cetic contraintes du logiciel embarqué et la certification
TRANSCRIPT
Centre d’Excellence en Technologies de l’Informa0on et de la Communica0on
www.ce0c.be
« ICT Meets Skywin » Approche générale de la cer0fica0on pour le logiciel embarqué
Gau0er Dallons R&D Deputy Department Manager
www.ce0c.be
Agenda
• Pourquoi s’intéresser à la cer0fica0on de logiciel embarqué? • Quelles sont les normes qui concernent la cer0fica0on de logiciel embarqué
pour un usage de sûreté ? • Quel est l’impact « business » de la cer0fica0on ? • Comment réduire le surcoût de la cer0fica0on ? • Quelques ou0ls …
2
Centre d’Excellence en Technologies de l’Informa0on et de la Communica0on
www.ce0c.be
Pourquoi s’intéresser à la cer0fica0on de logiciel embarqué?
www.ce0c.be
Contexte
• Le logiciel embarqué est u0lisé dans des applica0ons cri0ques nécessitant une haute fiabilité • Aéronau0que • Spa0al • Ferroviaire • Automobile • Secteur médical • Secteur nucléaire
• Le logiciel et le matériel peuvent être la cause d’une défaillance ayant un impact cri0que
• La cer0fica0on permet d’évaluer la confiance sur la fiabilité d’un système cri0que
4
Centre d’Excellence en Technologies de l’Informa0on et de la Communica0on
www.ce0c.be
Quelles sont les normes qui concernent la cer0fica0on de logiciel embarqué pour un usage de sûreté ?
www.ce0c.be
DO178B
• Norme applicable à l’aviation • Objectif: augmenter la confiance dans la fiabilité et la sécurité des
fonctionnalités du système • Exigences sur le cycle de développement et ses résultats • Exigences sur les preuves pour l’évaluateur
• 5 niveaux (Development assurance level - DAL): • A – Catastrophique: le vol et l’attérissage ne peuvent plus être réalisés de
manière sûre. • B – Périlleux: détresse physique ou surcharge de l’équipage et impact sur les
passagers (blessures sévères ou fatales d’un petit nombre de passagers) • C – Sévère: surcharge légère de l’équipage impactant l’efficacité de l’équipage
ou le confort des passagers. • D – Mineur: réduction faible des marges de sûreté, de la surcharge de l’équipage
et inconfort léger pour les passagers. • E – Pas d’effet.
7
www.ce0c.be
Niveaux d’assurance de développement
S/W level Catégorie Nombre d’objectifs
Nombre d’objectifs avec indépendance
A Catastrophic 66 25
B Hazardous 65 14
C Severe - Major 58 2
D Minor 28 2
E No effect 0 0
8
Centre d’Excellence en Technologies de l’Informa0on et de la Communica0on
www.ce0c.be
Quel est l’impact « business » de la cer0fica0on ?
www.ce0c.be
Considéra0ons mé0er (1/2)
• Autorités de cer0fica0on • FAA (US) • EASA (EU)
• Impact des « DAL » • Le niveau A implique l’u0lisa0on de méthodes rigoureuses voire formelles • Le niveau D peut encore être rela0vement facilement aZeint
• La cer0fica0on est limitée • A une version du logiciel sur une version spécifique du matériel • Dans une condi0on spécifique de déploiement è Le processus de cer0fica0on est suscep0ble d’être joué plusieurs fois
• Les rela0ons avec l’autorité de cer0fica0on • Négocia0on nécessaire sur le périmètre • Qualifica0on des ou0ls è interac0ons nombreuses et coûteuses
11
www.ce0c.be
Considéra0ons mé0er (2/2) • Preuves nécessaires pour la cer0fica0on
• « Jurisprudence » dans les pra0ques • Nécessite de l’expérience et des interac0ons avec l’autorité de cer0fica0on
• Techniques d’alignement • Traçabilité
• Techniques « ad hoc » • Ou0ls
• Vérifica0on • Couverture des tests • Méthodes formelles
• Planning et process • Certaines exigences se situent à la fron0ère entre le logiciel et le matériel • Ges0on de plusieurs cer0fica0ons n’est pas aisée • La priorité sur les exigences de sûreté et le main0en d’une haute disponibilité sont difficiles à
concilier • Le budget d’un projet augmente de 3 fois à 5 fois le budget ini0al
12
Centre d’Excellence en Technologies de l’Informa0on et de la Communica0on
www.ce0c.be
Comment réduire le surcoût de la cer0fica0on ?
