Processus de validation basée sur la notion de propriété

Slides:



Advertisements
Présentations similaires
17ème Forum sur les Impédances Electrochimiques, 31/01/05, Paris
Advertisements

1. Résumé 2 Présentation du créateur 3 Présentation du projet 4.
DECOUVERTE ET MISE EN OEUVRE
Faculté des Sciences de la Santé
Eléments de Génie Logiciel
La Gestion de la Configuration
Classe : …………… Nom : …………………………………… Date : ………………..
Droit Aérien 17 CISPN14300.
ACTIVITES Le calcul littéral (3).
Les Prepositions.
Définition des termes spécifiques
Validation des Systèmes Informatisés Industriels
Projet n°4 : Objecteering
Urbanisation des Systèmes d'Information - Henry Boccon-Gibod1 Urbanisation de système d'information PLM 4 (Product Lifecycle Management) Préoccupation.
JXDVDTEK – Une DVDthèque en Java et XML
VIRAGES SYMETRIQUES EN PALIER, MONTEE ET DESCENTE
Page : 1 / 6 Conduite de projet Examen du 6 mai 1999 Durée : 4 heures Le support de cours est toléré La notation tiendra compte très significativement.
Thème « Modélisation comportementale des Systèmes critiques »
Processus de validation basée sur la notion de propriété
1 B Système Enjeux et principes Cours DESS Nantes 04 Décembre 2002 Didier ESSAME.
(Sciences de l’Ingénieur)
Présentation de l’année
Le Concept. Régulation électronique LonWorks communicante pour application poutre froide.
Améliorer les performances du chiffrage à flot SYND
1 5 octobre 2011 / paw Présentation du 7 octobre 2011.
Logiciel de Mobile Device Management
MIAGE MASTER 1 Cours de gestion de projet
1 Cours numéro 3 Graphes et informatique Définitions Exemple de modélisation Utilisation de ce document strictement réservée aux étudiants de l IFSIC.
le profil UML en temps réel MARTE
Vuibert Systèmes dinformation et management des organisations 6 e édition R. Reix – B. Fallery – M. Kalika – F. Rowe Chapitre 1 : La notion de système.
Réalisation Gestionnaire de Stock
Vuibert Systèmes dinformation et management des organisations 6 e édition R. Reix – B. Fallery – M. Kalika – F. Rowe Chapitre 2 : Les applications fonctionnelles.
Sommaire Objectif de Peakup Principes de fonctionnement
Rappel au Code de sécurité des travaux 1 Code de sécurité des travaux Rappel du personnel initié Chapitre Lignes de Transport (Aériennes)
LUNDI – MARDI – MERCREDI – JEUDI – VENDREDI – SAMEDI – DIMANCHE
Dessins et calculs – Belgique
1.2 COMPOSANTES DES VECTEURS
Techniques de test Boulanger Jean-Louis.
SCIENCES DE L ’INGENIEUR
La Saint-Valentin Par Matt Maxwell.
Projet de Conception n° 5
Notre calendrier français MARS 2014
Les changements de numéraire dans la tarification d’options
C'est pour bientôt.....
Veuillez trouver ci-joint
NORMALISATION DES LANGAGES DE PROGRAMMATION des Automates Programmables Industriels CEI Jean-Jacques DUMÉRY -1-
NORMALISATION DES LANGAGES DE PROGRAMMATION des Automates Programmables Industriels CEI
LUNDI – MARDI – MERCREDI – JEUDI – VENDREDI – SAMEDI – DIMANCHE
ECOLE DES HAUTES ETUDES COMMERCIALES MARKETING FONDAMENTAL
Traitement de différentes préoccupations Le 28 octobre et 4 novembre 2010.
ECOLE DES HAUTES ETUDES COMMERCIALES MARKETING FONDAMENTAL
1 Modèle pédagogique d’un système d’apprentissage (SA)
ANALYSE METHODE & OUTILS
DESIGN D’UN CODEUR- DÉCODEUR CHAOTIQUE AUTO-SYNCHRONISANT EN TEMPS RÉEL ET EN PRÉSENCE DE BRUIT Laboratoire d’Automatique et d’Informatique Industrielle-POITIERS.
Rappel au Code de sécurité des travaux 1 Code de sécurité des travaux, 5 e édition, 2008 Rappel du personnel initié Chapitre Lignes de transport (Aériennes)
CALENDRIER-PLAYBOY 2020.
Application de gestion de candidatures
1. Présentation générale du système
Outil de gestion des cartes grises
6 Nombres et Heures 20 vingt 30 trente 40 quarante.
30 Janvier 2002 Club SEE 63 "Systèmes Informatiques de Confiance" 1 Vérification de spécification de logiciel critique Jean-Louis Boulanger RATPEST/ITF/AQL.
Présentation du démonstrateur ATLAS Projet ANR 07 TLOG
Supports de formation au SQ Unifié
Institut Supérieur des Sciences Appliquées et de Technologie Sousse
François CARCENAC,Frédéric BONIOL ONERA-DTIM Zoubir MAMMERI IRIT
Présentation AICHA REVEL INGENIEUR D’ÉTUDE STERIA DEPARTEMENT TRD
Transcription de la présentation:

