Centre  d’Excellence  en  Technologies  de  l’Informa0on  et  de  la  Communica0on  

www.ce0c.be  

«  ICT  Meets  Skywin  »  Approche  générale  de  la  cer0fica0on  pour  le  logiciel  embarqué  

Gau0er  Dallons  R&D  Deputy  Department  Manager  

www.ce0c.be  

Agenda  

•  Pourquoi  s’intéresser  à  la  cer0fica0on  de  logiciel  embarqué?  •  Quelles  sont  les  normes  qui  concernent  la  cer0fica0on  de  logiciel  embarqué  

pour  un  usage  de  sûreté  ?  •  Quel  est  l’impact  «  business  »  de  la  cer0fica0on  ?  •  Comment  réduire  le  surcoût  de  la  cer0fica0on  ?  •  Quelques  ou0ls  …  

2  

Centre  d’Excellence  en  Technologies  de  l’Informa0on  et  de  la  Communica0on  

www.ce0c.be  

Pourquoi  s’intéresser  à  la  cer0fica0on  de  logiciel  embarqué?  

www.ce0c.be  

Contexte  

•  Le  logiciel  embarqué  est  u0lisé  dans  des  applica0ons  cri0ques  nécessitant  une  haute  fiabilité  •  Aéronau0que  •  Spa0al  •  Ferroviaire  •  Automobile  •  Secteur  médical  •  Secteur  nucléaire  

•  Le  logiciel  et  le  matériel  peuvent  être  la  cause  d’une  défaillance  ayant  un  impact  cri0que  

•  La  cer0fica0on  permet  d’évaluer  la  confiance  sur  la  fiabilité  d’un  système  cri0que  

4  

Centre  d’Excellence  en  Technologies  de  l’Informa0on  et  de  la  Communica0on  

www.ce0c.be  

Quelles  sont  les  normes  qui  concernent  la  cer0fica0on  de  logiciel  embarqué  pour  un  usage  de  sûreté  ?  

www.ce0c.be  

Normes  de  sûreté  rela0ves  aux  logiciels  embarqués  

6  

www.ce0c.be  

DO178B  

•  Norme applicable à l’aviation •  Objectif: augmenter la confiance dans la fiabilité et la sécurité des

fonctionnalités du système •  Exigences sur le cycle de développement et ses résultats •  Exigences sur les preuves pour l’évaluateur

•  5 niveaux (Development assurance level - DAL): •  A – Catastrophique: le vol et l’attérissage ne peuvent plus être réalisés de

manière sûre. •  B – Périlleux: détresse physique ou surcharge de l’équipage et impact sur les

passagers (blessures sévères ou fatales d’un petit nombre de passagers) •  C – Sévère: surcharge légère de l’équipage impactant l’efficacité de l’équipage

ou le confort des passagers. •  D – Mineur: réduction faible des marges de sûreté, de la surcharge de l’équipage

et inconfort léger pour les passagers. •  E – Pas d’effet.

7  

www.ce0c.be  

Niveaux  d’assurance  de  développement  

S/W level Catégorie Nombre d’objectifs

Nombre d’objectifs avec indépendance

A Catastrophic 66 25

B Hazardous 65 14

C Severe - Major 58 2

D Minor 28 2

E No effect 0 0

8  

www.ce0c.be  

Artéfacts  et  points  de  vérifica0on  

9  

Centre  d’Excellence  en  Technologies  de  l’Informa0on  et  de  la  Communica0on  

www.ce0c.be  

Quel  est  l’impact  «  business  »  de  la  cer0fica0on  ?  

www.ce0c.be  

Considéra0ons  mé0er  (1/2)  

•  Autorités  de  cer0fica0on  •  FAA (US) •  EASA (EU)

•  Impact  des  «  DAL  »  •  Le  niveau  A  implique  l’u0lisa0on  de  méthodes  rigoureuses  voire  formelles  •  Le  niveau  D  peut  encore  être  rela0vement  facilement  aZeint  

