Modélisation et simulation comportementale en phases de définition et de conception pour la validation de systèmes de drone en vue de leur

certification.

Michel BARAT(ONERA/DTIM/MCT)ONERA 27 avenue de la Division Leclerc

92 Chatillon France

barat@onera.fr

tel. (33) 01 46 73 43 88

Mme Artzner,Mr G. Grenier Aérospatiale Matra

Utilisation des techniques et outils de validation dans le cycle de développement des logiciels ?

Tendance : réduire les coûts et la complexitéen introduisant des procédures de validation dès les phases amont

en sélectionnant un enchaînement de techniques complémentaires

Cahier des charges

Spec fonctionnelle

Spec SCADE des procédures

Codes unitaires

Codes intégrés

Validation des besoins

Validation des architectures

Validation des procédures

Validation des codes unitaires

Validation des codes intégrés

Simulation/Model-checking

Simulation/Model-checking

Analyse statique /Tests

Génération de code

Mission de drone HALE

Endurance : 24-32 h, Endurance sur zone : +15h, 2500KmAltitude : +60000ft

Échanges entre le Système drone et les autres systèmes

Station Pilote Station ExploitationCdC ou CLA

MTO

AéronefVHF/UHF

Ligne TC/TM

Ligne Imagerie(video+ Trafic Contrôle)

VHF/UHF(Radio+ Comm Auto)

SAHARA

SAHARA Simulateur d'Architectures Hétérogènes d'Agents et de Ressources Actives.

LADA LAngage de Description d'Architectures

description du système à étudier en LADA

Compilateur

Scénario Résultats

Visualisation modification interactivité

Simulateur

• Comprendre le fonctionnement d ’un système par les interactions entre ses composantes

• Deux simulateurs: • fonctionnel :

simule les interactions entre les composants du système.

•logico-matériel: même chose qu ’en fonctionnel + prise en compte du temps dû à la charge de ressource: calcul, mémoire et canal

• Conception itérative :modélisation,simulation,exploitation des résultats.

Caractéristiques de SAHARA

Systèmes : contraintes temporelles,fonctionnant en parallèle,réactifs à l'environnement,communicant entre eux,asynchrones,indéterministes.

SAHARA <> SDRT Esterel Statechar

SESWorkbench, Bones …

Modèle : asynchrone déterministe indéterministe stochastique

Modèles comparables Automates d'états Réseau de Pétri

Modèle SAHARA : préconditions

postconditions

Etat initial

Etat final

transition

Les fonctions

le type de la fonction (standard, CSA, interuptible, Anytime)les entrées et les sortiesle contextela transformation

pistemenace

messagemise à jour

Analysetactique

Description de niveau fonctionnel

Les données échangées:

( nom_donnée ((attribut valeur) ...(attribut valeur)))

Modélisation des comportements Ils transcrivent les données d ’entrées en données sorties. Ces productions peuvent être déterministes ou non déterministes.

(def_fonction identifier_produit (entrees produit produits_stockes produits_connus)(sorties produits_stockes produit_rejete nouveau_produit)(transformation(declencheur produit (20 oubli (produit) (produit_rejete)) (70 mise_a_jour (produit produits_stockes produits_connus) ((produits_stockes ((modifieur modifier)))) (10 creation (produits produits_connus) (( nouveau_produit ((name $produit.name))))))

sélecteur

fréquence nom du comportement

sortiesentrées

Description de niveau matériel

La description de niveau matériel consiste :

• à décrire les ressources : cpu, mémoire et canalcapacité, délai latencetype de ressources :

• répartition uniforme, à priorité pour les cpu et ram,• répartition uniforme, à priorité, préemptif, à diffusion pour les canaux

• à projeter l ’architecture de niveau fonctionnel sur l ’architecture matériel

Résultats de simulation

• les interactions entre composantes système,• des mesures sur les charges des ressources: charge instantanée, maximum, moyenne, délai d ’attente, délai de transit

Architecture de principe retenu pour la modélisation

Gestion BDD Aéronautique

G

C

S

input

G

C

S

output

IMAGESSA

G

C

B

input

G

C

B

output

Equipements GNC

PORTEUR

CU SSU

CDC

CLA

AERONEFS

X_porteur

TC PORTEUR(1)

TC

TC PORTEUR(0)