Processus de validation basée sur la notion de propriété Jean-louis Boulanger RATP ESE / ICH / AQLM

Sommaire Présentation de METEOR Processus de développement MTI Processus de validation RATP Conclusions

Présentation de METEOR Sur un dossier aussi complexe, d'une telle importance pour la RATP et aussi novateur, Présentation de METEOR

le SAET de METEOR, c'est ... quatre sous-systèmes dans l'automatisme le coeur de l'automatisme deMETEOR s'appelle le SAET : Systême d'Automatisation de l'Exploitation des Trains le SAET de METEOR, c'est ... un système automatique complexe fortement intégré matériel roulant, équipements électriques, infrastructures, automatismes quatre sous-systèmes dans l'automatisme audiovisuel, PCC et logique traction, portes palières, pilotage automatique/signalisation la mixité des circulations trains équipés d’automatismes mode de conduite automatique intégrale ou mode de conduite manuel et trains non équipés tout n'a pas le même niveau de sécurité

Une architeture répartie de calculateur redondés

et METEOR est aussi devenu la ligne 14 du métro parisien Mise en service le 15 octobre 1998 7,2 km de ligne exploitée, de Madeleine à la Bibliothèque François Mitterrand pour 7 stations dès maintenant une capacité de 25 000 voyageurs par heure et par sens 19 trains de 6 voitures (extension à 8 voitures prévue) une vitesse commerciale de 40 km/h un intervalle de 85 secondes pour les trains en Conduite Automatique Intégrale

Un automatisme complexe ici, un schéma très synthétique concernant l'automatisme 1 - vidéo-surveillance train 2 - inter-phonie train 3 - vidéo-surveillance quai 4 - inter-phonie quai 5 - portes palières 6 - pilotage automatique embarqué 7 - tapis de transmission 8 - transmission sol - bord 9 - signalisation 10 - pilotage automatique fixe - 1 PA de ligne - des PA de section 11 - poste de commandes centralisé

Présentation du processus de développement MTI Sur un dossier aussi complexe, d'une telle importance pour la RATP et aussi novateur, Présentation du processus de développement MTI

Séparation du code et des données

le cycle de vie des logiciels B spécification littérale du logiciel tests fonctionnels preuve ré-expression formelle en B intégration logicielle preuve conception formelle preuve génération de programme (automatique)

bien adaptée à l'algorithmique méthode outillée (atelier B commercialisée) dotée d'un outil de preuve performant permettant de spécifier à haut niveau et d'identifier formellement les propriétés de sécurité puis de raffiner progressivement de façon prouvée jusqu'à l'obtention d'un code B0 la "Méthode B" une formalisation mathématique des propriétés de sécurité permettant ensuite la démonstration de leur respect par le logiciel à chaque niveau de raffinement exemple : P1: "il ne doit pas y avoir de risque de collision" devient

Processus d’élaboration des données

Présentation du processus de validation RATP Sur un dossier aussi complexe, d'une telle importance pour la RATP et aussi novateur, Présentation du processus de validation RATP

Processus RATP Le processus de validation des logiciels critique de la RATP s’appuis sur deux activités: Un contrôle de l’industriel sur l’ensemble du processus. Une double validation des logiciels critiques, des donées manipulées par les logiciels critiques.

