Normalisation et sûreté de fonctionnement : Panorama, tendances et diversité. Patrice KAHN (KSdF-Conseil / SECTOR)

Transcription

1 Normalisation et sûreté de fonctionnement : Panorama, tendances et diversité Patrice KAHN (KSdF-Conseil / SECTOR) Systèmes & Logiciels pour les NTIC dans le Transport Transports & Sûreté de Fonctionnement (18 mai 2006) Page 1

2 Plan de la présentation Principes de normalisation DO 178 B (et C) CEI : principes généraux Diversité des déclinaisons de la CEI dans les transports : Ferroviaire : EN 5012x (x= 6 : système, 8 : logiciel, 9 : matériel) Automobile : ISO Conclusion Page 2

3 Principes de normalisation Page 3

4 Rapide historique de la normalisation dans les transports Précurseur : DO 178 (Aéronautique) DO 178 : Nov DO 178 A : Mar.1985 DO 178 B : Déc DO 178 C : 2007 (?) CEI (générique) : 2001 après 6 ans de gestation Version française NF EN (2002) Nouvelle édition 2006? EN (Ferroviaire) : 2000 Version française NF EN (2001) ISO (Automobile) : draft 2005, publiée 2007 Page 4

5 Principes communs Adaptation des exigences de la norme à une cible de sûreté (niveau d intégrité de sûreté SIL, ou équivalent) Détermination d un ensemble de règles, techniques, méthodes, attendus selon le niveau visé Tous ne traitent que des aspects logiciels liés à la sécurité Evaluation indépendante de la sûreté obtenue Pas de résultat quantitatif attendu quant au niveau de Sûreté de Fonctionnement obtenu Page 5

6 Variantes selon les domaines DO 178 B orientée : Résultats attendus Exigences précises en vue de la certification CEI et déclinaisons : Orientés moyens (méthodes et techniques à mettre en place) Approche plus globale de l évaluation (seul le ferroviaire vise une certification (CERTIFER) Détermination du niveau de Sûreté de Fonctionnement visé par des moyens tous différents et pas totalement normalisés Page 6

7 DO 178 B (et C) Page 7

8 DO 178 B (Aéronautique) Titre : Considérations sur le logiciel en vue de la certification des systèmes et équipements de bord But : Fournir des recommandations pour la réalisation de logiciels destinés à des systèmes et équipements embarqués à bord des aéronefs civils, logiciels qui doivent remplir une fonction définie avec, en ce qui concerne la sécurité, un degré de confiance en accord avec les exigences de navigabilité. Domaine : Aéronautique civile - Aspects logiciels d'une certification de navigabilité Mais application possible à d'autres domaines que l'aéronautique (pas de référence à d'autres normes spécifiques à l'aéronautique). Page 8

9 DO 178 B (Aéronautique) : Principes fondamentaux Objectif d'application Fournir aux acteurs de la communauté aéronautique un moyen reconnu de conformité aux règlements applicables Objectifs Moyens pour attendre les objectifs Exigences de démonstration de conformité au DO 178B basée sur les informations produites : Documentation de chaque activité Vérification de chaque information Traçabilité des informations Couverture des informations par la vérification Démonstration de conformité aux règlements aéronautiques basée sur la qualité du développement du logiciel Page 9

10 DO 178 B : Les conditions de défaillance et les degrés de gravité Mineure : Marges de sécurité / capacités fonctionnelles : Légère réduction Equipage : Légère augmentation de la charge de travail Passagers : Inconfort Majeure : Marges de sécurité / capacités fonctionnelles : Réduction sensible Equipage : Augmentation sensible de la charge de travail ou réduction efficacité Passagers : Inconfort pouvant causer des blessures Dangereuse : Marges de sécurité / capacités fonctionnelles : Réduction importante Equipage : Gêne physique ou charge de travail tels qu il ne peut plus accomplir sa tâche correctement ou complètement Passagers : Blessures graves ou nombre limité de morts Catastrophique : Impossibilité de poursuivre le vol ou d atterrir dans des conditions suffisantes de sécurité Nombre important de morts et perte de l avion Page 10

11 DO 178 B : Conditions de défaillance et degrés de gravité Constats : Probabilité d accident toutes causes confondues : environ 10-6 par heure de vol 10% des accidents attribués à des conditions de défaillance causées par les systèmes Hypothèse : Environ 100 conditions de défaillance potentielles pouvant empêcher la poursuite du vol ou l atterrissage d un avion dans les conditions suffisantes de sécurité La probabilité de ces conditions de défaillance doit être inférieure à 10-9 par heure de vol Page 11

