6 ème Congrès 18 – 19 octobre 2007 St Denis 1 Sûreté de fonctionnement des systèmes informatiques temps réel

6 ème Congrès 18 – 19 octobre 2007 St Denis 2 Introduction Dans le secteur médical comme dans dautres secteurs tels que lautomobile le logiciel « critique » prend une place de plus en plus importante: Accélérateurs en radiothérapie; Robotique médicale; Mesure du glucose en continu…. –Quels sont les risques liés à lutilisation de tels logiciels? –Comment maîtriser ces risques ? –Qua-t-il été mis en place en terme dorganisation dans dautres secteurs (avionique, nucléaire, industrie)?

6 ème Congrès 18 – 19 octobre 2007 St Denis 3 Identification et caractérisation du risque lié à lutilisation de logiciels 1 Recensement des logiciels: PC, stations de travail Équipements avec poste de commande informatique, Automates … mais aussi Capteurs, onduleurs, … des petits équipements, même sans interface informatique apparente peuvent comporter du logiciel… Etre conscient de la présence de logiciel « embarqué » 1.1

6 ème Congrès 18 – 19 octobre 2007 St Denis 4 Des accidents ont eu lieu: –Crash du vol Ariane 501 –Accélérateur médical THERAC 25 (1987) 3 morts et 3 blessés graves (1986) –Arrivée dun missile Patriot sur un baraquement Américain 28 morts (1991) Une Discipline récente Linformatique est une discipline récente, en évolution très rapide, tirée par une demande grand public plus que par des considérations de très haute fiabilité. Quelques raisons de se préoccuper du risque lié à lutilisation de logiciels 1.2 Identification et caractérisation du risque lié à lutilisation de logiciels 1

6 ème Congrès 18 – 19 octobre 2007 St Denis 5 Des « modes de défaillance » différents de ceux du matériel: Quelques raisons de se préoccuper du risque lié à lutilisation de logiciels « Un système programmé produit des évènements redoutés du fait …, de lexécution correcte des logiciels qui, dans certaines configurations, avec certaines données, produit un résultat non souhaité. » Y. Mortureux, les Techniques de lingénieur / « La sûreté de fonctionnement… » - la redondance matérielle ne résout rien pour le logiciel - Tous les « modes de défaillance » sont a priori a envisager. - comportement discontinu du logiciel … cependant: - contrairement au matériel qui fini forcément par tomber en panne, un logiciel ne suse pas et peut éventuellement toujours fonctionner comme souhaité!

6 ème Congrès 18 – 19 octobre 2007 St Denis 6 Un objet dune très très grande complexité combinatoire: Quelques raisons de se préoccuper du risque lié à lutilisation de logiciels 1.2 A B - 5 chemins différents entre A et B, jusquà 20 itérations => 5 20 =~10 14 chemins - 5 minutes pour concevoir, écrire et exécuter chaque test => 1 milliard dannées Un vrai programme contient des milliers de conditions, pas juste 4!!) => Constat dimpossibilité du test exhaustif Calcul sur 5 variables, 32bit chacune - 2 5x32 ~10 48 cas différents. - 1 million dappels pendant 1 million dannées couvrent moins de 0, % des cas => Constat que le retour dexpérience seul ne suffit pas pour avoir un niveau de confiance élevé.

6 ème Congrès 18 – 19 octobre 2007 St Denis 7 LAPR a-t-elle identifié un risque lié à la défaillance de logiciel? 2 Non Fin! Oui Le logiciel est il temps réel? 3 Logiciel « temps réel » = logiciel intégré à un équipement et qui agit directement sur les actionneurs. = Agit directement à la place de lopérateur humain, soit en interprétant ses ordres, soit en décidant à sa place. Exemples: –Contrôle commande dun avion, dune centrale nucléaire, dun accélérateur médical, … –Ne sont pas temps réel: codes de calcul, informatique de gestion (gestion des patients par exemple). Logiciel « critique »

6 ème Congrès 18 – 19 octobre 2007 St Denis 8 Le logiciel est il temps réel? 3 Miser sur la qualité du logiciel, mais surtout Vérification indépendante des résultats produits par le logiciel –Vérification « manuelle » (relecture interrogative) –Demande de confirmation (interrogation dun collègue/patient) –Moyen de calcul indépendant (effectuant de préférence un calcul différent: fonction inverse, algorithme simplifié,…) + formaliser cette vérification … Non Oui

6 ème Congrès 18 – 19 octobre 2007 St Denis 9 La mise en œuvre dun système de protection peut elle aider? 4 Système de protection (SP) = Détecte un évènement initiateur et agit pour en limiter les conséquences. Fréquence gravité Evt. initiateur X Installation sans SP Installation + SP ok Installation + SP ko Evt. Initiateur et SP K.O. X X 3 3 Peut réduire le problème. On se focalise sur le comportement du SP (qui peut ou non être informatisé).

6 ème Congrès 18 – 19 octobre 2007 St Denis 10 Sassurer du niveau de confiance que lon peut attendre du logiciel 5 Qua-t-il été mis en place dans dautres secteurs? 1: Un classement de sûreté APR ClassementNiveau de risque Ensemble cohérent dexigences pour le développement du logiciel Avionique (norme DO 178B) SIL ACatastrophic BHazardous CMajor DMinor ENo safety effect Industrie (norme CEI 61508)

6 ème Congrès 18 – 19 octobre 2007 St Denis 11 2: Des normes relatives au développement de logiciels critiques Quelques points clé: –Faire simple; –Séparation des systèmes selon leur classe de sûreté; –Conception saine « Déterminisme » (systèmes simples et dédiés qq milliers de lignes de codes vs qq millions); –Equipe indépendante de « Vérification et Validation » (jusquà 60% du coût du logiciel); –Cycle de développement strictement phasé, avec documentation et traçabilité; –Critères de couverture de test (passer par toutes les lignes, branches,…); –Tendance: utilisation doutils « danalyse statique » pour prouver labsence de certaines erreurs. Sassurer du niveau de confiance que lon peut attendre du logiciel 5

6 ème Congrès 18 – 19 octobre 2007 St Denis 12 3: Des organismes de vérification indépendants: –Autorités de sûreté avec moyens techniques dinvestigation - Aéronautique: DGAC - Nucléaire: ASN (+ support technique = IRSN) - Sociétés de conseil vérifiant la conformité à une norme - secteur industriel (conformité à CEI 61508): Bureau Veritas, TÜV… Sassurer du niveau de confiance que lon peut attendre du logiciel 5

6 ème Congrès 18 – 19 octobre 2007 St Denis 13 Prendre des précautions dexploitation 6 Gestion des versions, Compatibilité entre logiciels –Surtout en cas déchange automatique de données => minimiser les changements, => faire des tests densemble. Assimiler le manuel, former les utilisateurs –Analyser les risques liés aux erreurs de paramétrage.

6 ème Congrès 18 – 19 octobre 2007 St Denis 14 Quelques points de repère pour maîtriser les risques liés lutilisation de logiciels: Identification/évaluation –Identifier le logiciel (en particulier le « logiciel embarqué ») –Prendre conscience de la nature particulière des « modes défaillance » du logiciel. Maîtrise: Développer des logiciels très fiable est coûteux est possible uniquement pour des fonctions simples => –Stratégie dévitement lorsque cela est possible: Miser sur des moyens de vérifications indépendant du logiciel Utiliser un système de protection –Sinon, Utiliser du logiciel développé selon des normes de sûreté. Prendre des précautions dexploitation, notamment/changements de versions. Conclusion