But de la double validation La double validation se décompose en une analyse une modélisation la production d’un cahier de test fonctionnel et l’exécution du cahier de test fonctionnel

Double Validation La RATP réalise une double validation indépendante du constructeur

Modélisation La RATP utilise actuellement deux méthodes pour la modélisation ASA , ASA+ : SADT Automate étendue communicant Noyau de vérification ELSIR : Réseau de pétri

Principe de vérification E: entrée S, S’ : sorties booléennes

Exemple de propriété de sécurité P2 : seuls les trains équipés, localisés et ayant un mode de conduite automatique peuvent disposer d’une cible P3 : L’état interne du PAS représentant l’occupation de la voie doit être cohérent avec l’ensemble des trains (équipés ou pas) présent dans la zone gérée par ce PAS.

Complexité des modèles exemple la onction anticollision

La Validation des données disposer d'un code prouvé sûr par rapport à sa spécification serait vain si nous n'avions pas procédé avec la même vigilance à la vérification des données traitées en effet, si par exemple un point d'arret d'un train était mal spécifié et que ce train s'arrête de façon sure quelques mêtres trop loin conduirait évidemment à un risque d'accident le processus mentionné ici dans ses grandes lignes est celui qui a été suivi les données ont ensuite fait l'objet d'une double saisie qui a utilisé deux outils distincts pour la génération et la validation La Validation des données Vérification sur le terrain des données initiales Validation outillée par la RATP effectuant la fonction de transfert inverse vérifiant le respect des contraintes de sécurité (exprimées formellement dans le langage LPIC)

Outils de validation des données

Exemple de contrainte sur les données P4 : L’ensemble des circuits de voie forme une partition de la voie.

le rôle des acteurs, côté logiciels là encore , des équipes indépendantes et des méthodes diversifiées, tant à la RATP que chez le constructeur le rôle des acteurs, côté logiciels Le Constructeur MTI La RATP conçoit et valide contrôle et valide par spécifications développement dont .. ..méthode B utilisation de l'atelier B preuve B transcodage tests génération des données gestion de configuration par modélisations statiques analyses de sécurité processus de revues traçabilité validation des règles B analyse de code tests des exigences .. ..de sécurité couverture des tests validation des données par modélisations dynamiques analyse des algorithmes travaux sur l'atelier B tests fonctionnels et.. ..tests agressifs sur .. ..calculateur cible couverture des tests validation des données régénération du code gest. de configuration les méthodes leur application la traçabilité les documents les règles B les preuves B

de Façon Synthétique la même spécification MTI RATP conception la même chose, vue sous un aspect plus dynamique de Façon Synthétique la même spécification MTI RATP conception analyses & modélisation modélisation & simulation contrôles de couverture méthode B et preuves cahiers de test produit logiciel validation tests suivi de conception écarts 0 conviction

Sur un dossier aussi complexe, d'une telle importance pour la RATP et aussi novateur, Conclusion

Quelques éléments statistiques sur le développement 1 150 composants B 115 000 lignes de code B 27 800 obligations de preuve 150 000 lignes de code ADA (données comprises) pour les 3 équipements

sur le processus RATP 20 Dossiers de principe 23 Modèles 30 Cahiers de tests Plus de 5 000 tests en environnement temps réel simulé.

Anomalie/Remarques 400 remarques critiques pour la sécurité au niveau des spécifications 110 anomalies sur l’ensemble des versions des logiciels de sécurité (3 versions sur 3 applicatifs différents)

mesdames, messieurs, je vous remercie de votre attention Le bilan sur METEOR ce dernier transparent présente un bilan axé principalement sur l'aspect "logiciels de sécurité", où se situaient les plus grosses difficultés, et sur les bénéfices retirés de leur développement formel de façon plus large, on peut dire aujourd'hui que la RATP continuera à imposer le développement formel pour ses systèmes les plus critiques la ligne 14 du métro fonctionne de façon irréprochable depuis sa mise en service, et le trafic qu'elle assure dépasse même nos éspérances. mesdames, messieurs, je vous remercie de votre attention Un pocessus de vérification de spécification basée sur les propriétés (fonctions + données) Un processus de tests sur cibles avec vérification de propriétés Un logiciel qui a fonctionné dès sa première installation Une maîtrise accrue des évolutions et ... la conviction de la sécurité

qui a débouché sur l’accriditation COFRAC sur 5 essais SUR1 : lecture critique de spécification SUR2 : modélisation SUR4: Analyse d’impact SUR11 : réalisation d’un cahier de test fonctionnel SUR13 : exécution du cahier de test fonctionnel ICH premier laboratoire en France ayant obtenue cette accréditation.