•  La  cer0fica0on  est  limitée  •  A    une  version  du  logiciel  sur  une  version  spécifique  du  matériel  •  Dans  une  condi0on  spécifique  de  déploiement  è  Le  processus  de  cer0fica0on  est  suscep0ble  d’être  joué  plusieurs  fois  

•  Les  rela0ons  avec  l’autorité  de  cer0fica0on  •  Négocia0on  nécessaire  sur  le  périmètre  •  Qualifica0on  des  ou0ls  è  interac0ons  nombreuses  et  coûteuses  

11  

www.ce0c.be  

Considéra0ons  mé0er  (2/2)  •  Preuves  nécessaires  pour  la  cer0fica0on  

•  «  Jurisprudence  »  dans  les  pra0ques  •  Nécessite  de  l’expérience  et  des  interac0ons  avec  l’autorité  de  cer0fica0on  

•  Techniques  d’alignement  •  Traçabilité  

•  Techniques  «  ad  hoc  »  •  Ou0ls  

•  Vérifica0on  •  Couverture  des  tests  •  Méthodes  formelles  

•  Planning  et  process  •  Certaines  exigences  se  situent  à  la  fron0ère  entre  le  logiciel  et  le  matériel  •  Ges0on  de  plusieurs  cer0fica0ons  n’est  pas  aisée  •  La  priorité  sur  les  exigences  de  sûreté  et  le  main0en  d’une  haute  disponibilité    sont  difficiles  à  

concilier  •  Le  budget  d’un  projet  augmente  de  3  fois  à  5  fois  le  budget  ini0al  

12  

Centre  d’Excellence  en  Technologies  de  l’Informa0on  et  de  la  Communica0on  

www.ce0c.be  

Comment  réduire  le  surcoût  de  la  cer0fica0on  ?  

www.ce0c.be  

Situa0on  classique  de  l’ingénierie  pour  logiciel  cer0fié  

14  

Technical Requirement Specification

Specification

Design

Coding

Unitary Tests

Functional Tests

Acceptance Test Plan T

E

S

T

www.ce0c.be  

Vision  idéale  de  l’ingénierie  pour  logiciel  cer0fié  

15  

Technical Requirement Specification

Formal Specification

Formal Design

Code Automatically Produced

Acceptance Test Plan

Proof

Automation

Test

Centre  d’Excellence  en  Technologies  de  l’Informa0on  et  de  la  Communica0on  

www.ce0c.be  

Quelques  ou0ls  …  

www.ce0c.be  

Panel  des  méthodes  

17  

www.ce0c.be  

Méthodes  formelles  pour  la  vérifica0on  

18  

Modèle  du  programme  à  développer  

Représenta0on  de  certaines  propriétés  que  le  programme  devrait  avoir  

La  propriété  est  sa0sfaite  

Logiciel  de  vérifica0on  formelle  

La  propriété  n’est  pas  sa0sfaite  

Explica0on?  Explica0on?  

www.ce0c.be  

Effort  versus  assurance  

19  

Spin, NuSmv, Uppaal, ….

Prover9, Waldmeister, ….

PVS, Isabelle, ….

JML, Static Checkers, Modern Compiler

B Event-B

www.ce0c.be  

Matlab  simulink    

20  

•  Simulink®  est  un  environnement  graphique  (basé  sur  des  diagrammes  de  blocs)  pour  la  simula0on  et  le  design  basé  sur  des  modèles  de  systèmes  mul0domaines  et  embarqués.  

Simulink supporte: •  Le design au niveau système •  La simulation •  La génération de code

automatique •  Les tests continus et la

vérification de systèmes embarqués

www.ce0c.be  

Analyse  sta0que  avec  Polyspace  

•  Code  C/C++  ou  Ada  •  Détecte  et  prouve  l’absence  d’overflow,  de  division  par  zéro,  de  

dépassement  de  borne  de  tableaux,  d’autres  erreurs  de  run0me  …  

21  

www.ce0c.be  

Kit  de  qualifica0on  

DO  Qualifica0on  Kit  «  Qualify  Simulink  &  Polyspace  Verifica0on  tools  for    

