La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

1 diffusion autorisée aux participants de la réunion BUG/SEE du 29 et 30 Novembre 1999 Processus de validation basée sur la notion de propriété Jean-louis.

Présentations similaires


Présentation au sujet: "1 diffusion autorisée aux participants de la réunion BUG/SEE du 29 et 30 Novembre 1999 Processus de validation basée sur la notion de propriété Jean-louis."— Transcription de la présentation:

1 1 diffusion autorisée aux participants de la réunion BUG/SEE du 29 et 30 Novembre 1999 Processus de validation basée sur la notion de propriété Jean-louis Boulanger RATP ESE / ICH / AQLM

2 2 diffusion autorisée aux participants de la réunion BUG/SEE du 29 et 30 Novembre 1999 Sommaire Présentation de METEOR Processus de développement MTI Processus de validation RATP Conclusions

3 3 diffusion autorisée aux participants de la réunion BUG/SEE du 29 et 30 Novembre 1999 Présentation de METEOR

4 4 diffusion autorisée aux participants de la réunion BUG/SEE du 29 et 30 Novembre 1999 le SAET de METEOR, c'est... un système automatique complexe fortement intégré matériel roulant, équipements électriques, infrastructures, automatismes quatre sous-systèmes dans l'automatisme audiovisuel, PCC et logique traction, portes palières, pilotage automatique/signalisation la mixité des circulations trains équipés dautomatismes mode de conduite automatique intégrale ou mode de conduite manuel et trains non équipés

5 5 diffusion autorisée aux participants de la réunion BUG/SEE du 29 et 30 Novembre 1999 Une architeture répartie de calculateur redondés

6 6 diffusion autorisée aux participants de la réunion BUG/SEE du 29 et 30 Novembre 1999 et METEOR est aussi devenu la ligne 14 du métro parisien Mise en service le 15 octobre ,2 km de ligne exploitée, de Madeleine à la Bibliothèque François Mitterrand pour 7 stations dès maintenant une capacité de voyageurs par heure et par sens 19 trains de 6 voitures (extension à 8 voitures prévue) une vitesse commerciale de 40 km/h un intervalle de 85 secondes pour les trains en Conduite Automatique Intégrale

7 7 diffusion autorisée aux participants de la réunion BUG/SEE du 29 et 30 Novembre 1999 Un automatisme complexe 1 - vidéo-surveillance train 2 - inter-phonie train 3 - vidéo-surveillance quai 4 - inter-phonie quai 5 - portes palières 6 - pilotage automatique embarqué 7 - tapis de transmission 8 - transmission sol - bord 9 - signalisation 10 - pilotage automatique fixe - 1 PA de ligne - des PA de section 11 - poste de commandes centralisé

8 8 diffusion autorisée aux participants de la réunion BUG/SEE du 29 et 30 Novembre 1999 Présentation du processus de développement MTI

9 9 diffusion autorisée aux participants de la réunion BUG/SEE du 29 et 30 Novembre 1999 Séparation du code et des données

10 10 diffusion autorisée aux participants de la réunion BUG/SEE du 29 et 30 Novembre 1999 le cycle de vie des logiciels B spécification littérale du logiciel tests fonctionnels ré-expression formelle en B conception formelle génération de programme (automatique) intégration logicielle preuve

11 11 diffusion autorisée aux participants de la réunion BUG/SEE du 29 et 30 Novembre 1999 la "Méthode B" une formalisation mathématique des propriétés de sécurité permettant ensuite la démonstration de leur respect par le logiciel à chaque niveau de raffinement exemple : P1: "il ne doit pas y avoir de risque de collision" devient

12 12 diffusion autorisée aux participants de la réunion BUG/SEE du 29 et 30 Novembre 1999 Processus délaboration des données

13 13 diffusion autorisée aux participants de la réunion BUG/SEE du 29 et 30 Novembre 1999 Présentation du processus de validation RATP

14 14 diffusion autorisée aux participants de la réunion BUG/SEE du 29 et 30 Novembre 1999 Processus RATP Le processus de validation des logiciels critique de la RATP sappuis sur deux activités: –Un contrôle de lindustriel sur lensemble du processus. –Une double validation des logiciels critiques, des donées manipulées par les logiciels critiques.

