aussi par la vérification de la structure de la trame pour voir si elle est conforme au standard et détecter la corruption de données (par exemple, vérifier si le premier bit reçu est un bit dominant).
En conclusion de cette présentation des principaux réseaux embarqués (sur lesquels s’appuient plusieurs systèmes embarqués critiques) et leurs principaux mécanismes d’intégrité des communications, nous pouvons constater que les réseaux embarqués sont sensibles à l’intégrité des données en implémentant différents mécanismes pour détecter ou pour masquer les erreurs, allant des plus basiques (bit de parité) jusqu’à une panoplie de mécanismes complexes comme pour le CAN. Cependant, ces mécanismes de détection seuls ne sont pas suffisants pour atteindre un bon niveau de couverture, car ils sont limités aux couches basses des réseaux de communication. Dans le contexte des systèmes ayant de fortes exigences en sûreté de fonctionnement en général et en intégrité des communications en particulier, il est primordial d’implémenter des mécanismes d’intégrité dans les couches hautes comme, par exemple, une approche d’intégrité bout en bout mise en œuvre dans la couche applicative. Dans ce qui suit, nous présentons quelques solutions existantes proposant des approches d’intégrité bout en bout dans l’objectif d’assurer l’intégrité des communications indépendamment des couches basses. Par conséquent, ces approches viennent compléter les mécanismes d’intégrité déployés dans les réseaux/protocoles des couches basses.