12 DO 178 B : Conditions de défaillance et relation gravité / probabilité Probable Fréquence Extrêmement Rare rare Extrêmement improbable G ra Mineure v it é Majeure Dangereuse Catastrophique 10-5 /h 10-7 /h 10-9 /h Risque jugé inacceptable pour lequel une action est à entreprendre Risque jugé acceptable pour lequel aucune action n'est à entreprendre 10-9 /h : < une fois tous les 300 ans pour une flotte 1000 avions Page 12

13 DO 178 B : Les niveaux de logiciel Niveau d un logiciel : Déterminé par analyse de sécurité système en fonction de sa contribution possible à une défaillance en cas de comportement erroné Niveau de logiciel A B C D E G R A V I T E Sans effet Mineure Majeure Dangereuse Catastrophique Page 13

14 DO 178 B : Contenu Couvre tous processus du cycle de vie logiciel : spécification, conception, codage, intégration, vérification, assurance qualité, gestion de configuration. Présente : objectifs de ces processus, activités pour satisfaire ces objectifs preuves permettant de montrer que les objectifs ont été atteints. Le niveau logiciel engendre des exigences qui varient avec la catégorie de panne et donc avec la criticité des fonctions réalisées par le système. Page 14

15 DO 178 B : La documentation Préparation et Construction Aspects logiciel de la certification Développement du logiciel Plans Vérification du logiciel Gestion de configuration du logiciel Assurance Qualité du logiciel Exigences logicielles Standards Conception Codage Exigences logicielles (haut niveau) Information de conception Code source Code exécutable intégré Niveaux logiciel A B C D et définissent les exigences de Gestion de configuration Page 15

16 DO 178 B : Vérification du logiciel Conformité / Exigences système Exactitude et Cohérence Précision des algorithmes Exigences de haut niveau (Spécification) Complétude - Traçabilité / Exigences Système Respect des Standards liés aux exigences du Logiciel Testabilité Compatibilité par rapport à la machine cible Niveaux logiciel A B C D : Vérification exigée avec indépendance : Vérification exigée - : Pas de vérification exigée Page 16

17 DO 178 B : Vérification du logiciel Couverture par les cas de test Cas de test, Procédures et Résultats Exigences Structure du logiciel Exactitude des procédures de test Conformité des résultats de test Haut niveau Bas niveau Condition/décision modifiée Décision Instruction Couplage données & contrôle Niveaux logiciel A B C D Page 17

18 Et la DO 178 C Compléments à la DO 178 B sur différents sujets : Approches Orientées Objet, Méthodes Formelles, Qualification des outils, Systèmes de communication, de surveillance, de navigation et de gestion du trafic (lien avec la DO 278) Modèles de développement Plus : Génération de code RTOS sophistiqués Composants sur étagère Lancé en Sortie prévue en 2007 Page 18

19 CEI : Principes généraux Page 19

20 NF EN et ses dérivés Titre : Sécurité fonctionnelle des systèmes électriques / électroniques / électroniques programmables relatifs à la sécurité But : Fournir une approche générale de toutes les activités liées au cycle de vie de sécurité de systèmes destinés à exécuter des fonctions de sécurité lorsqu'ils comportent des dispositifs (E/E/PE) Objectif majeur : permettre l'élaboration de normes internationales spécifiques à chaque domaine d'application Objectif induit : permettre le développement de systèmes E/E/PE relatifs à la sécurité en l'absence éventuelles de normes internationales pour ce secteur d'application. Page 20

21 NF EN et ses dérivés : Domaine d'application Cette norme : s'applique aux systèmes relatifs à la sécurité est déclinable selon les domaines d'application est aussi générique et donc applicable à tout système dont le domaine ne dispose pas d une norme déclinée de la englobe les risques potentiels dus à des défaillances des fonctions de sécurité n'englobe pas les systèmes dont le niveau de criticité est inférieur au niveau minimum défini utilise un modèle de cycle de vie de sécurité global ne traite pas des précautions liées à la malveillance Page 21

22 NF EN et ses dérivés : Structure Le document se compose de sept parties : Partie 1 : Prescriptions générales : objectifs de sécurité, type de systèmes,... Partie 2 : Prescriptions pour les systèmes E/E/PES relatifs à la sécurité Partie 3 : Prescriptions concernant les logiciels, Partie 4 : Définitions et abréviations, Partie 5 : Exemple de méthodes de détermination des niveaux d'intégrité de sécurité, Partie 6 : Lignes directrices pour l'application des parties 2 et 3, Partie 7 : Présentation de techniques et mesures. Seules les parties 2 et 3 sont à caractère normatif Page 22