15 15 diffusion autorisée aux participants de la réunion BUG/SEE du 29 et 30 Novembre 1999 But de la double validation La double validation se décompose en –une analyse –une modélisation –la production dun cahier de test fonctionnel –et lexécution du cahier de test fonctionnel

16 16 diffusion autorisée aux participants de la réunion BUG/SEE du 29 et 30 Novembre 1999 Double Validation La RATP réalise une double validation indépendante du constructeur

17 17 diffusion autorisée aux participants de la réunion BUG/SEE du 29 et 30 Novembre 1999 Modélisation La RATP utilise actuellement deux méthodes pour la modélisation ASA, ASA+ : SADT Automate étendue communicant Noyau de vérification ELSIR : Réseau de pétri

18 18 diffusion autorisée aux participants de la réunion BUG/SEE du 29 et 30 Novembre 1999 Principe de vérification E: entréeS, S : sorties booléennes

19 19 diffusion autorisée aux participants de la réunion BUG/SEE du 29 et 30 Novembre 1999 Exemple de propriété de sécurité P2 : seuls les trains équipés, localisés et ayant un mode de conduite automatique peuvent disposer dune cible P3 : Létat interne du PAS représentant loccupation de la voie doit être cohérent avec lensemble des trains (équipés ou pas) présent dans la zone gérée par ce PAS.

20 20 diffusion autorisée aux participants de la réunion BUG/SEE du 29 et 30 Novembre 1999 Complexité des modèles exemple la onction anticollision

21 21 diffusion autorisée aux participants de la réunion BUG/SEE du 29 et 30 Novembre 1999 La Validation des données Vérification sur le terrain des données initiales Validation outillée par la RATP –effectuant la fonction de transfert inverse –vérifiant le respect des contraintes de sécurité (exprimées formellement dans le langage LPIC)

22 22 diffusion autorisée aux participants de la réunion BUG/SEE du 29 et 30 Novembre 1999 Outils de validation des données

23 23 diffusion autorisée aux participants de la réunion BUG/SEE du 29 et 30 Novembre 1999 Exemple de contrainte sur les données P4 : Lensemble des circuits de voie forme une partition de la voie.

24 24 diffusion autorisée aux participants de la réunion BUG/SEE du 29 et 30 Novembre 1999 le rôle des acteurs, côté logiciels Le Constructeur MTILa RATP conçoit et valide contrôle et valide par spécifications développement dont....méthode B utilisation de l'atelier B preuve B transcodage tests génération des données gestion de configuration par modélisations statiques analyses de sécurité processus de revues traçabilité validation des règles B analyse de code tests des exigences....de sécurité couverture des tests validation des données les méthodes leur application la traçabilité les documents les règles B les preuves B par modélisations dynamiques analyse des algorithmes travaux sur l'atelier B tests fonctionnels et....tests agressifs sur....calculateur cible couverture des tests validation des données régénération du code gest. de configuration

25 25 diffusion autorisée aux participants de la réunion BUG/SEE du 29 et 30 Novembre 1999 de Façon Synthétique conviction la même spécification conception méthode B et preuves produit logicielvalidation modélisation & simulation tests contrôles de couverture écarts 0 analyses & modélisation MTIRATP cahiers de test suivi de conception

26 26 diffusion autorisée aux participants de la réunion BUG/SEE du 29 et 30 Novembre 1999 Conclusion

27 27 diffusion autorisée aux participants de la réunion BUG/SEE du 29 et 30 Novembre 1999 Quelques éléments statistiques sur le développement composants B lignes de code B obligations de preuve lignes de code ADA (données comprises) pour les 3 équipements

28 28 diffusion autorisée aux participants de la réunion BUG/SEE du 29 et 30 Novembre 1999 sur le processus RATP 20 Dossiers de principe 23 Modèles 30 Cahiers de tests Plus de tests en environnement temps réel simulé.

29 29 diffusion autorisée aux participants de la réunion BUG/SEE du 29 et 30 Novembre 1999 Anomalie/Remarques 400 remarques critiques pour la sécurité au niveau des spécifications 110 anomalies sur lensemble des versions des logiciels de sécurité (3 versions sur 3 applicatifs différents)

30 30 diffusion autorisée aux participants de la réunion BUG/SEE du 29 et 30 Novembre 1999 Le bilan sur METEOR Un pocessus de vérification de spécification basée sur les propriétés (fonctions + données) Un processus de tests sur cibles avec vérification de propriétés Un logiciel qui a fonctionné dès sa première installation Une maîtrise accrue des évolutions et... la conviction de la sécurité

31 31 diffusion autorisée aux participants de la réunion BUG/SEE du 29 et 30 Novembre 1999 qui a débouché sur laccriditation COFRAC sur 5 essais –SUR1 : lecture critique de spécification –SUR2 : modélisation –SUR4: Analyse dimpact –SUR11 : réalisation dun cahier de test fonctionnel –SUR13 : exécution du cahier de test fonctionnel ICH premier laboratoire en France ayant obtenue cette accréditation.


Télécharger ppt "1 diffusion autorisée aux participants de la réunion BUG/SEE du 29 et 30 Novembre 1999 Processus de validation basée sur la notion de propriété Jean-louis."

Présentations similaires


Annonces Google