|
|
|
 |
Description de l'événement |
|
Journée d'étude : La sécurité et la fiabilité des systèmes électroniques face aux ruptures technologiques exigées par la génération des véhicules décarbonés
Compiègne - Université de Technologie
17 Juin 2010
|
PROGRAMME
|
08:30
|
Accueil des participants / Welcoming
|
|
09:00
|
Allocution de bienvenue / Welcome speech
P. SCHIMMERLING, Président de la Section Technique Qualité Fiabilité de la SIA
P-O. CHARREYRON, Président de l’Université de Technologie de Compiègne
|
|
SESSION 1: LA MAITRISE DE LA SECURITE ET DE LA FIABILITE POUR LES TECHNOLOGIES ELECTRONIQUES INNOVANTES/SECURITY AND RELIABILITY MANAGEMENT FOR INNOVATIV ELECTRONICAL TECHNOLOGIES
J-M. ROURE – Valeo
T. KITOUNI – Delphi
|
|
09:15
|
Présentation des techniques de mesures des effets des sollicitations thermiques et vibratoires développées dans le cadre du projet Audace pour maîtriser la fiabilité des systèmes mécatroniques
Measurement Technics of thermal and vibratory effects, developed within the frame of AUDACE project in order to achieve mecatronical reliability
P. POUGNET – Valeo
D. BORZA – INSA Rouen
J-P. ROUX – CEVAA
Les systèmes mécatroniques sont soumis en service à des sollicitations simultanées sévères : cycles de température de forte amplitude, gradient de température élevés, vibrations et chocs dans une bande de fréquence large, présence et absorption d’humidité, perturbations électromagnétiques. Ces sollicitations provoquent des modes de défaillance qui ne sont pas toujours compris ni analysés. Pour faire face aux spécifications croissantes de fiabilité et de durabilité exigées il est nécessaire de progresser dans la compréhension de ces modes de défaillance.
Le projet AUDACE du Pôle de compétitivité Mov'eo a pour but de proposer aux équipementiers et constructeurs automobiles membres du Pôle Mov’eo ainsi qu’aux différents acteurs de la filière aéronautique et spatiale de Haute Normandie une méthodologie de conception de systèmes mécatroniques qui permette de fabriquer des produits robustes et durables.
L’approche proposée dans AUDACE pour maîtriser la fiabilité des systèmes mécatroniques nouveaux ou innovant est basée sur l’expérimentation. Elle consiste à :
- réaliser des essais (aggravés ou accélérés) permettant de révéler les maillons faibles de la robustesse du produit;
- caractériser ces défauts;
- identifier, et analyser les mécanismes de défaillance;
- modéliser ces mécanismes de défaillance;
- apporter les améliorations nécessaires pour faire face aux exigences de fiabilité;
- vérifier l’efficacité de ces améliorations.
Le succès de cette méthode dépend de l’aptitude à disposer de techniques performantes de caractérisation .des effets des sollicitations exercées en essais aggravés et accéléré. Dans le cadre d’AUDACE des nouvelles techniques expérimentales de mesures sont développées pour caractériser les effets des sollicitations thermiques et vibratoires:
- des techniques optiques de champs à l’INSA de Rouen;
- des caractérisations des modes propres (fréquence de résonance) par vibrométrie à balayage laser 3D au CEVAA.
Nous allons présenter ces techniques et décrire dans un cas concret (analyse de défaillance en essai accéléré d’un composant d’une carte électronique automobile) ce qu’elles peuvent apporter à la compréhension des mécanismes de défaillance.
|
|
09:45
|
Qualification des leds de puissances pour les fonctions éclairages
Qualification of Power leds for the lighting functions.
D. CHARDAIRE, Z. ZOJCESKI – Valeo
L’évolution technologique permanente des leds puissances obligent une vieille technologique permanente. La qualification rapide de nouvelles technos et références est un élément clé afin de pouvoir en faire bénéficier au plus vite nos clients tout en garantissant le niveau de qualité identique aux technologies éprouvées.