23 NF EN et ses dérivés Contenu : Spécifie les prescriptions pour la sécurité fonctionnelle des systèmes de sûreté et la réduction des risques externes. Utilise un cycle de vie de sécurité pour toutes les activités nécessaires à la réalisation et l'exploitation d'un système. S appuie sur une approche basée sur la prévention des risques, et la détermination du niveau d'intégrité : conséquence (nb de personnes x gravité des blessures) quantitative (risque quantifiable, taux de cible de défaillances par heure) qualitative (conséquence, fréquence et durées d expositions, probabilité d un événement initiateur, probabilité d une occurrence non voulue) Page 23

24 NF EN : Classification quantitative Niveau d'intégrité (SIL) Fonctionnement continu de la fonction de sécurité (probabilité de défaillance dangereuse par heures) Fonctionnement sur demande de la fonction de sécurité (probabilité de défaillance de la fonction sur demande) > λ d > λ d > λ d > λ d > λ d > λ d > λ d > λ d 10-2 Page 24

25 NF EN et ses dérivés Ces niveaux d'intégrité de sécurité définissent les cibles d'intégrité des fonctions de sûreté En fonction de ces SIL, la norme : définit les techniques à mettre en œuvre définit les niveaux de vérification à mettre en place. Description succincte des méthodes et techniques dont l utilisation est préconisée ou considérée comme obligatoire Page 25

26 NF EN : Cycle de vie de sécurité global 1 Concept Définition globale du domaine d'application Analyse de danger et de risque Prescriptions globales de sécurité Allocation prescriptions globales de sécurité 6 Planification globale de l'exploitation et de la maintenance Planification globale Planification globale de 7 la validation 8 de la sécurité Planification globale de l'installation et de la mise en service 9 Systèmes de sécurité E/E/PE Réalisation (voir cycle de vie de sécurité) 10 Systèmes de sécurité : autre technologie Réalisation 11 Dispositifs externes de réduction de risque Réalisation Page 26

27 NF EN : Cycle de vie de sécurité global 6 Planification globale de l'exploitation et de la maintenance Planification globale Planification globale de 7 la validation 8 de la sécurité Planification globale de l'installation et de la mise en service 9 Systèmes de sécurité E/E/PE Réalisation (voir cycle de vie de sécurité) 10 Systèmes de sécurité : autre technologie Réalisation 11 Dispositifs externes de réduction de risque Réalisation 12 Installation et mise en service globale 13 Validation globale de la sécurité Retour vers la phase du cycle de vie de sécurité global adéquate 14 Exploitat., maintenance et réparation globales 15 Modification et remise à niveau globale 16 Mise hors service ou au rebut Page 27

28 NF EN : cycle de vie de sécurité du logiciel 9 Systèmes de sécurité E/E/PE Réalisation Spécification des prescriptions de sécurité pour les logiciels Spécification prescriptions des fonctions de sûreté du logiciel Spécification des prescriptions pour l'intégrité de sécurité 9.2 Planning de validation de sécurité des logiciels 9.3 Conception et développement du logiciel 9.4 Intégration du PE (matériel/logiciel) 9.5 Procédures d'exploitation et modification du logiciel 9.6 Validation de la sécurité du logiciel Vers l'étape 12 du cycle de vie global Vers l'étape 14 du cycle de vie global Page 28

29 NF EN : Techniques et mesures en fonction du niveau de SIL (exemple) Tableau A.3 - Conception et développement du logiciel : outils supports et langage de programmation Technique / mesure SIL1 SIL2 SIL3 SIL4 1 Langage de programmation adéquat 2 Langage de programmation fortement typé 3 Sous-ensemble du langage a Outils certifiés R 4b Outils dans lesquels on a une confiance accrue résultant de l'utilisation 5a Traducteur certifié R 5b 6 Traducteur confiance accrue résultant de l'utilisation Bibliothèque de modules logiciels et composants éprouvés/vérifiés R Page 29

30 NF EN : Techniques et mesures en fonction du niveau de SIL (exemple) Tableau A.5 - Conception et développement du logiciel : test et intégration des modules logiciels Technique / mesure SIL1 SIL2 SIL3 SIL4 1 Test probabiliste --- R R 2 Analyse dynamique et test R 3 Enregistrement et analyse des données 4 Test fonctionnel et boîte noire 5 Modélisation du fonctionnement R R 6 Test d'interface R R Page 30

