Upload
kalei
View
40
Download
0
Embed Size (px)
DESCRIPTION
Utilisation de la modélisation comportementale comme outil supplémentaire pour la qualification des COTS. Journée SEE-SIC Thème « Modélisation comportementale des Systèmes critiques ». Sommaire de la présentation. Contexte L’approche proposée - PowerPoint PPT Presentation
Citation preview
Club SEE "Systèmes Informatiques de Confiance" 12 Octobre 2000M. NEYRET/ P. SALAÜN© EDF - Division Recherche & Développement Page 1
Utilisation de la modélisation comportementale commeUtilisation de la modélisation comportementale commeoutil supplémentaire pour la qualification des COTSoutil supplémentaire pour la qualification des COTS
Journée SEE-SICJournée SEE-SICThème « Modélisation comportementale des Systèmes critiques »
Club SEE "Systèmes Informatiques de Confiance" 12 Octobre 2000M. NEYRET/ P. SALAÜN© EDF - Division Recherche & Développement Page 2
Sommaire de la présentation
Contexte
L’approche proposée• la méthode (analyse fonctionnelle, AMDE,
analyse comportementale, injection de fautes)• l’outil de modélisation utilisé
L’application à un cas concret
Premières conclusions
Club SEE "Systèmes Informatiques de Confiance" 12 Octobre 2000M. NEYRET/ P. SALAÜN© EDF - Division Recherche & Développement Page 3
Contexte de l ’étude
Systèmes de Contrôle Commande pour l’énergie
• Evolution de systèmes câblés vers systèmes numériques• Jusqu’à présent, pour les systèmes classés : systèmes
spécifiques• A l’avenir, utilisation de systèmes catalogues ou COTS
Une problématique : qualification de ces COTS
Club SEE "Systèmes Informatiques de Confiance" 12 Octobre 2000M. NEYRET/ P. SALAÜN© EDF - Division Recherche & Développement Page 4
Résultats attendus
Validation des mécanismes de tolérance aux fautes en place
Identification des points faibles du produit
Identification de solutions correctives (architecture, applications…)
Effort de qualification réduit par utilisation d’injection de fautes dans le modèle
Optimisation des tests de non-régression
Connaissance précise et outil d’analyse du comportement interne du système
Club SEE "Systèmes Informatiques de Confiance" 12 Octobre 2000M. NEYRET/ P. SALAÜN© EDF - Division Recherche & Développement Page 5
La démarche proposée (1/2)
Approche générique en quatre étapes
• Analyse fonctionnelle du système• Analyse des Modes de Défaillance et de leurs Effets• Modélisation du système et injection de fautes• Validation du modèle (tests représentatifs)
Application et validation de la démarche• Implémentation de la méthode avec l’exemple du TRICON• Choix d’une application représentative• Choix d’une architecture cible
Club SEE "Systèmes Informatiques de Confiance" 12 Octobre 2000M. NEYRET/ P. SALAÜN© EDF - Division Recherche & Développement Page 6
La démarche proposée (2/2)
Analyse fonctionnelle• Inventaire des missions du système (analyse fonctionnelle
externe)• Inventaire des fonctions de chaque composant et contribution
aux missions du système (analyse fonctionnelle interne) AMDE
• Inventaire des types de défaillance• Inventaire des mécanismes de tolérance aux fautes (détection et
moyens de recouvrement) Modélisation et injection de fautes
• Modélisation de l’architecture fonctionnelle du système• Modélisation comportementale de chaque composant du système• Définition et implémentation des scénarios d’injection de fautes• Observation en différents points
Club SEE "Systèmes Informatiques de Confiance" 12 Octobre 2000M. NEYRET/ P. SALAÜN© EDF - Division Recherche & Développement Page 7
Résumé de la méthode
Club SEE "Systèmes Informatiques de Confiance" 12 Octobre 2000M. NEYRET/ P. SALAÜN© EDF - Division Recherche & Développement Page 8
Injection de fautes
MATERIEL
LOGICIELSYSTEME
APPLICATION(AU par TBNGV)
AMDE
INJECTION DE FAUTES
INJECTION DE FAUTESOBSERVATIONS
Club SEE "Systèmes Informatiques de Confiance" 12 Octobre 2000M. NEYRET/ P. SALAÜN© EDF - Division Recherche & Développement Page 9
Choix de l’outil de modélisation
Outils MéthodesEvaluation probabiliste
de la sûreté defonctionnement
Evaluation expérimentalede la tolérance aux fautes
par injection de fautes
MARK-EXD/SMP Graphes de Markov MKV Graphes de Markov SURF-2 Graphes de Markov
Réseaux de Petri
MOCA-RP Réseaux de Petri MISS-RdP Réseaux de Petri ELSIR SADT
Réseaux de PetriA priori possible, mais mal
adaptée.
