18
Club SEE "Systèmes Informatiques de Confiance" 12 Octobre 2000 M. NEYRET/ P. SALAÜN © EDF - Division Recherche & Développement Page 1 Utilisation de la modélisation Utilisation de la modélisation comportementale comme comportementale comme outil supplémentaire pour la outil supplémentaire pour la qualification des COTS qualification des COTS Journée SEE-SIC Journée SEE-SIC Thème « Modélisation comportementale des Systèmes critiques »

Journée SEE-SIC Thème « Modélisation comportementale des Systèmes critiques »

  • Upload
    kalei

  • View
    40

  • Download
    0

Embed Size (px)

DESCRIPTION

Utilisation de la modélisation comportementale comme outil supplémentaire pour la qualification des COTS. Journée SEE-SIC Thème « Modélisation comportementale des Systèmes critiques ». Sommaire de la présentation. Contexte L’approche proposée - PowerPoint PPT Presentation

Citation preview

Page 1: Journée SEE-SIC Thème « Modélisation comportementale des Systèmes critiques »

Club SEE "Systèmes Informatiques de Confiance" 12 Octobre 2000M. NEYRET/ P. SALAÜN© EDF - Division Recherche & Développement Page 1

Utilisation de la modélisation comportementale commeUtilisation de la modélisation comportementale commeoutil supplémentaire pour la qualification des COTSoutil supplémentaire pour la qualification des COTS

Journée SEE-SICJournée SEE-SICThème « Modélisation comportementale des Systèmes critiques »

Page 2: Journée SEE-SIC Thème « Modélisation comportementale des Systèmes critiques »

Club SEE "Systèmes Informatiques de Confiance" 12 Octobre 2000M. NEYRET/ P. SALAÜN© EDF - Division Recherche & Développement Page 2

Sommaire de la présentation

Contexte

L’approche proposée• la méthode (analyse fonctionnelle, AMDE,

analyse comportementale, injection de fautes)• l’outil de modélisation utilisé

L’application à un cas concret

Premières conclusions

Page 3: Journée SEE-SIC Thème « Modélisation comportementale des Systèmes critiques »

Club SEE "Systèmes Informatiques de Confiance" 12 Octobre 2000M. NEYRET/ P. SALAÜN© EDF - Division Recherche & Développement Page 3

Contexte de l ’étude

Systèmes de Contrôle Commande pour l’énergie

• Evolution de systèmes câblés vers systèmes numériques• Jusqu’à présent, pour les systèmes classés : systèmes

spécifiques• A l’avenir, utilisation de systèmes catalogues ou COTS

Une problématique : qualification de ces COTS

Page 4: Journée SEE-SIC Thème « Modélisation comportementale des Systèmes critiques »

Club SEE "Systèmes Informatiques de Confiance" 12 Octobre 2000M. NEYRET/ P. SALAÜN© EDF - Division Recherche & Développement Page 4

Résultats attendus

Validation des mécanismes de tolérance aux fautes en place

Identification des points faibles du produit

Identification de solutions correctives (architecture, applications…)

Effort de qualification réduit par utilisation d’injection de fautes dans le modèle

Optimisation des tests de non-régression

Connaissance précise et outil d’analyse du comportement interne du système

Page 5: Journée SEE-SIC Thème « Modélisation comportementale des Systèmes critiques »

Club SEE "Systèmes Informatiques de Confiance" 12 Octobre 2000M. NEYRET/ P. SALAÜN© EDF - Division Recherche & Développement Page 5

La démarche proposée (1/2)

Approche générique en quatre étapes

• Analyse fonctionnelle du système• Analyse des Modes de Défaillance et de leurs Effets• Modélisation du système et injection de fautes• Validation du modèle (tests représentatifs)

Application et validation de la démarche• Implémentation de la méthode avec l’exemple du TRICON• Choix d’une application représentative• Choix d’une architecture cible

Page 6: Journée SEE-SIC Thème « Modélisation comportementale des Systèmes critiques »

