l’ADN4SE est un projet de recherche et développement débuté en septembre 2012 et financé dans le cadre des IA-BGLE, il s’est terminé en décembre 2015 et a regroupé 12 industriels : Sherpa Engineering (coordinateur), Safran, Schneider Electric, Alstom Transport, CEA-Saclay, CETIM, Krono-Safe (porteur de projet), BA Systèmes, Obeo, Itris Automation Square, INRIA Rocquencourt et notre laboratoire de conception et d’intégration des systèmes (LCIS) comme le montre la Figure 1.5.
Figure 1.5 – Atelier de Développement & Noyau pour Systèmes Embarqués : Projet R&D Budget global : 16,9 M euro
Funding : 7,2 M euro Durée : 40 mois
Call : Fonds National pour la société Numérique (FSN) Date début : Septembre 2012
Coordinateur : Sherpa engineering
L’objectif du projet ADN4SE portait sur la réduction des coûts de conception des logiciels embarqués en fournissant des outils de développement logiciel, de blocs logiciels génériques et des démonstrateurs (aéronautique, ferroviaire et d’automatisation industrielle) les mettant en œuvre en assurant un très haut niveau de sûreté logicielle.
1.5. Présentation du contexte industriel
1.5.1 Tâche du laboratoire LCIS
Dans le cadre du démonstrateur ascenseur (D2) pour le projet ADN4SE, nous avons analysé un cas de transition du composant électrique/électromécanique vers des composants électro-niques communicants en réseaux. Nous nous sommes focalisés sur un élément de sécurité (chaîne de sécurité) qui est un ensemble de contacts en série, dont l’objectif est d’autoriser ou non le déplacement de la cabine d’ascenseur. Le présent système a pour objectif d’assurer la sécurité de la cabine d’un ascenseur.
Actuellement cette chaîne de sécurité repose sur des dispositifs électromécaniques comme le montre la Figure 1.6. Celle-ci nécessite donc un grand nombre de câbles qui ont un impact direct sur le coût du produit ainsi que sur sa complexité d’installation et donc son coût d’installation. Schneider Electric (partenaire dans le projet ADN4SE) fournit un certain nombre de ces équi-pements tels que des contacteurs et des variateurs de vitesse. Sprinte (constructeur d’ascenseurs et partenaire dans l’ADN4SE) est de ce point de vue un client et un intégrateur de différents produits, dont ceux de Schneider Electric.
Figure 1.6 – Chaîne de sécurité dans les ascenseurs français.
Dans un souci d’économie (réduction des coûts d’installation, de maintenance, de certification . . . ) et de modernisation (gain en fiabilité, robustesse, évolutivité, capacité à détecter et identifier les défauts . . . ), nous souhaitons réaliser les fonctions de sécurité nécessaires non plus par des moyens électromécaniques mais via un programmable electronic system (PES). L’objectif du démonstrateur D2 est de concevoir et développer les fonctions de sécurité d’un ascenseur par des systèmes électroniques utilisant le noyau temps réel déterministe KronOS et les outils associés avec un objectif de certification vis-a-vis de la norme PESSRAL (en français “Conception et mise
au point des systèmes électroniques programmables dans les applications liées à la sécurité des ascenseurs”).
Nous nous sommes impliqués dans la conception des interfaces de communication de sécurité en proposant un modèle de simulation correspondant à une pile de communication propre à respecter la SdF et adaptée au noyau déterministe, pour la monter sur un ascenseur. L’objectif de ce démonstrateur est donc de concevoir un PESSRAL en intégrant les éléments suivants :
— Usage d’un bus sécurité certifié SIL3. — Application de la norme IEC 61508.
— Héberger des fonctions critiques et non critiques sur le même microcontrôleur.
— Capacité à intégrer des fonctions tierces non critiques sans remettre en cause la certification des fonctions critiques.
Pour atteindre notre objectif, nous avons pu identifier quelques contraintes qui doivent être satisfaites dans la réalisation du système :
Contraintes structurelles Le système électronique programmable ( PES en anglais) est consti-tué de deux sous systèmes contrôle sécurité cabine (CSC) et contrôle sécurité machinerie (CSM). Ces deux sous systèmes communiquent via un bus sécurisé.
Contraintes d’évolution À terme, cette réalisation servira de base à la réalisation industrielle d’un système de protection électronique et numérique pour ascenseur.
Contraintes de développement L’OS utilisé est KronOS. Le langage de programmation est PsyC pour la description des modules (agents) et C pour le comportement des modules. La chaîne d’outillage de la société Krono-safe sera utilisée.
Contraintes de qualité Le démonstrateur doit se conformer à la norme PESSRAL en matière de sûreté de fonctionnement. Le niveau d’intégrité de sécurité le plus élevé étant SIL3.
1.5.2 Apport de Kron-OS en matière de SdF
La capacité de cloisonnement spatial et temporel fournie par le noyau Kron-OS nous per-met d’intégrer les fonctions critiques et non critiques dans la même application. L’architecture logicielle a été orientée dans ce sens. La cohabitation de plusieurs SIL de niveau d’intégrité de sécurité différent dans le même PES est rendu de la même manière possible. La non interférence des fonctions critiques et non critiques est assurée par l’architecture (modularité, interface) et par l’OS (cloisonnement spatial et temporel).
Notre objectif est d’assurer le niveau de sécurité SIL3 sur l’ensemble de la chaîne de sécurité, ceci avec un seul canal de communication. Par conséquent, nous devons proposer un modèle de communication temps réel qui satisfasse les exigences normatives relatives au système de communication (éventuellement atteindre le niveau SIL3). Dans un but de simplification, notre réseau doit véhiculer des messages critiques et non critiques. L’intégration de la pile protocolaire sous Kron-OS ne doit pas constituer un trop gros effort d’intégration.
Un certain nombre de choix a été réalisé en respectant le périmètre restrictif du démonstra-teur. Ces choix sont soumis aux contraintes suivantes :
— Contraintes logicielles (compatibilité de Kron-OS avec certains microcontrôleurs, disponi-bilité de la pile de communication pour le modèle de communication proposé).
— Coût des équipements.
— Disponibilité de certains équipements (ex : variateur de vitesse). — Niveau de certification des équipements.