transparents pdf

1
La Certification de la Sécurité
des Automatismes de METEOR
Francis BOSCHAT
Ce document est la propriété de la RATP. Il ne peut être reproduit ou communiqué sans son autorisation écrite/RATP exclusive property
2
un mot sur METEOR
Francis BOSCHAT
Ce document est la propriété de la RATP. Il ne peut être reproduit ou communiqué sans son autorisation écrite/RATP exclusive property
3
Le projet METEOR, c'est ...
• un système automatique complexe fortement intégré
matériel roulant, équipements électriques, infrastructures, automatismes
• quatres sous-systèmes dans l'automatisme
audiovisuel, PCC et logique traction, portes palières, pilotage autom./signalisation
• la mixité des circulations et l'indifférence à
l'orientation des trains
• une architecture répartie de calculateurs redondés
1 PAL (ligne), 5 PAS (sections), des PAE (embarqués)
Francis BOSCHAT
Ce document est la propriété de la RATP. Il ne peut être reproduit ou communiqué sans son autorisation écrite/RATP exclusive property
4
un projet complexe
• 4 sous systèmes principaux, 7 phases, un marché organisé
en lots liés à ce découpage
• un plan de management précis et une organisation
matricielle
• 450 tâches principales
• 3 000 documents contractuels et 140 000 pages de courrier
• une arborescence technique, base de la gestion électronique
des documents et de la gestion de configuration
Francis BOSCHAT
Ce document est la propriété de la RATP. Il ne peut être reproduit ou communiqué sans son autorisation écrite/RATP exclusive property
5
... et c'est aussi ...
• devenu la ligne 14 du métro le 15 oct. 1998
• 7,2 km de ligne exploitée, de Madeleine à la
Bibliothèque François Mitterrand
• dès maintenant une capacité de 25 000
voyageurs par heure et par sens
• 19 trains de 6 voitures (extension à 8 voitures
prévue)
• une vitesse commerciale de 40 km/h
Francis BOSCHAT
Ce document est la propriété de la RATP. Il ne peut être reproduit ou communiqué sans son autorisation écrite/RATP exclusive property
6
Construire la sécurité
Francis BOSCHAT
Ce document est la propriété de la RATP. Il ne peut être reproduit ou communiqué sans son autorisation écrite/RATP exclusive property
7
Le processus de construction de la
sécurité repose sur :
• la prise en compte des objectifs de sécurité dès la
conception
• une démarche continue et itérative développée dès
le début du projet
• la diversité des méthodes, des outils et
l'indépendance des équipes, à la fois chez le
constructeur et à la RATP
• la traçabilité de l'ensemble des travaux de
conception, de réalisation et de validation
Francis BOSCHAT
Ce document est la propriété de la RATP. Il ne peut être reproduit ou communiqué sans son autorisation écrite/RATP exclusive property
8
une démarche descendante
• du système dans son environnement jusqu'au
composant matériel ou logiciel
• une analyse fonctionnelle raffinée par étapes
• une analyse organique tenant compte des
choix de conception
• des analyses transversales pour vérifier la
cohérence
Francis BOSCHAT
Ce document est la propriété de la RATP. Il ne peut être reproduit ou communiqué sans son autorisation écrite/RATP exclusive property
9
trois tâches complémentaires
• avoir une conception sure
– deux équipes distinctes chez le constructeur, pour la conception et
la validation
– des méthodes approuvées et des résultats formalisés
– un engagement du constructeur
• contrôler cette conception
– la bonne application des méthodes approuvées
– la qualité des résultats obtenus et leur trace documentaire
• faire une validation indépendante (certification)
– par des méthodes approuvées et des résultats contrôlés et
formalisés
– un engagement de la RATP
Francis BOSCHAT
Ce document est la propriété de la RATP. Il ne peut être reproduit ou communiqué sans son autorisation écrite/RATP exclusive property
10
en pratique, sur METEOR
Francis BOSCHAT
Ce document est la propriété de la RATP. Il ne peut être reproduit ou communiqué sans son autorisation écrite/RATP exclusive property
11
Réaliser par l'Informatique des
Fonctions de Sécurité
• des spécifications sûres
par la validation fonctionnelle
• des logiciels exempts d'erreurs
par la conception formelle et les tests
• une protection contre les erreurs à l'exécution
par la technique du monoprocesseur codé
Francis BOSCHAT
Ce document est la propriété de la RATP. Il ne peut être reproduit ou communiqué sans son autorisation écrite/RATP exclusive property
12
le Calculateur de METEOR
• Une exigence: le Monoprocesseur Codé
• Un nouveau calculateur: DIGISAFE
– pour une puissance de calcul accrue
– contenant des innovations majeures:
• la mise en réseau des entrées/sorties
• l'utilisation de circuits intégrés spécifiques (ASICs)
dans des fonctions de sécurité
• un coprocesseur (ASIC) dédié aux calculs sur le code
• Un plan de certification spécifique
Francis BOSCHAT
Ce document est la propriété de la RATP. Il ne peut être reproduit ou communiqué sans son autorisation écrite/RATP exclusive property
13
et son application pratique
Le Constructeur MTI
conçoit
et
valide
par
les fonctions et..
spécifications
..exigences de sécurité
principes mathém.
les principes mathém.
développement ASICs
la traçabilité
développement cartes
dossiers de conception les opérations élément.
les contraintes exportées
tests
intégration des logiciels les scénarios résiduels
La RATP
contrôle
la traçabilité
les méthodes
leur application
les documents
les analyses
la réalisation
et
valide
par
modélisation fonctionnelle
les fonctions et..