31 NF EN : Techniques et mesures en fonction du niveau de SIL (exemple) Tableau B.1 - Règles de conception et de codage Technique / mesure SIL1 SIL2 SIL3 SIL4 1 Utilisation de règles de codage 2 Pas d'objets dynamiques R 3A Pas de variables dynamiques --- R 3B Contrôle en ligne pendant la création de variables dynamiques --- R 4 Utilisation limitée d'interruption R R 5 Utilisation limitée des pointeurs --- R 6 Utilisation limitée de la récursion --- R 7 Pas de branchements inconditionnels dans les programmes en langage de haut niveau Page 31

32 Diversité des déclinaisons de la CEI dans les transports Ferroviaire : EN 5012x Automobile : ISO Page 32

33 EN50128 : Détermination du niveau de SIL Décomposition en 5 niveaux sans référence aux taux de défaillance Niveau d'intégrité de la sécurité logicielle (SIL) Description de l'intégrité de la sécurité logicielle Très élevée Elevée Moyenne Faible Non liée à la sécurité Page 33

34 EN50128 : Détermination du niveau de SIL Fréquence croissante Fréquence d un événement dangereux Conséquence d un événement dangereux Niveaux de risque : aucune fonction de protection Réduction des risques requise Niveau d intégrité de la sécurité du système Niveau d intégrité de la sécurité logiciel Niveaux de classement : Conséquence croissante 4 : très élevé 3 : élevé 2 : moyen 1 : faible 0 : non lié à la sécurité Page 34

35 EN : Techniques et mesures en fonction du niveau de SIL (exemple) Tableau A.4 - Conception et développement du logiciel : outils supports et langage de programmation (extrait) Technique / mesure SIL0 SIL1 SIL2 SIL3 SIL4 4 Approche modulaire M M M M Normes de conception et de codage Programmes analysables Langage de programmation à fort typage Programmation structurée Langage de programmation Sous-ensemble du langage R R R M M 11 Traducteur validé R 12 Traducteur éprouvé à l'utilisation Page 35

36 ISO : détermination du niveau d ASIL S0 S1 S2 S3 No injuries Light injuries Severe injuries Death of persons E1: E2: 0.01 E3: 0,1 E4: 1 Rare events (< once per year) Sometimes (< 1% of VOP) quite Often (1%-10% of VOP) Often (10%-100% of VOP) C1: 0.01 C2: 0.1 C3: 1 Simply controllable less than 1 out of 100 persons cannot control the situation Normally controllable less than 1 out of 10 persons cannot control the situation. uncontrollable the average driver cannot avoid harm or damage VOP VOP : : Temps Temps d utilisation d utilisation du du véhicule véhicule Page 36

37 ISO : détermination du niveau d ASIL E * C 1 0,1 0, S0 QM QM QM QM QM QM Sévérité S1 ASIL B ASIL A QM QM QM QM S2 ASIL C ASIL B ASIL A QM QM QM S3 ASIL D ASIL C ASIL B ASIL A QM QM Page 37

38 ISO : Adaptation des méthodes et techniques selon le niveau Méthodes et techniques Page 38 ASIL A B C D 1 Sous-ensemble du langage Structuration défensive o Programmation défensive o Représentation graphique non ambiguë Respect de règles de représentation graphique Initialisation systématique des variables o Pas d objet dynamique a Pas de variable dynamique o b Contrôle en ligne pendant création de variables dynamiques o Pas d utilisation multiple des variables Pas de variable globale Utilisation limitée des pointeurs o Pas de conversion de type implicite Pas de flux de contrôle ou de données implicite

39 ISO : Autres volets Outre les aspects matériels et logiciels, la norme aborde aussi la problématique du support, et notamment : La qualification des outils, L utilisation de composants commerciaux ou de bibliothèques mathématiques, L évaluation de sécurité Compléments très intéressants et relativement complets Capacité des industriels de l automobile à les mettre en oeuvre Tout comme le reste de la norme Page 39

40 Conclusion Page 40

41 Conclusion Derrière une approche commune des différences notables Pas de quantification du résultat obtenu Problématique d adéquation des moyens au niveau de sûreté visé et à l économie des projets Mise en œuvre réelle que si évaluation à l appui et si possible certification indépendante Page 41

42 MERCI DE VOTRE ATTENTION Si vous avez des questions : maintenant : plus tard : Service Après-Vente mobile : par le Net : pkahn@ksdf-conseil.com Page 42