Club SEE "Systèmes Informatiques de Confiance" 12 Octobre 2000M. NEYRET/ P. SALAÜN© EDF - Division Recherche & Développement Page 6

La démarche proposée (2/2)

Analyse fonctionnelle• Inventaire des missions du système (analyse fonctionnelle

externe)• Inventaire des fonctions de chaque composant et contribution

aux missions du système (analyse fonctionnelle interne) AMDE

• Inventaire des types de défaillance• Inventaire des mécanismes de tolérance aux fautes (détection et

moyens de recouvrement) Modélisation et injection de fautes

• Modélisation de l’architecture fonctionnelle du système• Modélisation comportementale de chaque composant du système• Définition et implémentation des scénarios d’injection de fautes• Observation en différents points

Page 7: Journée SEE-SIC Thème « Modélisation comportementale des Systèmes critiques »

Club SEE "Systèmes Informatiques de Confiance" 12 Octobre 2000M. NEYRET/ P. SALAÜN© EDF - Division Recherche & Développement Page 7

Résumé de la méthode

Page 8: Journée SEE-SIC Thème « Modélisation comportementale des Systèmes critiques »

Club SEE "Systèmes Informatiques de Confiance" 12 Octobre 2000M. NEYRET/ P. SALAÜN© EDF - Division Recherche & Développement Page 8

Injection de fautes

MATERIEL

LOGICIELSYSTEME

APPLICATION(AU par TBNGV)

AMDE

INJECTION DE FAUTES

INJECTION DE FAUTESOBSERVATIONS

Page 9: Journée SEE-SIC Thème « Modélisation comportementale des Systèmes critiques »

Club SEE "Systèmes Informatiques de Confiance" 12 Octobre 2000M. NEYRET/ P. SALAÜN© EDF - Division Recherche & Développement Page 9

Choix de l’outil de modélisation

Outils MéthodesEvaluation probabiliste

de la sûreté defonctionnement

Evaluation expérimentalede la tolérance aux fautes

par injection de fautes

MARK-EXD/SMP Graphes de Markov MKV Graphes de Markov SURF-2 Graphes de Markov

Réseaux de Petri

MOCA-RP Réseaux de Petri MISS-RdP Réseaux de Petri ELSIR SADT

Réseaux de PetriA priori possible, mais mal

adaptée.

STATEMATE Activity-ChartsStatechartsModule-Charts

CLAIRE SA/RT et langage C

• Etat de l’art des outils de modélisation comportementale

• Elaboration d’un grille d’évaluation détaillée

• Résultat synthétique de l ’évaluation des outils étudiés :

Page 10: Journée SEE-SIC Thème « Modélisation comportementale des Systèmes critiques »

Club SEE "Systèmes Informatiques de Confiance" 12 Octobre 2000M. NEYRET/ P. SALAÜN© EDF - Division Recherche & Développement Page 10

La méthode appliquée à un système particulier

L’outil de modélisation : ELSIRBasé sur deux formalismes :• SADT pour structurer le modèle• Réseaux de Petri pour modélisation comportementale des

composantsPermet l’injection de fautes et l’observation au sein des RdP

Le système cible : TRICON de TRICONEX L’application

• Chaîne d’arrêt d’urgence simplifiée par très bas niveau GV (représentative d’une application classée 1E)

Note : la validation par tests n’a pas été réalisée

Page 11: Journée SEE-SIC Thème « Modélisation comportementale des Systèmes critiques »

Club SEE "Systèmes Informatiques de Confiance" 12 Octobre 2000M. NEYRET/ P. SALAÜN© EDF - Division Recherche & Développement Page 11

Architecture cible

TRICON n° BYTRICON n° BXTRICON n° AYTRICON n° AX

IAU commandéspar bobines à manque

VOIE BVOIE A

CapteurGV1

(#104)

CapteurGV2

(#204)

CapteurGV3

(#304)

CapteurGV4

(#404)

Bus d'E/Stripliqué

TRIBUS

CapteurGV1

(#105)

