23112009 Prsent par Romain Bernard Doctorant La BRI

23/11/2009 Présenté par Romain Bernard Doctorant La. BRI / ONERA / Airbus Analyses de sûreté de fonctionnement multi-systèmes

Plan © AIRBUS FRANCE S. All rights reserved. Confidential and proprietary document. 1. 2. 3. 4. 5. 23/11/2009 Introduction et objectifs de la thèse Contexte Raffinement Alta. Rica Raffinement appliqué à la sûreté de fonctionnement Conclusion Page 2

Plan © AIRBUS FRANCE S. All rights reserved. Confidential and proprietary document. 1. 2. 3. 4. 5. 23/11/2009 Introduction et objectifs de la thèse Contexte Raffinement Alta. Rica Raffinement appliqué à la sûreté de fonctionnement Conclusion Page 3

1. Conception de systèmes embarqués et Sd. F • La sécurité dans l’aéronautique est une priorité: certification 4 Besoin d’analyses de sûreté de fonctionnement des systèmes (Sd. F) pour garantir un niveau de sécurité requis • Evolution des systèmes embarqués liée aux contraintes de poids: © AIRBUS FRANCE S. All rights reserved. Confidential and proprietary document. 4 systèmes multi-fonctions, intégration en hausse 4 complexité d’analyse croissante Besoin d’outils d’aide aux analyses • Les avionneurs s’intéressent aux méthodes formelles: modèles formels exploités à l’aide d’outils/services 4 Scade, Esterel, Simulink, etc… : conception 4 Alta. Rica: sûreté de fonctionnement 23/11/2009 Page 4

1. Utilisation des modèles dans le processus Sd. F Résultat informel lié à l’expertise de l’ingénieur Sd. F Documents de conception • Description du système • Schéma d’architecture Interpretation Sd. F Abstraction Sd. F du Système Résultats de l’analyse Sd. F Formalisation actuelle • Diagramme de dépendance • Arbre de défaillances Formalisation proposée © AIRBUS FRANCE S. All rights reserved. Confidential and proprietary document. Modèle formel Résultats de l’analyse Sd. F Génération automatisée 23/11/2009 Page 5 • Coupes minimales exhaustives

1. Objectifs industriels • L’utilisation de modèles a introduit dans l’industrie le souhait d’une modélisation complète de l’avion: 4 Un modèle présentant tous les systèmes embarqués • Les premières expérimentations de connexion de modèles © AIRBUS FRANCE S. All rights reserved. Confidential and proprietary document. ont montré: 4 Difficultés de création du modèle: – Gestion des interfaces entre modèles 4 Difficultés d’exploitation du modèle: – Lenteur des analyses, difficulté d’utilisation des résultats Une méthodologie d’analyse multi-systèmes est nécessaire 23/11/2009 Page 6

1. Approche proposée • Conception industrielle de systèmes: processus incrémental 4 Conception de modèles formels par raffinement progressif • Raffinement: cohérence entre différents modèles d’un même systèmes 4 détaillé pour analyses mono-système 4 abstrait pour analyses multi-systèmes © AIRBUS FRANCE S. All rights reserved. Confidential and proprietary document. • Cadre Alta. Rica: théorème de compositionnalité [Point 2000] A M bisimulation A’ M’ A’ • Objectif: théorème de compositonnalité pour du raffinement 4 coupler 23/11/2009 Page 7 des modèles de niveaux de détail différents

Plan 1. Introduction et objectifs de la thèse 2. Contexte 4 Sûreté de fonctionnement 4 Alta. Rica et Mec. V © AIRBUS FRANCE S. All rights reserved. Confidential and proprietary document. 3. Raffinement Alta. Rica 4. Raffinement appliqué à la sûreté de fonctionnement 5. Conclusion 23/11/2009 Page 8

2. Contexte détaillé: sûreté de fonctionnement • Objectif: 4 Vérifier que chaque système répond au critères réglementaires imposés pour la certification • Principe: Fonctions Situations redoutées © AIRBUS FRANCE S. All rights reserved. Confidential and proprietary document. Ctl yaw 23/11/2009 Page 9 Coupes minimales G. Fail & B. fail & P 3. loss Loss of yaw ctl … HAZ Classification MIN MAJ HAZ CAT Objectif (/FH) 10 -3 10 -5 10 -7 10 -9

2. Processus actuel de Sd. F Vue avion Analyses fonctionnelles → fonctions → situations redoutées © AIRBUS FRANCE S. All rights reserved. Confidential and proprietary document. Vue multi-systèmes Analyses de la sûreté de fonctionnement → coupes minimales → probabilité d’occurrence (par heure de vol) 23/11/2009 Page 10 Vue système Vue équipement