ETATS PORTEUR

X_porteur

Images(vidéo+TCAS+trafic)

liaisons aéronautiques

Réponse BDSAéro

REQUETE

PL

CDT

PILOTE

VHF / UHF

COMM AUTO

Opérateur pilote

Lia

ison

SSA

/ C

LA

TM

CU

X_ p

orteur

Destruction données CU ou

CU

Param

_contraintes_vols

Cal

cula

teur

/ G

esti

on d

e m

isio

n

Poste de Contrôles-Commandes

Etats EQMTSAutres

équipements

Etats Porteur

X-porteur

Cm

d GN

C

Dispositif de neutralisation

TC neutr

Equipements Surveillance

Etats SURV

TC neutr

TC neutr

Enregistreurs

Etats C

U

TC

CU

Etat GCB out

COMM AUTO

Image VideoImage traficImage TCAS

Etats G

NC

Etats P

orteur

Etat GCB in

Cmd SURV

Liai

son

imag

erie

Représentation graphique de l’architecture du drone

LDDM mise en route image traffic+TCAS sur ON [1i/2s]

-2000

0

2000

4000

6000

8000

10000

12000

0 100 200 300 400 500 600 700

temps (en pas de temps de 10 ms)

tau

x d

e ch

arg

e (%

)

Taux de Charge entre 0 et 2s

-2

0

2

4

6

8

10

12

14

0 50 100 150 200 250

taux,

Fonctionnement nominal de la liaison directe

Reconfiguration de la liaison image

L ’architecture du drone comporte deux liaisons sol/air:une liaison télémesures/télécommandes TC/TM(0.8Mb/s) et une liaison imagerie (10Mb/s).En cas de perte de la liaison imagerie, les images vidéo transitent par la liaison TC/TM mais ilest nécessaire de valider par simulation les paramètres d ’image :taille d ’image en pixels, codage pixel, facteur de compression et période d ’acquisition.

Taux charge fonction du temps Délai transit en fonction du temps

Delai TM

0

2

4

6

8

10

12

0 100 200 300 400 500 600 700

Delai hale5

Delai hale5-1

Délai de transit des télémesures

Pour le modèle hale5, la liaison direct est sans priorité,les TM étant en concurrence avec les images de délais de transit est de 100ms. Pour le modèle hale5-1 avec priorité et les TM sont prioritaires sur les images et le délais de transit reste constant à 10ms.

Delai Images hale5 hale5-1

0

2

4

6

8

10

12

14

0 100 200 300 400 500 600 700

Delai hale5

Delai hale5-1

Résultats de 2 simulations correspondant à la reconfiguration des communications en cas de perte de la liaison image.

Inversement pour les images, le délais de transit est de 110ms dans le cas de hale5 (pas de priorité) et de 120ms dans le cas de hale5-1(avec priorité aux TM)

Mise en pratique d ’une démarche pour la SdF

• Principes généraux

Niveaux de gravité : Catastrophique, Critique, Majeur, Mineur

Modes de contrôles : Gestion PA, Autonome, Procédurale, Assisté sol

Modes de replis sécuritaires : système :Poursuite, Report mission, Go/No Go, Mise en sécurité, Assistéporteur : Assisté sol , Poursuite du plan vol, Reconfigurationautres systèmes : Mise en attente, Obtention de moyens externes

Démarche d ’évaluation cas MALE/HALE

• Hypothèses sur les moyens de liaison :•liaison satellite SSA/Porteur : de 100Kb/s à 64Kb/s•liaisons HDCP et HDLP : 2Mb/s•liaison LDHP : 100 - 64Kb/s•liaison Secours : 10Kb/s à 1Kb/s

•Scénarios d ’évaluation

Phase de vol: Image trafic Vidéo Radio TM/état•mission Male nominale x - x x•mission Hale nominale x - - x•décollage/atterrissage nominale x x x x•mission Male dégradée x - - x•mission Hale dégradée - - - x

• Résultats d ’évaluation

Liaison descendante(640Kb/s) Délai spécifié Délai simuléX_porteur 1s 40msEtat_porteur 1s 40msImage trafic (800Kb) 2s 1250ms

Dimensionnement du mode dégradé

Cas de la liaison de secours 1kb/s mission MALE dégradé

Mode nominale Mode dégradéImage trafic 24 kb/s 30avions /s 200o/5s 2avions /5sTM_porteur

X_porteur 800 b/100ms 1X/100ms 800b/2s 1X /2sEtat_porteur 8kb/s 100param/s 1,2Kb/2s (40 param/2s)

Liaisons radio 2.4 kb/s téléphone

Apports de la modélisation et de la simulation

• détermination des délais d ’acheminement,

• calcul de la charge instantanée, du délai d ’attente en cas de concurrence à la ressource,

• prise en compte de délai de latence des relais (satellite, chemin de comm),

• évaluation du niveau de criticité de conflits d ’accès aux comm.,

• détermination des tailles, périodicités, facteurs de compression, niveaux de priorités des flux de données, en adéquation avec la capacité des ressources

En phase de conception, la démarche permet d ’appréhender le comportement du système dans ses différents modes de fonctionnement.