CapteurGV2

(#205)

CapteurGV3

(#305)

CapteurGV4

(#405)

Module detraitement C

(#3007)

Module detraitement A

(#3007)

Module detraitement B

(#3007)

TRIBUS

CapteurGV1

(#106)

CapteurGV2

(#206)

CapteurGV3

(#306)

CapteurGV4

(#406)

Module detraitement C

(#3007)

Module detraitement A

(#3007)

Module detraitement B

(#3007)

TRIBUS

CapteurGV1

(#107)

CapteurGV2

(#207)

CapteurGV3

(#307)

CapteurGV4

(#407)

Module detraitement n°C

(#3007)

Module detraitement n°A

(#3007)

Module detraitement n°B

(#3007)

TRIBUS

Bus d'E/Stripliqué

Bus d'E/Stripliqué

Bus d'E/Stripliqué

Hot spare

Module d'entréeANA (#3703E)

Hot spare

Hot spare Hot spare

Hot spare Hot spare

Hot spare

Module d'entréeANA (#3703E)

Module d'entréeANA (#3703E)

Module d'entréeANA (#3703E)

Module detraitement C

(#3007)

Module detraitement A

(#3007)

Module detraitement B

(#3007)

Mod

ule

d'al

im. (

#831

2)M

odul

e d'

alim

. (#8

312)

Mod

ule

d'al

im. (

#831

2)M

odul

e d'

alim

. (#8

312)

Sourceélectriquesecourue230 VAC

Mod

ule

d'al

im. (

#831

2)

Sourceélectriquesecourue230 VAC

Mod

ule

d'al

im. (

#831

2)M

odul

e d'

alim

. (#8

312)

Mod

ule

d'al

im. (

#831

2)

AXBP ISSdC

BP AUSdC

Sourceélectriquesecourue48 VDC

Module de sortie(#3636R)

Hot spare

AY

BP ISSdC

BP AUSdC

Module de sortie(#3636R)

BY

BX

Module de sortie(#3636R)

Module de sortie(#3636R)

BP ISSdC

BP AUSdC

BP ISSdC

BP AUSdC

Sourceélectriquesecourue48 VDC

Page 12: Journée SEE-SIC Thème « Modélisation comportementale des Systèmes critiques »

Club SEE "Systèmes Informatiques de Confiance" 12 Octobre 2000M. NEYRET/ P. SALAÜN© EDF - Division Recherche & Développement Page 12

AMDE et Scénario d’injection de faute - Exemple

MODULE D'ENTREE ANALOGIQUE

AMDE INJECTION DE FAUTE Mode de

défaillance Effets supposés au

niveau duTRICON

Mécanismes detolérance aux fautes

Etat du modèle Charactérisationde la faute injectée

Implémentation de lafaute dans le modèle

Effects observés auniveau du TRICON

Masquageponctuel d'uneentrée sur unevoie (pas dedécalage desentrées)

Correction par levote des mesuresréalisé par lesmodules detraitement

- Contrôle decohérence desmesures (moduled’entrée)

- Vote des mesures(modules detraitement)

E1 =1V ; E2 =6V ; E3 =7V ; E4 =8V ; E5 à E16 =CoupureMin2GV =2 V Début du 2èmescan au niveau de lavoie A du 1ermodule d’entrée

Substitution de la1ère mesure enentrée (AU) par la16ème (coupure)sur la voie A du 1ermodule d’entrée

ProcesseurModEntree/VoieEntreeASuppression du jeton detype ENum dans la placeValNum. Ce jetoncorrespond au premierpoint d’entrée (E1 = 1 V)

- Incrémentation ducompteur de discordancepour le point d'entréeconsidéré

- 1ère mesure de la voie Aécartée du fait de lasélection des valeursmédianes (vote desmesures) par les 3modules de traitement

- Déclenchement de l’AU Masquage d'uneentrée sur unevoie à chaquecycle (pas dedécalage desentrées)

Correction par levote des mesuresréalisé par lesmodules detraitement, puisbasculement sur le2nd module d’entréeaprès 256 scans