Au cours de cette présentation, nous présenterons notre méthode de qualification par la technologie. Cette méthode vient en complément des informations fournisseurs parfois incomplète. Sur chaque nouvelle référence, nous réalisons des études et analyses afin :
- identifier les technologies mise en œuvre
- valider les technologies par rapport aux problématiques d’intégrations et de conception d’un projecteur
Notre présentation s’appuiera sur 2 ou 3 cas concrets en application sur nos produits. Ces exemples illustreront l’efficacité de notre méthodologie dans l‘anticipation des difficultés de conception et l’orientation nos choix de technologies de leds à mettre en œuvre.
|
|
10:15
|
Spécification des exigences de fiabilité et sécurité
Reliability and Security requirement specifications
G. ZEPPA – Delphi
Dans le contrôle moteur Diésel, la gestion des exigences fonctionnelles s’accompagne d’exigences particulières sur la sécurité liées aux profils de mission en particulier concernant les effets contraire à la volonté conducteur (accélération ou décélération non voulues).
Les évolutions technologiques se synchronisent sur les changements de standard d’émissions, Eurox et concernent :
- La complexité croissante des systèmes qui apportent des informations plus nombreuses dont les traitements demandent plus de rapidité et de précision (facteur de 3 à chaque passage de niveau du standard Eurox sur les exigences et les données)
- Les processus de développement qui migrent vers une modélisation fonctionnelle par la recherche des comportements physiques du système (Model based), et évoluent vers une simulation amont pour s’assurer de répondre aux exigences de robustesse et de fiabilité (SIL, HIL).
- Les modèles de développement ou le logiciel est devenu un produit et s’assemble selon des standards (AUTOSAR) à partir de composants fonctionnels de fournisseurs multiples.
- La nécessité de progrès pour atteindre des niveaux toujours plus haut de qualité (robustesse sécurité et fiabilité principalement)
Les réponses sont multiples :
- Evolutions des microcontrôleurs : 16 bits > 32 bits > multicoeurs
- Evolutions des gestions mémoires : flash > cache > partages > intégrités
- Evolutions des stratégies embarquées de contrôle hard et soft : Watchdog > Diagnostiques > données sécurisées > redondances > enregistrements et analyses post mortem> suivi continu de l’accélération
- Evolutions des processus et des outils : AMDEC > FTA > Suivi constant et Gestion des exigences > analyses statiques de code (recherche des exceptions) MISRA
- Evolutions des métiers dans l’électronique Automobile:
- Architecture ++ (Autosar)
- Codage - - (Autocode)
- Validations : Operations sur bancs - - au profit des Simulations
- Sécurité et fiabilité ++ (ISO26262)
Pour EURO6 Delphi Diesel a défini un process intégrant
- Etude Safety en amont sur le system complet d’injection incluant capteurs actuateurs et Calculateurs.
- Suivi au plus près de la norme connue ISO26262 pour l’organisation : Expertise - Formation
- Utilisation maximale de la conception model based
- Utilisation optimale de l’autocode (fonction des performances exigées)
- Renforcement des fonctions safety au-delà de l’événement redouté d’accélération intempestive
- Imposition d’utiliser des outils d’analyse statique (MISRA / POLYSPACE)
|
|
10:45
|
Pause / Coffee Break
|
|
SESSION 2 LA CONSTRUCTION ET LA DEMONSTRATION DE LA SECURITE / SECURITY ENGINEERING AND VALIDATION
N. BECKER – PSA
J-M. ASTRUC – Continental Automotive France
|
|
11:15
|
Toward the application of ISO 26262 on real-life mechatronic systems
N. BECKER – PSA Peugeot Citroën
J-M. ASTRUC – Continental Automotive France
The utilization of the future standard ISO26262 for the development of real-life embedded systems in the automotive industry raises several issues :
The scope of the standard is dedicated to electric / electronic technologies, whereas real-life systems comprise components of mechanical, hydraulic and other technologies. The compliance with the standard and the consistency of the safety case need to address this coexistence.