DO-­‐178  and  DO-­‐278  »        

IEC  Cer0fica0on  Kit  «  Qualify  Code  Genera0on  &  Verifica0on  tools  for    ISO  26262,  EN50128  and  IEC  61508  cer0fica0on  »  

 

22  

Commercial  avionic  system  sopware  

Ground-­‐based  and  space-­‐based  avionic  

sopware  

22  

Road  Vehicle   Rail  applica0ons  

electrical/electronic/programmable  electronic  safety-­‐related  systems  

www.ce0c.be  

Robus0fica0on  logicielle  

•  Objec0f  de  la  méthode  :  •  Détecter  certaines  pannes  matérielles  au  niveau  logiciel    (perturba0ons  électromagné0ques,  rayon  cosmique,  surchauffe  …)  qui  ont  une  incidence  sur  la  sûreté  de  fonc0onnement    

•  Principes  •  Transformer  automa0quement  le  code  d’un  logiciel  de  manière  à  y  détecter  certaines  pannes  matérielles  

•  Redondance  du  code  

è Réduire  l’impact  d’une  cer0fica0on  sur  le  développement  matériel  en  réduisant  les  exigences  de  sûreté  sur  le  matériel  

è Réduc0on  de  coût  lors  des  développements  

23  

www.ce0c.be  

Maintenance  préven0ve  

•  Plus  de  données  permet  •  L’iden0fica0on  de  tendances  sur  un  parc  de  matériel  

•  influence  de  l’environnement  extérieur  sur  un  sous  ensemble  d’équipements    •  La  détec0on  de  «  signaux  faibles  »,  repérables  uniquement  par  l’analyse  d’un  volume  important  de  données  (fréquence  et/ou  durée  de  mesure)    

•  Le  traitement  plus  rapide  des  données  …  •  Permet  de  se  rapprocher  du  «  temps  réel  »  

•  Créa0on  de  tableaux  de  bord  du  fonc0onnement  des  équipements  •  Capacité  d’ac0ons  plus  rapides    

24  

www.ce0c.be  

BigData  :  le  fond  et  la  forme    •  Les  ou0ls  IT  de  traitement  des  données  changent  aussi    

•  La  ges0on  de  plus  grandes  quan0tés  de  données  (Volume)  •  Frameworks  de  programma0on  permeZant  le  traitement  efficace  des  données  (Hadoop,  Spark,  …),  répar0  sur  un  parc  d’ordinateurs  

•  Nouvelles  capacités  de  stockage  (ex  :  NoSQL)  •  Capacité  à  gérer  de  gros  volumes  •  Stockages  adaptées  à  la  nature  des  données  (ex:  séries  temporelles)  

•  Améliora0on  de  la  Vitesse  de  traitement  •  Frameworks  de  programma0on  pour  le  traitement  des  données  en  flot  con0nu  et  répar0  sur  un  ensemble  d’ordinateurs  

•  Prise  en  compte  de  la  Variété  des  données  •  Nouvelles  possibilités  d’extrac0on  et  de  conversion  de  données  

•  A  performances  égales,  ces  nouvelles  solu0ons  IT  offrent  un  cout  moindre  •  U0lisa0on  de  ressources  IT  Hardware  low  cost  mais  avec  redondance  assurée  par  le  

sopware  •  Solu0ons  au  déploiement  automa0sé,  permeZant  l’u0lisa0on  de  ressources  temporaires  

sur  le  Cloud  (dépenses  OPEX  vs  CAPEX)    25  

linkedin.com/company/ce0c  

twiZer.com/@CETIC  

Aéropole  de  Charleroi-­‐Gosselies    Bâ$ment  Éole  

Rue  des  Frères  Wright,  29/3  B-­‐6041  Charleroi  

 

Tel:  +32.71.490.700  Fax:  +32.71.490.799  

 

www.ce0c.be  info@ce0c.be    

Pour  en    savoir  plus…  

Gau0er  Dallons  

Tel  :  +32.71.490.742  

R&D  Deputy  Department  Manager  

gau0er.dallons@ce0c.be