- Contrôle decohérence desmesures (moduled’entrée) et détectionde 256 incohérencessuccessives

- Vote des mesures(modules detraitement)

- Redondance desmodules d’entrée

- Alarme d'intégrité

E1 =1V ; E2 =6V ; E3 =7V ; E4 =8V ; E5 à E16 =CoupureMin2GV =2 V Début du 2ème scanau niveau de lavoie A du 1er

module d’entrée

Substitution de la1ère mesure enentrée (AU) par la16ème (coupure) surla voie A du 1er

module d’entrée àchaque cycle

PocessusModEntree/VoieEntreeA Indication de la valeur àmasquer dans la placeRegMasquage (mise àVRAI du champ Booleendu jeton de typeMasquage tel queMasquage.NumEntree =1) DiscordMax := 5 (au lieude 256)

- Incrémentation à chaquescan du compteur dediscordance pour lepoint d'entrée considéré

- 1ère mesure de la voie Aécartée du fait de lasélection des valeursmédianes (vote desmesures) par les 3modules de traitement (àchaque scan)

- Basculement sur le 2nd

module d'entrée après 5scans

- Déclenchement de l’AU

Page 13: Journée SEE-SIC Thème « Modélisation comportementale des Systèmes critiques »

Club SEE "Systèmes Informatiques de Confiance" 12 Octobre 2000M. NEYRET/ P. SALAÜN© EDF - Division Recherche & Développement Page 13

Structuration du modèle (1/3)

Page 14: Journée SEE-SIC Thème « Modélisation comportementale des Systèmes critiques »

Club SEE "Systèmes Informatiques de Confiance" 12 Octobre 2000M. NEYRET/ P. SALAÜN© EDF - Division Recherche & Développement Page 14

Structuration du modèle (2/3)

Page 15: Journée SEE-SIC Thème « Modélisation comportementale des Systèmes critiques »

Club SEE "Systèmes Informatiques de Confiance" 12 Octobre 2000M. NEYRET/ P. SALAÜN© EDF - Division Recherche & Développement Page 15

Structuration du modèle (3/3)

Page 16: Journée SEE-SIC Thème « Modélisation comportementale des Systèmes critiques »

Club SEE "Systèmes Informatiques de Confiance" 12 Octobre 2000M. NEYRET/ P. SALAÜN© EDF - Division Recherche & Développement Page 16

Exemple de RdP avec point d’injection de faute

Page 17: Journée SEE-SIC Thème « Modélisation comportementale des Systèmes critiques »

Club SEE "Systèmes Informatiques de Confiance" 12 Octobre 2000M. NEYRET/ P. SALAÜN© EDF - Division Recherche & Développement Page 17

Coûts

Ressources engagées

• Licence ELSIR• Investissement du constructeur• Connaissances en RdP, analyse fonctionnelle, SdF et systèmes de

contrôle-commande• 1 ingénieur x mois pour analyse fonctionnelle• 1 ingénieur x mois pour AMDE• 2,5 ingénieurs x mois pour analyse comportementale

A prendre en compte : ressources supplémentaires pour tests de validation

Page 18: Journée SEE-SIC Thème « Modélisation comportementale des Systèmes critiques »

Club SEE "Systèmes Informatiques de Confiance" 12 Octobre 2000M. NEYRET/ P. SALAÜN© EDF - Division Recherche & Développement Page 18

Conclusions

Sur la méthode• Validation de mécanismes de tolérance aux fautes• Validation de l’ensemble système + application• Méthodologie simple à mettre en œuvre permettant la discussion

avec le constructeur et les autorités de sûreté en tout point du projet.

Autres exploitations possibles de la méthodologie• Approche générique transposable à d’autres systèmes de sûreté

et outils de modélisation• Possibilité de tests de non-régression en phase de spécification et

de validation de systèmes tolérant aux fautes• Définition de tests ciblés sur les mécanismes de tolérance aux

fautes de systèmes de sûreté.