The development of real-life systems seldom follows an academic V-cycle model, but must cope with preexisting components that may have not been developed according to ISO26262, with generic developments of platform components without target application, etc. The application of the standard needs to address these different use cases to produce simultaneously the right design and the proper safety case.
|
|
12:00
|
Independence and non-interference: two cardinal concepts to develop EE architectures hosting safety-critical systems
M. LEEMAN – Valeo
Constant introduction of new functionalities that are electronically controlled increases complexity of EE architectures of new cars. Moreover, an important part of these functionalities is safety-related. To ensure safety, redundancy is used to a certain level in automotive EE architectures. In redundant architectures, independence between redundant components is required. Another contradictory parameter is cost. A way to reduce recurrent costs is to reduce the number of Electronic Control Units (ECU). This trend may impose cohabitation of safety-related and non-safety-related functions in the same ECU. In such a case, non-safety-related functions must not interfere with safety-related functions.
The EASIS project clarified typology of dependent failures (Common Cause Failures, Common Mode Failures and Cascading Failures). Typology of dependent failures is a key concept used within ISO26262 safety standard. A presentation of this typology supported with concrete examples will be used to introduce a discussion on dependent failure analysis and bring in the distinction between the concepts of independence and absence of interference. Independence of EE architectural elements is required particularly between two architectural elements implementing a function and its associated safety mechanism. Absence of interference which is less demanding than independence is required to allow architectural elements of different criticality to cohabit (among others, safety-related elements and non-safety-related elements). Typical EE automotive examples will support this discussion
|
|
12:30
|
Example of Trucks Hybrid specific electronic function verification using Hardware In the Loop (HIL) simulation tool
S. RENARD - Volvo Trucks
Current requirements of ecology and mobility are at the basis of the project development of hybrid powertains. The Volvo Group has chosen a parallel hybrid powertrain solution for its buses, trucks and refuse vehicles. This new technology involves new hardware for the control of the complete driveline and requires good software controller verification. That is why a particular attention must be paid in specifying adapted tools to ensure the maximum quality of control strategies. These strategies are implemented in several embedded ECU (Electronic Control Units), whose behaviour has to be first checked aside at ECU level and then jointly at system level.
In this paper, we will focus on a systematic reasoning to obtain a suited test bench for covering the complete software specifications. The HIL (Hardware In the Loop) test bench enables the ECU environment in real time to be simulated and their closed loop behaviour in wished situations to be studied. Based on ECU and system specifications, the method describes how to define the HIL platform in terms of hardware interface and internal behaviour (models) in a sufficient way.
In the context of hybrid software system, we will show with one example in the shape of one Trucks Hybrid paralell specific electronic feature and how the implementation of this verification method has lead to the development of well sized simulation models. Then the result of a representative ECU validation will be presented. Based on this result, we will finally conclude with an evaluation of the efficiency of this method.
|
|
13:00
|
Déjeuner / Lunch
|
|
SESSION 3 CONSTRUCTION ET VALIDATION DE LA FIABILITE / RELIABILITY ENGINEERING AND VALIDATION
P. BLANCART – PSA Peugeot Citroën
G-M. MARTIN – SIA, Président de la Section Technique Electronique Embarquée et Systèmes
|
|
14:30
|
Comment garantit-on la « Sureté de fonctionnement des Systèmes mécatroniques constitués de plusieurs strates de conception » (ex : le Groupe Motopropulseur – GMP) » ? / How to guarantee the Dependability of mecatronic systems constituted by several design strata " (ex: the Powertrain - GMP) "
J-F. UZAN – PSA Peugeot Citroën
Assurer la Sureté de fonctionnement d’un Système mécatronique tel qu’un GMP se fait en 4 étapes:
1. Identifier et Objectiver les Evénements Redoutés (ER) du Système étudié, en réalisant son Analyse Préliminaire de Risques (APR). Cette analyse complète et confirme les exigences dysfonctionnelles provenant de la strate amont du Système, dans notre cas le véhicule. Donnée d’entrée : Analyse Fonctionnelle externe (AFe);
2. Allouer l’ensemble des exigences dysfonctionnelles, sous forme d’ER, aux sous-systèmes contributeurs à l’apparition des ER Systèmes, via la construction des Arbres de Défaillances (AdD) ou/et l’Analyse des Modes de Défaillance des composants et de leurs Effets sur le Système (AMDE Système) Données d’entrées : Analyse Fonctionnelle interne (AFi) et Matrice des modes et états du Système;
3. Concevoir les diagnostics et Modes Dégradés (mode de protection, mode de reconfiguration,…) Sous-systèmes et Système, pour chacune des défaillances des sous-systèmes (ER Sous-système) entraînant un risque de Sécurité, tout en assurant la disponibilité maximale pour le Client. Et ainsi, assurer la cohérence entre l’ensemble des stratégies palliatives Sous-systèmes. Cette analyse est réalisée en amont des études des sous-systèmes ; Donnée d’entrée : ER Sous-systèmes
4. Evaluer l’impact (ER Sous-système) de la défaillance des flux fonctionnels en entrée de chaque Sous-système (Boîte noire). Et ainsi, allouer les exigences dysfonctionnelles (taux d’occurrence de défaillance, valeur de remplacement, stratégie de reconstruction,…) sur ces flux d’entrée. Cette analyse préliminaire est affiner et valider par l’analyse de Disponibilité et de Sécurité des lois de Contrôle Commande du Système. Donnée d’entrée : Architecture Fonctionnelle Système.