Plan 1. Introduction et objectifs de la thèse 2. Contexte 4 Sûreté de fonctionnement 4 Alta. Rica et Mec. V © AIRBUS FRANCE S. All rights reserved. Confidential and proprietary document. 3. Raffinement Alta. Rica 4. Raffinement appliqué à la sûreté de fonctionnement 5. Conclusion 23/11/2009 Page 11

2. Contexte détaillé: Alta. Rica • Projet Alta. Rica: 4 Collaboration chercheurs (La. BRI) et industriels (Dassault…) 4 Création d’un langage formel pour la sûreté de fonctionnement • Langages Alta. Rica: originel: contraintes 4 Langage « industriel » : flot de données © AIRBUS FRANCE S. All rights reserved. Confidential and proprietary document. 4 Langage • Outils 4 Simulation 4 Model checking 4 Génération de coupes/séquences 23/11/2009 Page 12

2. Alta. Rica: présentation • Un composant Alta. Rica est appelé nœud Hypothèses/spécification • Soit un calculateur « Cpu 1 » : • deux modes de défaillances erroné et perdu →Trois états possibles: ok (initial), err et lost • une sortie correcte, erronée ou perdue →Trois valeurs possibles: ok, err et lost • deux défaillances: erreur et perte Description textuelle d’un noeud Alta. Rica node Cpu 1 state Status : {ok, err, lost}; init Status : = ok; flow Output : {ok, err, lost} : out; event error, loss; trans Status = ok |- error -> Status : = err; © AIRBUS FRANCE S. All rights reserved. Confidential and proprietary document. Status = ok Loss Status = lost Error Loss Status != lost |- loss -> Status : = lost; assert Output = Status; Status = err extern law <loss> = exp (1 e -4) • le signal en sortie correspond à l’état du calculateur law <error> = exp (1 e -7); edon Représentation graphique du noeud Alta. Rica 23/11/2009 Page 13

2. Alta. Rica: sémantique • La sémantique d’un nœud Alta. Rica est un système de transition interfacé: 4 Configurations: variables d’état et de flux 4 Transitions Status = ok Output = ok © AIRBUS FRANCE S. All rights reserved. Confidential and proprietary document. Loss Error Status = lost Output = lost 23/11/2009 Page 14 Status = err Loss Output = err

2. Alta. Rica: hiérarchie • Un nœud Alta. Rica peut contenir des instances d’autres nœuds. Description textuelle node Rudder. Ctl sub P 1, P 2, P 3: Cpu 1; … assert G. in = P 1. Output; © AIRBUS FRANCE S. All rights reserved. Confidential and proprietary document. … sync <P 1. loss, P 2. loss, P 3. loss>; edon 23/11/2009 Page 15 Représentation graphique

2. Alta. Rica: modèle pour la Sd. F • Alta. Rica est adapté aux modèle dits « de propagation de défaillance » : nominales (reconfigurations, détections d’erreur…) 4 Défaillances © AIRBUS FRANCE S. All rights reserved. Confidential and proprietary document. 4 Actions Observateur Cpu Modèle 23/11/2009 Page 16 Servo. Ctl

2. Mec. V • Model checker développé au La. BRI (A. Vincent), • Capable de: 4 Traiter directement du code Alta. Rica 4 Manipuler plusieurs nœuds à la fois 4 Effectuer des calculs de points fixes (plus grand ou plus petit) © AIRBUS FRANCE S. All rights reserved. Confidential and proprietary document. – pour un ensemble d’états donné, recherche du sous-ensemble d’états satisfaisant les conditions spécifiées • Outil de calcul nécessitant l’écriture des formules souhaitées dans un langage propre (inspiré du µ-calcul) Reach. A(s) += node. A!init(s) | <u><e>(Reach. A(u) & node. A!t(u, e, s)); 23/11/2009 Page 17

Plan © AIRBUS FRANCE S. All rights reserved. Confidential and proprietary document. 1. 2. 3. 4. 5. 23/11/2009 Introduction et objectifs de la thèse Contexte Raffinement Alta. Rica Raffinement appliqué à la sûreté de fonctionnement Conclusion Page 18

3. Objectifs liés aux besoins industriels • Besoins industriels: 4 Compositionnalité A (pour analyses multi-systèmes) M raffinement A’ © AIRBUS FRANCE S. All rights reserved. Confidential and proprietary document. 4 Préservation A M’ A’ des résultats d’analyse (coupes/séquences) • La compositionnalité sous-entend que tout raffinement d’un système peut être utilisé dans un modèle multi-systèmes: 4 variables 23/11/2009 Page 19 de flux du modèle abstrait à conserver