STATEMATE Activity-ChartsStatechartsModule-Charts
CLAIRE SA/RT et langage C
• Etat de l’art des outils de modélisation comportementale
• Elaboration d’un grille d’évaluation détaillée
• Résultat synthétique de l ’évaluation des outils étudiés :
Club SEE "Systèmes Informatiques de Confiance" 12 Octobre 2000M. NEYRET/ P. SALAÜN© EDF - Division Recherche & Développement Page 10
La méthode appliquée à un système particulier
L’outil de modélisation : ELSIRBasé sur deux formalismes :• SADT pour structurer le modèle• Réseaux de Petri pour modélisation comportementale des
composantsPermet l’injection de fautes et l’observation au sein des RdP
Le système cible : TRICON de TRICONEX L’application
• Chaîne d’arrêt d’urgence simplifiée par très bas niveau GV (représentative d’une application classée 1E)
Note : la validation par tests n’a pas été réalisée
Club SEE "Systèmes Informatiques de Confiance" 12 Octobre 2000M. NEYRET/ P. SALAÜN© EDF - Division Recherche & Développement Page 11
Architecture cible
TRICON n° BYTRICON n° BXTRICON n° AYTRICON n° AX
IAU commandéspar bobines à manque
VOIE BVOIE A
CapteurGV1
(#104)
CapteurGV2
(#204)
CapteurGV3
(#304)
CapteurGV4
(#404)
Bus d'E/Stripliqué
TRIBUS
CapteurGV1
(#105)
CapteurGV2
(#205)
CapteurGV3
(#305)
CapteurGV4
(#405)
Module detraitement C
(#3007)
Module detraitement A
(#3007)
Module detraitement B
(#3007)
TRIBUS
CapteurGV1
(#106)
CapteurGV2
(#206)
CapteurGV3
(#306)
CapteurGV4
(#406)
Module detraitement C
(#3007)
Module detraitement A
(#3007)
Module detraitement B
(#3007)
TRIBUS
CapteurGV1
(#107)
CapteurGV2
(#207)
CapteurGV3
(#307)
CapteurGV4
(#407)
Module detraitement n°C
(#3007)
Module detraitement n°A
(#3007)
Module detraitement n°B
(#3007)
TRIBUS
Bus d'E/Stripliqué
Bus d'E/Stripliqué
Bus d'E/Stripliqué
Hot spare
Module d'entréeANA (#3703E)
Hot spare
Hot spare Hot spare
Hot spare Hot spare
Hot spare
Module d'entréeANA (#3703E)
Module d'entréeANA (#3703E)
Module d'entréeANA (#3703E)
Module detraitement C
(#3007)
Module detraitement A
(#3007)
Module detraitement B
(#3007)
Mod
ule
d'al
im. (
#831
2)M
odul
e d'
alim
. (#8
312)
Mod
ule
d'al
im. (
#831
2)M
odul
e d'
alim
. (#8
312)
Sourceélectriquesecourue230 VAC
Mod
ule
d'al
im. (
#831
2)
Sourceélectriquesecourue230 VAC
Mod
ule
d'al
im. (
#831
2)M
odul
e d'
alim
. (#8
312)
Mod
ule
d'al
im. (
#831
2)
AXBP ISSdC
BP AUSdC
Sourceélectriquesecourue48 VDC
Module de sortie(#3636R)
Hot spare
AY
BP ISSdC
BP AUSdC
Module de sortie(#3636R)
BY
BX
Module de sortie(#3636R)
Module de sortie(#3636R)
BP ISSdC
BP AUSdC
BP ISSdC
BP AUSdC
Sourceélectriquesecourue48 VDC
Club SEE "Systèmes Informatiques de Confiance" 12 Octobre 2000M. NEYRET/ P. SALAÜN© EDF - Division Recherche & Développement Page 12
AMDE et Scénario d’injection de faute - Exemple
MODULE D'ENTREE ANALOGIQUE
AMDE INJECTION DE FAUTE Mode de
défaillance Effets supposés au
niveau duTRICON
Mécanismes detolérance aux fautes
Etat du modèle Charactérisationde la faute injectée
Implémentation de lafaute dans le modèle
Effects observés auniveau du TRICON
Masquageponctuel d'uneentrée sur unevoie (pas dedécalage desentrées)
Correction par levote des mesuresréalisé par lesmodules detraitement
- Contrôle decohérence desmesures (moduled’entrée)
- Vote des mesures(modules detraitement)
E1 =1V ; E2 =6V ; E3 =7V ; E4 =8V ; E5 à E16 =CoupureMin2GV =2 V Début du 2èmescan au niveau de lavoie A du 1ermodule d’entrée
Substitution de la1ère mesure enentrée (AU) par la16ème (coupure)sur la voie A du 1ermodule d’entrée