L’ensemble de ces exigences est intégré dans les Cahiers des Charges des Sous-systèmes du GMP. En complément de ces études, il est, également, spécifié des exigences fonctionnelles, dit de « Sécurité », permettant d’éviter l’apparition d’ER système ou diminuer le temps d’exposition aux risques en cas de défaillance Système.
|
| 15:00 |
Méthodologie FIDES, une réponse aux besoins de prévisions de la fiabilité des composants électroniques de technologie récente / Methodology FIDES, an answer to the needs of reliability forecasts for the electronic components of recent technology
M. PELLOQUIN - MBDA
M. GIRAUDEAU - Thales Aerospace
Les méthodologies prévisionnelles de fiabilité précédentes telles que le la MIL-HDBK-217F (américaine) ou le RDF (Recueil de Données de Fiabilité français), étaient basés sur l’exploitation du retour d’expérience de la fiabilité opérationnelle des composants.
Les taux de défaillances observés étant de l’ordre de 1/106 à 1/109 heures, les mesures portant sur un échantillonnage par sous famille de composant limité, les temps de mesures pouvaient être très long pour pouvoir déterminer des valeurs de taux de défaillance avec des niveaux de confiance satisfaisants (Plusieurs années).
Le traitement de ces données et la détermination des paramètres des modèles prenait également un temps important d’où des mises à jour très éloignées et coûteuses. La conséquence immédiate était que les technologies pour lesquelles des prévisions pouvaient être faites par ces méthodes prévisionnelles étaient déjà obsolètes dès leur mise en place, donc inexploitables pour les nouveaux développements pour lesquels des valeurs précises étaient attendues sur les toutes dernières technologies. Un autre phénomène portait sur l’obtention de taux de défaillance pessimistes car entre le début de la période d’observation et la sortie des recueils, les technologies, à fonctionnalités égale s’étaient améliorée s d’un point de vue fiabilité.
La nouvelle méthodologie de fiabilité prévisionnelle FIDES, basée sur la physique de défaillance, permet d’utiliser les données des fabricants de composants pour paramétrer les modèles sur les nouvelles technologies dont on a que peu de retours.
L’objet de la communication est de présenter les carences des anciens recueils et les avantages de la méthodologie FIDES.
Seront présentés sur la méthodologie FIDES :
- Les principes généraux de la méthodologie
- Les paramètres pris en compte
- La notion de profil de vie
- Présentation d’un modèle
- Les aspects processus
- Les nouveautés du guide FIDES 2009
- FIDES et le domaine Automobile
- La structure de maintien et de développement FIDES
|
|
15:30
|
Ingénierie des Incertitudes pour la Fiabilité des Systèmes électroniques
Uncertainty Engineering for Electronic system reliability
T. YALAMAS, J. DEREFFYE - Phimeca Engineering,
F. MANGEAN - EADS IW
Après une première partie orientée sur une présentation didactique de la méthodologie incertitude dans un premier temps, l’exposé se concentrera plus particulièrement sur le cas des systèmes électroniques.