..organes de sécurité
les principes mathém.
la mise en oeuvre
les cartes de sécurité
les contraintes exportées
les scénarios résiduels
Francis BOSCHAT
Ce document est la propriété de la RATP. Il ne peut être reproduit ou communiqué sans son autorisation écrite/RATP exclusive property
14
et du côté des logiciels
Francis BOSCHAT
Ce document est la propriété de la RATP. Il ne peut être reproduit ou communiqué sans son autorisation écrite/RATP exclusive property
15
la déclinaison du cycle en V
conception
validation
besoins des exploitants
essais de réception
spécification fonctionnelle
contrôles fonctionnels site
spécification système
essais système
contrôle
spec. système constructeur contr. techn. sur site vérif. concept. & contrôle
modélisation
spec. ss. système i
tests fonctionnels
tests fonctionnels
spec. matériels
mesure taux de couverture
spec besoins logiciels
spec formelle
travail du
constructeur
Francis BOSCHAT
code BØ
tests et
analyses
vérif. conception & contrôle
vérif. conception & contrôle
code exécutable sur calculateur cible régénératio
n
Ce document est la propriété de la RATP. Il ne peut être reproduit ou communiqué sans son autorisation écrite/RATP exclusive property
16
et son application pratique
Le Constructeur MTI
conçoit
et
valide
par
par
spécifications
modélisations statiques
développement dont ..
analyses de sécurité
..méthode B
processus de revues
utilisation de l'atelier B
traçabilité
preuve B
validation des règles B
transcodage
analyse de code
tests
tests des exigences ..
génération des données
..de sécurité
gestion de configuration
couverture des tests
validation des données
La RATP
contrôle et
les méthodes
leur application
la traçabilité
les documents
les règles B
les preuves B
valide
par
modélisations dynamiques
analyse des algorithmes
travaux sur l'atelier B
tests fonctionnels et..
..tests agressifs sur ..
..calculateur cible
couverture des tests
validation des données
régénération du code
gest. de configuration
Francis BOSCHAT
Ce document est la propriété de la RATP. Il ne peut être reproduit ou communiqué sans son autorisation écrite/RATP exclusive property
17
quelques points particuliers
Francis BOSCHAT
Ce document est la propriété de la RATP. Il ne peut être reproduit ou communiqué sans son autorisation écrite/RATP exclusive property
18
un Développement Formel (B)
• pour sécuriser les logiciels dès leur phase de
conception, sans attendre les tests
• oblige à spécifier dans un langage non ambigu
• permet une maîtrise prouvée du passage de la
spécification au code (par un atelier industriel)
• procure un code de très bonne qualité
Francis BOSCHAT
Ce document est la propriété de la RATP. Il ne peut être reproduit ou communiqué sans son autorisation écrite/RATP exclusive property
19
la Modélisation dynamique
• pour acquérir la connaissance fine des fonctions et
de leur mode de réalisation et en garder une trace
• pour valider les spécifications, leur cohérence et
leur complétude
• pour déterminer les tests fonctionnels à partir de
l'ensemble des chemins
• pour déterminer les résultats attendus
• avec des outils adaptés (ELSIR, ASA+)
Francis BOSCHAT
Ce document est la propriété de la RATP. Il ne peut être reproduit ou communiqué sans son autorisation écrite/RATP exclusive property
20
la Validation du développement
formel en B
• le contrôle de qualité de l'atelier B industriel
• la validation des règles mathématiques ajoutées
• l'identification des limites de la preuve
• le contrôle de l'implantation des propriétés de
sécurité
Francis BOSCHAT
Ce document est la propriété de la RATP. Il ne peut être reproduit ou communiqué sans son autorisation écrite/RATP exclusive property
21
la suppression des tests unitaires
• rendue possible par la sécurisation du
transcodage
• elle-même obtenue en étendant la technique du
monoprocesseur codé :
code B∅ prouvé
(transcodage)
(transcodage)
code ADA 2
code ADA 1
(compilation)
(outil OPS)
tables PSC
Francis BOSCHAT
code objet
(édition de liens)
code exécutable
PSC
Ce document est la propriété de la RATP. Il ne peut être reproduit ou communiqué sans son autorisation écrite/RATP exclusive property
22
les Tests Fonctionnels
la spécification
des jeux de test
sa modélisation dynamique
le code exécutable sur
calculateur cible
des résultats
attendus
des résultats
observés
analyse
de la
couverture
analyse
des écarts
Francis BOSCHAT
Ce document est la propriété de la RATP. Il ne peut être reproduit ou communiqué sans son autorisation écrite/RATP exclusive property
23
la Validation des données
• la vérification sur le terrain des données
initiales
• la transformation des données initiales en
invariants implantés dans le code outillée et
validée par le constructeur
• la validation par la RATP par un outil
– effectuant la fonction de transfert inverse
– vérifiant le respect des contraintes de sécurité
Francis BOSCHAT
Ce document est la propriété de la RATP. Il ne peut être reproduit ou communiqué sans son autorisation écrite/RATP exclusive property
24
de Façon Synthétique
la même spécification
MTI
conception
méthode B
produit logiciel
RATP
analyses &
modélisation
et
preuves
modélisation
& simulation
cahiers de test
validation
contrôles de
couverture
tests
écarts
0
conviction
Francis BOSCHAT
Ce document est la propriété de la RATP. Il ne peut être reproduit ou communiqué sans son autorisation écrite/RATP exclusive property
suivi de
conception
25
et un bilan
• un code de bonne qualité grâce au formel
• un processus itératif qui a conduit à une
version sans faute pour la mise en service
• une construction et une validation de la
sécurité tracées
• et la conviction acquise de la sécurité
Francis BOSCHAT
Ce document est la propriété de la RATP. Il ne peut être reproduit ou communiqué sans son autorisation écrite/RATP exclusive property