3. Candidats au raffinement • Substitution d’événement node Cpu 0’ … … event loss; loss 1, loss 2; trans © AIRBUS FRANCE S. All rights reserved. Confidential and proprietary document. Status != lost |- loss -> Status : = lost; Status != lost |- loss 1, loss 2 -> Status : = lost; … … edon Status = ok Output = ok Loss 23/11/2009 Loss 1 Loss 2 Status = lost Status = err Output = lost Output = err Page 20

3. Candidats au raffinement • Renforcement de la garde d’une transition node Cpu 1 node Cpu 2 … … event error, loss; © AIRBUS FRANCE S. All rights reserved. Confidential and proprietary document. trans Status = ok |- error -> Status : = err; Status != lost |- loss -> Status : = lost; Status = ok |- loss -> Status : = lost; … … edon Status = ok Output = ok Loss Error Status = lost Output = lost 23/11/2009 Page 21 Loss Error Status = err Status = lost Status = err Output = lost Output = err

3. Candidats au raffinement • Ajout de hiérarchie node Cpu 2 … node Cpu 3 sub flow Output: {ok, err, lost}: out; … Com, Mon: Cpu 2 … flow edon Output: {ok, err, lost}: out; … © AIRBUS FRANCE S. All rights reserved. Confidential and proprietary document. edon Com Mon 23/11/2009 Page 22

3. Candidats au raffinement • Ajout d’événement/transition node Cpu 0 node Cpu 1 … … event loss; error, loss; trans Status != lost |- loss -> Status : = lost; Status = ok |- error -> Status : = err; … Status != lost |- loss -> Status : = lost; edon … © AIRBUS FRANCE S. All rights reserved. Confidential and proprietary document. edon Loss Status = ok Output = ok Loss Status = lost Status = err Output = lost Output = err Loss Error Status = lost Output = lost Status = err Loss Output = err Non retenu car peut introduire de nouveaux états accessibles 23/11/2009 Page 23

3. Raffinement Alta. Rica • La relation de bisimulation forte interfacée [Point 2000] est trop contraignante en pratique. • Nous avons souhaité étudier de nouvelles relations: fines: relations de type simulation 4 applicables aux enrichissements choisis 4 principe de compositionnalité © AIRBUS FRANCE S. All rights reserved. Confidential and proprietary document. 4 moins – Étudier les restrictions sur le langage nécessaires pour pouvoir établir le théorème de compositionnalité • Chaque relation étudiée est spécifiée en Mec. V: Simulation interfacée paramétrée 2. Simulation quasi-branchante interfacée paramétrée 1. 23/11/2009 Page 24

3. La relation de simulation • Classiquement, un objet A simule un objet B si: 4 toute séquence d’événements depuis l’état initial de B peut être effectuée depuis l’état initial A, les états atteints étant comparables • Mec. V nécessite de spécifier les relations permettant de comparer: © AIRBUS FRANCE S. All rights reserved. Confidential and proprietary document. 4 les états respectifs (Rel. F) 4 les événements considérés comme similaires (Rel. Evt) 23/11/2009 Page 25

3. La relation de simulation • Simulation interfacée paramétrée: 4 Tout état s’ du nœud détaillé est en relation avec un état s du nœud abstrait. rel. F s rel. Evt s’ e’ e t’ t © AIRBUS FRANCE S. All rights reserved. Confidential and proprietary document. 4 Pour sim(s, s’) -= toute transition (s’, e’, t’) du nœud détaillé et tout état s en relation avec s’, il existe une transition (s, e, t) du nœud abstrait telle que sont respectivement en relation: – les flux, – les événements, – les états cibles. Rel. F(s, s’) & ([e’][t’](trans. A’(s’, e', t’) => <e><t >(trans. A(s, e, t) & Rel. Evt(e, e’) & sim(t, t’)))); 23/11/2009 Page 26

3. Renforcement de garde • Soit un calculateur de type Cpu 1. • Pour restreindre le comportement, défaillances seulement considérées depuis l’état initial. • La relation sur les flux est l’égalité. • La relation sur les événements est l’identité. Cpu 2 Cpu 1 Status = ok © AIRBUS FRANCE S. All rights reserved. Confidential and proprietary document. Status = ok loss Status = lost error loss Status = err loss Status = lost Cpu 1 simule Cpu 2 ne simule pas Cpu 1 23/11/2009 Page 27 error Status = err