ProcesseurModEntree/VoieEntreeASuppression du jeton detype ENum dans la placeValNum. Ce jetoncorrespond au premierpoint d’entrée (E1 = 1 V)
- Incrémentation ducompteur de discordancepour le point d'entréeconsidéré
- 1ère mesure de la voie Aécartée du fait de lasélection des valeursmédianes (vote desmesures) par les 3modules de traitement
- Déclenchement de l’AU Masquage d'uneentrée sur unevoie à chaquecycle (pas dedécalage desentrées)
Correction par levote des mesuresréalisé par lesmodules detraitement, puisbasculement sur le2nd module d’entréeaprès 256 scans
- Contrôle decohérence desmesures (moduled’entrée) et détectionde 256 incohérencessuccessives
- Vote des mesures(modules detraitement)
- Redondance desmodules d’entrée
- Alarme d'intégrité
E1 =1V ; E2 =6V ; E3 =7V ; E4 =8V ; E5 à E16 =CoupureMin2GV =2 V Début du 2ème scanau niveau de lavoie A du 1er
module d’entrée
Substitution de la1ère mesure enentrée (AU) par la16ème (coupure) surla voie A du 1er
module d’entrée àchaque cycle
PocessusModEntree/VoieEntreeA Indication de la valeur àmasquer dans la placeRegMasquage (mise àVRAI du champ Booleendu jeton de typeMasquage tel queMasquage.NumEntree =1) DiscordMax := 5 (au lieude 256)
- Incrémentation à chaquescan du compteur dediscordance pour lepoint d'entrée considéré
- 1ère mesure de la voie Aécartée du fait de lasélection des valeursmédianes (vote desmesures) par les 3modules de traitement (àchaque scan)
- Basculement sur le 2nd
module d'entrée après 5scans
- Déclenchement de l’AU
Club SEE "Systèmes Informatiques de Confiance" 12 Octobre 2000M. NEYRET/ P. SALAÜN© EDF - Division Recherche & Développement Page 13
Structuration du modèle (1/3)
Club SEE "Systèmes Informatiques de Confiance" 12 Octobre 2000M. NEYRET/ P. SALAÜN© EDF - Division Recherche & Développement Page 14
Structuration du modèle (2/3)
Club SEE "Systèmes Informatiques de Confiance" 12 Octobre 2000M. NEYRET/ P. SALAÜN© EDF - Division Recherche & Développement Page 15
Structuration du modèle (3/3)
Club SEE "Systèmes Informatiques de Confiance" 12 Octobre 2000M. NEYRET/ P. SALAÜN© EDF - Division Recherche & Développement Page 16
Exemple de RdP avec point d’injection de faute
Club SEE "Systèmes Informatiques de Confiance" 12 Octobre 2000M. NEYRET/ P. SALAÜN© EDF - Division Recherche & Développement Page 17
Coûts
Ressources engagées
• Licence ELSIR• Investissement du constructeur• Connaissances en RdP, analyse fonctionnelle, SdF et systèmes de
contrôle-commande• 1 ingénieur x mois pour analyse fonctionnelle• 1 ingénieur x mois pour AMDE• 2,5 ingénieurs x mois pour analyse comportementale
A prendre en compte : ressources supplémentaires pour tests de validation
Club SEE "Systèmes Informatiques de Confiance" 12 Octobre 2000M. NEYRET/ P. SALAÜN© EDF - Division Recherche & Développement Page 18
Conclusions
Sur la méthode• Validation de mécanismes de tolérance aux fautes• Validation de l’ensemble système + application• Méthodologie simple à mettre en œuvre permettant la discussion
avec le constructeur et les autorités de sûreté en tout point du projet.
Autres exploitations possibles de la méthodologie• Approche générique transposable à d’autres systèmes de sûreté
et outils de modélisation• Possibilité de tests de non-régression en phase de spécification et
de validation de systèmes tolérant aux fautes• Définition de tests ciblés sur les mécanismes de tolérance aux
fautes de systèmes de sûreté.