1 La Certification de la Sécurité des Automatismes de METEOR
2 un mot sur METEOR
3 Le projet METEOR, c'est... un système automatique complexe fortement intégré matériel roulant, équipements électriques, infrastructures, automatismes quatres sous-systèmes dans l'automatisme audiovisuel, PCC et logique traction, portes palières, pilotage autom./signalisation la mixité des circulations et l'indifférence à l'orientation des trains une architecture répartie de calculateurs redondés 1 PAL (ligne), 5 PAS (sections), des PAE (embarqués)
4 un projet complexe 4 sous systèmes principaux, 7 phases, un marché organisé en lots liés à ce découpage un plan de management précis et une organisation matricielle 450 tâches principales 3 000 documents contractuels et 140 000 pages de courrier une arborescence technique, base de la gestion électronique des documents et de la gestion de configuration
5... et c'est aussi... devenu la ligne 14 du métro le 15 oct. 1998 7,2 km de ligne exploitée, de Madeleine à la Bibliothèque François Mitterrand dès maintenant une capacité de 25 000 voyageurs par heure et par sens 19 trains de 6 voitures (extension à 8 voitures prévue) une vitesse commerciale de 40 km/h
6 Construire la sécurité
7 Le processus de construction de la sécurité repose sur : la prise en compte des objectifs de sécurité dès la conception une démarche continue et itérative développée dès le début du projet la diversité des méthodes, des outils et l'indépendance des équipes, à la fois chez le constructeur et à la RATP la traçabilité de l'ensemble des travaux de conception, de réalisation et de validation
8 une démarche descendante du système dans son environnement jusqu'au composant matériel ou logiciel une analyse fonctionnelle raffinée par étapes une analyse organique tenant compte des choix de conception des analyses transversales pour vérifier la cohérence
9 trois tâches complémentaires avoir une conception sure deux équipes distinctes chez le constructeur, pour la conception et la validation des méthodes approuvées et des résultats formalisés un engagement du constructeur contrôler cette conception la bonne application des méthodes approuvées la qualité des résultats obtenus et leur trace documentaire faire une validation indépendante (certification) par des méthodes approuvées et des résultats contrôlés et formalisés un engagement de la RATP
10 en pratique, sur METEOR
11 Réaliser par l'informatique des Fonctions de Sécurité des spécifications sûres par la validation fonctionnelle des logiciels exempts d'erreurs par la conception formelle et les tests une protection contre les erreurs à l'exécution par la technique du monoprocesseur codé
12 le Calculateur de METEOR Une exigence: le Monoprocesseur Codé Un nouveau calculateur: DIGISAFE pour une puissance de calcul accrue contenant des innovations majeures: la mise en réseau des entrées/sorties l'utilisation de circuits intégrés spécifiques (ASICs) dans des fonctions de sécurité un coprocesseur (ASIC) dédié aux calculs sur le code Un plan de certification spécifique
13 et son application pratique Le Constructeur MTI La RATP conçoit et valide contrôle et valide par spécifications principes mathém. développement ASICs développement cartes dossiers de conception tests intégration des logiciels les fonctions et....exigences de sécurité les principes mathém. la traçabilité les opérations élément. les contraintes exportées les scénarios résiduels la traçabilité les méthodes leur application les documents les analyses la réalisation par modélisation fonctionnelle les fonctions et....organes de sécurité les principes mathém. la mise en oeuvre les cartes de sécurité les contraintes exportées les scénarios résiduels
14 et du côté des logiciels
15 la déclinaison du cycle en V conception besoins des exploitants spécification fonctionnelle validation essais de réception contrôles fonctionnels site spec. matériels travail du constructeur spécification système spec. système constructeur spec. ss. système i spec besoins logiciels spec formelle code BØ contrôle contr. techn. sur site tests fonctionnels tests et analyses code exécutable sur calculateur cible essais système vérif. conception & contrôle vérif. conception & contrôle vérif. concept. & contrôle modélisation tests fonctionnels mesure taux de couverture régénératio n
16 et son application pratique Le Constructeur MTI La RATP conçoit et valide contrôle et valide par spécifications développement dont....méthode B utilisation de l'atelier B preuve B transcodage tests génération des données gestion de configuration par modélisations statiques analyses de sécurité processus de revues traçabilité validation des règles B analyse de code tests des exigences....de sécurité couverture des tests validation des données les méthodes leur application la traçabilité les documents les règles B les preuves B par modélisations dynamiques analyse des algorithmes travaux sur l'atelier B tests fonctionnels et....tests agressifs sur....calculateur cible couverture des tests validation des données régénération du code gest. de configuration
17 quelques points particuliers
18 un Développement Formel (B) pour sécuriser les logiciels dès leur phase de conception, sans attendre les tests oblige à spécifier dans un langage non ambigu permet une maîtrise prouvée du passage de la spécification au code (par un atelier industriel) procure un code de très bonne qualité
19 la Modélisation dynamique pour acquérir la connaissance fine des fonctions et de leur mode de réalisation et en garder une trace pour valider les spécifications, leur cohérence et leur complétude pour déterminer les tests fonctionnels à partir de l'ensemble des chemins pour déterminer les résultats attendus avec des outils adaptés (ELSIR, ASA+)
20 la Validation du développement formel en B le contrôle de qualité de l'atelier B industriel la validation des règles mathématiques ajoutées l'identification des limites de la preuve le contrôle de l'implantation des propriétés de sécurité
21 la suppression des tests unitaires rendue possible par la sécurisation du transcodage elle-même obtenue en étendant la technique du monoprocesseur codé : (transcodage) code ADA 1 (outil OPS) tables PSC code B prouvé (édition de liens) code exécutable PSC (compilation) code objet (transcodage) code ADA 2
22 les Tests Fonctionnels la spécification sa modélisation dynamique le code exécutable sur calculateur cible des jeux de test des résultats attendus des résultats observés analyse de la couverture analyse des écarts
23 la Validation des données la vérification sur le terrain des données initiales la transformation des données initiales en invariants implantés dans le code outillée et validée par le constructeur la validation par la RATP par un outil effectuant la fonction de transfert inverse vérifiant le respect des contraintes de sécurité
24 de Façon Synthétique MTI conception méthode B et preuves la même spécification analyses & modélisation modélisation & simulation cahiers de test RATP contrôles de couverture produit logiciel validation tests écarts 0 conviction suivi de conception
25 et un bilan un code de bonne qualité grâce au formel un processus itératif qui a conduit à une version sans faute pour la mise en service une construction et une validation de la sécurité tracées et la conviction acquise de la sécurité