Nous présenterons l’intérêt et les limites des recueils de données fiabilité sur les composants électroniques (MIL HDBK 217, la norme RDF 2000 et la méthodologie FIDES): le problème de la fiabilité des systèmes électroniques n’est pas traité en temps que telle et les problèmes particuliers relatifs à la tenue des semi-conducteurs ne sont pas traités non plus.
Le présent exposé sera axé sur ces deux points. On abordera les différents modes de défaillances des semi-conducteurs en montrant leurs liens avec la physique des jonctions et en quoi les modèles actuels de fonctionnement des semi-conducteurs ne sont pas adaptés à l’analyse de leurs défaillances. On abordera la fiabilité des cartes électroniques en indiquant des pistes d’amélioration de la méthodologie FIDES dans ce sens.
|
|
16:00
|
Pause / Break
|
|
16:30
|
Validation de la fiabilité des systèmes électroniques innovants : ce qui change et ce qui ne change pas
Reliability validation of innovativ electronic systems : what is changing and not changing.
P. SCHIMMERLING - Renault
Les générations de véhicules décarbonnées impose l’utilisation de nouveaux composants et de nouvelles technologies en rupture avec l’existant. Leur introduction pose une question cruciale aux équipes en charge de leur développement : comment s’assurer que ces innovations auront une fiabilité en clientèle satisfaisante ? Cette question conduit à reconcevoir les plans de validation sans disposer de retours clientèle.
Des orientations méthodologiques se dégagent de l’analyse de la fiabilité de plusieurs innovations: l’élimination du plomb dans les circuits électroniques, les nouvelles batteries, les composants traversés par des courants intenses (module d’alimentation, rotor de moteur électrique ...).
Nous rappelleront les méthodes fondamentales, qui ne changent pas : elles permettent d’estimer et valider la fiabilité d’un composant pour des modes de défaillance bien identifiés grâce au recours à des essais accélérés,
Nous insisterons sur ce qui change, en particulier :
- le surcroit d’effort nécessaire pour caractériser la résistance des matériaux et les profils de mission
- les compléments apportés par la validation des systèmes
- le recalage nécessaire des modèles prévisionnels de fiabilité à organiser
Nous évoquerons enfin les questions ouvertes n’ayant pas encore reçu de réponse technique éprouvée.
|
|
17:00
|
Electronique embarquée dans l’automobile, diagnosticabilité et fiabilité
Embedded automotiv electronics , diagnosticability and reliability
M. SHAWKY - Laboratoire Heudiasyc, UTC
Afin de garantir les qualités de fiabilité et de maintenabilité d’un système électronique à base de calculateurs, l’analyse des pannes fonctionnelles doit être effectuée en étudiant l’arborescence des pannes possibles. Or, de nouvelles méthodologies sont aujourd’hui envisageables grâce à l’ingénierie basée-modèle devenant de plus en plus une pratique courante dans les équipes de R&D des équipementiers et constructeurs automobiles. Dans ces nouvelles approches, un modèle de diagnosticabilité fonctionnelle est mis au point pour l’ensemble des pannes dont l’identification est requise.
Dans cette présentation, nous allons proposer les bases d’une méthodologie, qui permet, à partir de ce modèle de diagnosticabilité fonctionnelle, de vérifier si l’architecture électronique sur laquelle la fonction est implantée lui est bien compatible. Deux phases d’analyse peuvent être distinguées : une phase statique prenant en compte les attributs de l’architecture, y compris les capacités des calculateurs et leurs interconnexions. Ensuite, une deuxième phase permet d’analyser le comportement du système par le biais de simulations multi-modèles avec des scénarios ciblés, qui permettent de calculer un certain nombre d’indicateurs, comme l’observabilité et l’accessibilité des divers éléments du code informatique ou de l’architecture. Nous terminerons par la présentation des avantages et des limites de cette approche, ainsi que par les perspectives de développement.
|
|
17:30
|
Synthèse de la journée / Synthesis
M. SOULAS – Directeur de la DIESE, Renault
|
|
18:00
|
Fin de la conférence / End of conference
|
|
|
