Systèmes résilients pour l'automobile : d'une approche à composants à une approche à objets de la tolérance aux fautes adaptative sur ROS

A l’instar du telephone mobile evoluant en smartphone, la voiture s’est transformee petit a petit en smartcar. Les aides a la conduite, l’infotainment ou encore la personnalisation du vehicule sont les points clefs de l’attractivite aupres des consommateurs. L’apparition des vehicules automobiles connectes a permis aux constructeurs de mettre a jour a distance les logiciels embarques, favorisant leur maintenabilite et l’ajout a posteriori de fonctionnalites. Dans ce contexte, le consortium AUTOSAR, un regroupement de constructeurs automobiles majeurs, a concu une nouvelle plate-forme logicielle facilitant la mise a jour a distance et la modification en ligne de ces systemes embarques. Cependant, avec de plus en plus de complexite dans ces logiciels, il est devenu essentiel de pouvoir assurer un service sur de fonctionnement malgre des changements imprevus. Ainsi, les mecanismes de surete de fonctionnement doivent eux aussi s’adapter et etre mis a jour pour assurer la resilience du systeme, a savoir, la persistance de la surete de fonctionnement face a des changements. Les mecanismes de tolerance aux fautes (Fault Tolerance Mechanisms - FTM) assurant un service nominal ou degrade en presence de fautes doivent egalement s’adapter face a un changement de contexte applicatif (changement du modele de faute, des caracteristiques de l’application ou des ressources disponibles). Cette capacite a adapter les FTM est appelee Tolerance aux Fautes Adaptative (Adaptive Fault Tolerance – AFT). C’est dans ce contexte d’evolution et d’adaptativite que s’inscrivent nos travaux de these. Dans cette these, nous presentons des approches pour developper des systemes surs de fonctionnement dont les FTM peuvent s’adapter a l’execution par des modifications plus ou moins a grain fin pour minimiser l’impact sur l’execution de l’application. Nous proposons une premiere solution basee sur une approche par composants substituables, nous decomposons nos FTM selon un schema de conception Before-Proceed-After regroupant respectivement les actions de surete de fonctionnement s’executant avant une action l’application, la communication avec l’application et celles s’executant apres une action de l’application. Nous implementons cette approche sur ROS (Robot Operating System), un intergiciel pour la robotique permettant de creer des applications sous forme de graphe de composants. Nous proposons ensuite une seconde solution dans laquelle nous affinons la granularite des composants de nos FTM et nous categorisons, dans un premier temps, les actions de surete de fonctionnement qu’ils contiennent. Cela permet non plus de substituer un composant mais une action elementaire. Ainsi, nous pallions a un probleme de ressource apparu dans l’approche par composants substituables. Un composant etant projete sur un processus, nos FTM utilisent inutilement des ressources deja limitees sur les plate-formes embarques. Pour ce faire, nous proposons une solution base sur une approche par objets ordonnancables. Les FTM passent d’une conception par graphe de composants a une conception par graphe d’objets. Les actions de surete de fonctionnement sont projetes sur des objets qui sont ordonnances a l’interieur du FTM. Cette seconde solution est aussi mise en oeuvre sur ROS. Enfin, nous faisons une analyse critique des deux supports d’execution logiciel pour l’automobile, a savoir, AUTOSAR Classic Plateform, et AUTOSAR Adaptive Platform, qui est en cours de developpement encore actuellement. Nous examinons, dans une derniere etape la compatibilite entre ces deux supports et nos approches pour concevoir des systemes resilients embarques bases sur de la tolerance aux fautes adaptative.