3. Substitution de défaillance • Soit un calculateur de type Cpu 0. • Pour analyses Sd. F, nécessité de différencier loss 1 et loss 2 (même effet mais probabilités d’occurrence différentes). • La relation sur les flux est l’égalité. • La relation sur les événements est: {loss}≡{loss 1, loss 2}. Cpu 0’ Cpu 0 Status = ok © AIRBUS FRANCE S. All rights reserved. Confidential and proprietary document. Status = ok loss 1 loss Status = lost Status = err Cpu 0 simule Cpu 0’ simule Cpu 0 23/11/2009 Page 28 loss 2 Status = lost Status = err

3. Compositionnalité • Restrictions du langage 4 Priorités A A’ a M Hiérarchie: © AIRBUS FRANCE S. All rights reserved. Confidential and proprietary document. « b plus prioritaire que a » 4 Diffusion b a A simule A’ a M ne simule pas M’ M’ b dans les vecteurs de synchronisation • Théorème de compositionnalité 4 Soient M et M’ deux nœuds hiérarchiques sans priorité ni diffusion. Alors M simule M’ si tout sous-nœud Ni de M simule un sous-nœud N’i de M’. 23/11/2009 Page 29

3. Calcul de séquences • Le théorème permet en plus de calculer des séquences détaillées à partir des séquences abstraites G. fail & B. fail & P 3. loss … © AIRBUS FRANCE S. All rights reserved. Confidential and proprietary document. {loss} ≡ {loss 1, loss 2} G. fail & B. fail & P 3. loss 1 G. fail & B. fail & P 3. loss 2 … 23/11/2009 Page 30

3. Simulation quasi-branchante • Besoins: 4 Relation de simulation 4 Distinction: événements observables et non observables • Travaux existants: Van Glabbeek, Van Benthem © AIRBUS FRANCE S. All rights reserved. Confidential and proprietary document. • Simulation quasi-branchante interfacée qb-sim * Si aucun événement non observable dans le nœud abstrait e qb-sim e’ e’ e qb-sim 23/11/2009 Page 31 *

3. Simulation quasi-branchante • Illustration: Bus Loss © AIRBUS FRANCE S. All rights reserved. Confidential and proprietary document. Bus Loss of Bus 1 Bus 2 Loss of Bus 2 Bus 1 Bus 2 Loss of Bus 1 • Théorème de compositionnalité 4 Soient M et M’ deux nœuds hiérarchiques sans priorité ni diffusion. Alors M qb-simule M’ si tout sous-nœud Ni de M qbsimule un sous-nœud N’i de M’. 23/11/2009 Page 32

3. Bilan © AIRBUS FRANCE S. All rights reserved. Confidential and proprietary document. • Définition de deux relations de simulation • Théorèmes de compositionnalité • Implémentation en Mec. V de ces relations Calcul séquences Adéquation besoins industriels Restrictions Composition Bisimulation Non Oui Simulation Pas de priorités Oui = Simulation quasibranchante Pas de priorités Oui ? + 23/11/2009 Page 33 -

Plan © AIRBUS FRANCE S. All rights reserved. Confidential and proprietary document. 1. 2. 3. 4. 5. 23/11/2009 Introduction et objectifs de la thèse Contexte Raffinement Alta. Rica Raffinement appliqué à la sûreté de fonctionnement Conclusion Page 34

4. Opérations préparatoires • En Sd. F, les séquences ne contiennent que des défaillances: 4 Nécessité de masquer les événements nominaux Correction Error Status = ok masquage Status = err Loss Status = ok Transition à État « transitoire » masquer Loss Error © AIRBUS FRANCE S. All rights reserved. Confidential and proprietary document. Status = ok Status = lost • Le raffinement ne peut être vérifié que si le modèle détaillé n’introduit pas de nouvel état accessible (vis-à-vis de Rel. F) 23/11/2009 Page 35

4. Raffinement pour la sûreté de fonctionnement • Formules Mec. V de vérification implémentées pour être génériques: du raffinement 4 Seuls quelques éléments communs à toutes les relations sont à initialiser par l’utilisateur. • Liberté d’utilisation restreinte à la définition des relations © AIRBUS FRANCE S. All rights reserved. Confidential and proprietary document. Rel. F et Rel. Evt • Mec. V permet deux approches: – vérification : relations spécifiées par l’utilisateur – exploration : relations calculées 23/11/2009 Page 36