www.ce0c.be
Situa0on classique de l’ingénierie pour logiciel cer0fié
14
Technical Requirement Specification
Specification
Design
Coding
Unitary Tests
Functional Tests
Acceptance Test Plan T
E
S
T
www.ce0c.be
Vision idéale de l’ingénierie pour logiciel cer0fié
15
Technical Requirement Specification
Formal Specification
Formal Design
Code Automatically Produced
Acceptance Test Plan
Proof
Automation
Test
Centre d’Excellence en Technologies de l’Informa0on et de la Communica0on
www.ce0c.be
Quelques ou0ls …
www.ce0c.be
Méthodes formelles pour la vérifica0on
18
Modèle du programme à développer
Représenta0on de certaines propriétés que le programme devrait avoir
La propriété est sa0sfaite
Logiciel de vérifica0on formelle
La propriété n’est pas sa0sfaite
Explica0on? Explica0on?
www.ce0c.be
Effort versus assurance
19
Spin, NuSmv, Uppaal, ….
Prover9, Waldmeister, ….
PVS, Isabelle, ….
JML, Static Checkers, Modern Compiler
B Event-B
www.ce0c.be
Matlab simulink
20
• Simulink® est un environnement graphique (basé sur des diagrammes de blocs) pour la simula0on et le design basé sur des modèles de systèmes mul0domaines et embarqués.
Simulink supporte: • Le design au niveau système • La simulation • La génération de code
automatique • Les tests continus et la
vérification de systèmes embarqués
www.ce0c.be
Analyse sta0que avec Polyspace
• Code C/C++ ou Ada • Détecte et prouve l’absence d’overflow, de division par zéro, de
dépassement de borne de tableaux, d’autres erreurs de run0me …
21
www.ce0c.be
Kit de qualifica0on
DO Qualifica0on Kit « Qualify Simulink & Polyspace Verifica0on tools for
DO-‐178 and DO-‐278 »
IEC Cer0fica0on Kit « Qualify Code Genera0on & Verifica0on tools for ISO 26262, EN50128 and IEC 61508 cer0fica0on »
22
Commercial avionic system sopware
Ground-‐based and space-‐based avionic
sopware
22
Road Vehicle Rail applica0ons
electrical/electronic/programmable electronic safety-‐related systems
www.ce0c.be
Robus0fica0on logicielle
• Objec0f de la méthode : • Détecter certaines pannes matérielles au niveau logiciel (perturba0ons électromagné0ques, rayon cosmique, surchauffe …) qui ont une incidence sur la sûreté de fonc0onnement
• Principes • Transformer automa0quement le code d’un logiciel de manière à y détecter certaines pannes matérielles
• Redondance du code
è Réduire l’impact d’une cer0fica0on sur le développement matériel en réduisant les exigences de sûreté sur le matériel
è Réduc0on de coût lors des développements
23
www.ce0c.be
Maintenance préven0ve
• Plus de données permet • L’iden0fica0on de tendances sur un parc de matériel
• influence de l’environnement extérieur sur un sous ensemble d’équipements • La détec0on de « signaux faibles », repérables uniquement par l’analyse d’un volume important de données (fréquence et/ou durée de mesure)
• Le traitement plus rapide des données … • Permet de se rapprocher du « temps réel »
• Créa0on de tableaux de bord du fonc0onnement des équipements • Capacité d’ac0ons plus rapides
24
www.ce0c.be
BigData : le fond et la forme • Les ou0ls IT de traitement des données changent aussi
• La ges0on de plus grandes quan0tés de données (Volume) • Frameworks de programma0on permeZant le traitement efficace des données (Hadoop, Spark, …), répar0 sur un parc d’ordinateurs
• Nouvelles capacités de stockage (ex : NoSQL) • Capacité à gérer de gros volumes • Stockages adaptées à la nature des données (ex: séries temporelles)
• Améliora0on de la Vitesse de traitement • Frameworks de programma0on pour le traitement des données en flot con0nu et répar0 sur un ensemble d’ordinateurs
• Prise en compte de la Variété des données • Nouvelles possibilités d’extrac0on et de conversion de données
• A performances égales, ces nouvelles solu0ons IT offrent un cout moindre • U0lisa0on de ressources IT Hardware low cost mais avec redondance assurée par le
sopware • Solu0ons au déploiement automa0sé, permeZant l’u0lisa0on de ressources temporaires
sur le Cloud (dépenses OPEX vs CAPEX) 25
linkedin.com/company/ce0c
twiZer.com/@CETIC
Aéropole de Charleroi-‐Gosselies Bâ$ment Éole
Rue des Frères Wright, 29/3 B-‐6041 Charleroi
Tel: +32.71.490.700 Fax: +32.71.490.799
www.ce0c.be [email protected]
Pour en savoir plus…
Gau0er Dallons
Tel : +32.71.490.742
R&D Deputy Department Manager