4. Approches vérification/exploration • Approche vérification: Travail coûteux pour spécifier tous les événements en relation Si la relation est vérifiée par Mec. V alors le raffinement est prouvé sans travail supplémentaire • Approche exploration Pas de spécification initiale: Rel. Evt(e, e’) = true © AIRBUS FRANCE S. All rights reserved. Confidential and proprietary document. Si relation non vérifiée par Mec. V alors pas de raffinement Si relation vérifiée alors nécessité de vérifier les couples d’événements calculés par Mec. V 23/11/2009 Page 37

4. Méthodologie de vérification du raffinement 1. Masquage des événements/transitions nominales 2. Test des états accessibles 3. Vérification qualitative © AIRBUS FRANCE S. All rights reserved. Confidential and proprietary document. 4 Existe-t-il une relation? 4. Analyse quantitative: 4 23/11/2009 Génération des séquences détaillées et quantification Page 38

© AIRBUS FRANCE S. All rights reserved. Confidential and proprietary document. 4. La compositionnalité

4. Bilan • Méthodologie appliquée sur deux cas d’étude: 4 Calculateur raffiné jusqu’à contenir contrôle/commande 4 Système de génération électrique une architecture • Expérimentations de vérification globale du raffinement: © AIRBUS FRANCE S. All rights reserved. Confidential and proprietary document. 4 Vérification possible sur modèles plus abstraits mais rapidement impossible sur des modèles plus détaillés 4 Confirme le besoin d’appliquer un raffinement progressif et de tirer partie de la compositionnalité 23/11/2009 Page 40

Plan © AIRBUS FRANCE S. All rights reserved. Confidential and proprietary document. 1. 2. 3. 4. 5. 23/11/2009 Introduction et objectifs de la thèse Contexte Raffinement Alta. Rica Raffinement appliqué à la sûreté de fonctionnement Conclusion Page 41

5. Conclusion: travaux académiques • Apports: deux relations étudiées 4 simulation paramétrée interfacée – Compositionnalité préservée et théorème établi – Algorithmes de calcul des séquences écrit – Relation adaptée au raffinement sans ajout de hiérarchie 4 simulation quasi-branchante paramétrée interfacée © AIRBUS FRANCE S. All rights reserved. Confidential and proprietary document. – Compositionnalité préservée et théorème établi – Relation adaptée au raffinement par ajout de hiérarchie • Perspectives à court terme: 4Étudier la préservation des séquences pour la relation de simulation quasi-branchante 4 Algorithme de calcul des séquences détaillées à partir des séquences abstraites pour la simulation quasi-branchante 23/11/2009 Page 42

5. Conclusion: travaux industriels • Apports industriels: 4 Méthodologie détaillée de raffinement 4 Spécification générique des relations en Mec. V – utilisation facilitée – manipulations nécessaires réduites 4 Enseignement: le raffinement est difficilement vérifiable a © AIRBUS FRANCE S. All rights reserved. Confidential and proprietary document. posteriori • Industrialisation: 4 Développer une IHM pour: – saisir les relations Rel. F et Rel. Evt – appels aux différentes relations dans Mec. V 4 Identifier de nouveaux besoins (principe de conception) de nouvelles relations à étudier 23/11/2009 Page 43

5. Publications / Communications • Dependable Control of Discrete Systems (DCDS’ 07) 4 Experiments in model-based safety analysis: flight controls • International System Safety Conference (ISSC’ 08) 4 Failure propagation modeling: multi-system safety analysis • Lambda-Mu (LM 16) Alta. Rica pour l’étude de systèmes à différents niveaux de détail © AIRBUS FRANCE S. All rights reserved. Confidential and proprietary document. 4 Raffinement 23/11/2009 Page 44

© AIRBUS FRANCE S. A. S. Tous droits réservés. Document confidentiel. Ce document et son contenu sont la propriété d’AIRBUS FRANCE S. Aucun droit de propriété intellectuelle n’est accordé par la communication du présent document ou son contenu. Ce document ne doit pas être reproduit ou communiqué à un tiers sans l’autorisation expresse et écrite d’AIRBUS FRANCE S. A. S. Ce document et son contenu ne doivent pas être utilisés à d’autres fins que celles qui sont autorisées. Les déclarations faites dans ce document ne constituent pas une offre commerciale. Elles sont basées sur les postulats indiqués et sont exprimées de bonne foi. Si les motifs de ces déclarations n’étaient pas démontrés, AIRBUS FRANCE S. A. S serait prêt à en expliquer les fondements. © AIRBUS FRANCE S. All rights reserved. Confidential and proprietary document. AIRBUS, son logo, A 300, A 318, A 319, A 320, A 321, A 330, A 340, A 350, A 380 et A 400 M sont des marques déposées. 23/11/2009 Page 45