Présentations

 

Présentation de la problématique
 
L'objectif de cette courte introduction est de présenter la problématique qui sera traité par les différents intervenants et approfondie en fin de journée lors de la table ronde.
 
Agusti Canals (CS Communication & Systèmes) est un ingénieur Génie Logiciel (Université Paul SABATIER, Toulouse –M2 ISI). Il travaille à CS (http://www.c-s.fr) depuis 1981. Maintenant Directeur Adjoint de la Qualité et des Audits Techniques de CS, Manager de contrat qualifié par CS (Neptune, TOPCASED, OpenEmbeDD …) et Expert en génie Logiciel certifié par CS, certification qui s’accompagne des certifications OMG : certified « UML Professional » et « SysML Builder ». Il est membre de Ada France, SysML France (membre fondateur), l’AFIS et la SEE (membre actif au groupe Génie Logiciel et président du groupe Systèmes Complexes).

Principes de sûreté des grands systèmes industriels
La plupart des grandes installations industrielles à la base des économies modernes sont des systèmes à la fois complexes et à risque. L'objectif de l'exposé est de présenter les différents types de mesures prises pour garantir la sûreté des personnes et de l'environnement, ainsi que le bon fonctionnement de l'installation, avec des exemples tirés des systèmes de contrôle-commande de centrales nucléaires. Ces mesures concernent en premier lieu la conception d'ensemble de l'installation, afin de rechercher, autant que possible, des processus de fonctionnement stables et tolérant les écarts. Elles concernent ensuite l'analyse des risques et l'identification des protections permettant de les réduire à des niveaux acceptables. Les protections à mettre en place peuvent être déterminées sur des bases déterministes et/ou probabilistes. Le troisième type de mesures porte sur l'organisation d'ensemble des sous-systèmes chargés de ces protections, avec des notions telles que la défense en profondeur, l'indépendance et la séparation, la diversité. Enfin, le quatrième type de mesures s'applique à des sous-systèmes pris individuellement : classement de sûreté, cycle de vie, règles de conception, vérification et validation indépendante.
 
M.Thuy Nguyen (Edf) est actuellement Ingénieur Chercheur Senior à EDF R&D à Chatou. Il anime l'équipe Sûreté de Fonctionnement des Systèmes Programmés, et s'intéresse plus particulièrement aux systèmes de contrôle-commande numériques importants pour la sûreté des centrales nucléaires. Il est un membre actif de plusieurs groupes de travail internationaux sur ce sujet, en particulier dans le cadre de la Commission Electrotechnique Internationale (CEI) et de l'Agence Internationale de l'Energie Atomique (AIEA).

Démarche de Nexter Systems pour la sécurisation des développements par la modélisation fonctionnelle et la sûreté de fonctionnement
Afin de respecter les objectifs de performance coût délai toujours plus serrés et de satisfaire les exigences de sûreté de fonctionnement, Nexter System a déployé dans le cycle de développement de ses systèmes un processus outillé de validation par simulation de l'architecture fonctionnelle associée à sa démarche de sûreté de fonctionnement. Ce processus permet de sécuriser le développement de nos produits et de limiter les anomalies de fonctionnement en phase d'intégration. Il se base sur l'utilisation de langage-méthode-outil innovants qui permettent aux architectes systèmes de vérifier la complétude et la cohérence des documents de spécification d'un produit avant de lancer les développements. La présentation NEXTER commencera par décrire ce que sont ces language-méthode-outil, puis elle précisera le processus de validation associé mis en place dans le développement de nos système, et conclura sur l'objectif de faire converger ce processus avec celui mis en place dans le cadre de la démarche de sûreté de fonctionnement.
 
Rémi Boutemy (Nexter) est Architecte Système et référant en Modélisation fonctionnelle des systèmes chez NEXTER SYSTEMS ; Nicolas Stojanovic (Nexter) est Responsable du Service Testabilité et Sûreté de fonctionnement.

Vers la maîtrise des interdépendances sûreté-sécurité dans les systèmes complexes
Les systèmes industriels se complexifient et s’interconnectent, devenant pour certains des systèmes de systèmes. Dans ce contexte, la « sûreté » et la « sécurité », ainsi que les relations qui relient ces deux activités, deviennent prépondérantes dans la maîtrise des risques (dans cet exposé, la sûreté fait référence aux risques de nature fortuite ayant un impact potentiel sur l’environnement du système considéré, les biens et les personnes ; la sécurité relève des risques associés à la malveillance.). Aujourd’hui l’ingénierie dysfonctionnelle, qui regroupe ces deux activités, peut façonner un système critique au moins autant que l’ingénierie fonctionnelle classique.
L’objectif de notre présentation est d’abord d’exposer, par des exemples simples, les rapports entre sûreté et sécurité, ainsi que de souligner la nécessité de maîtriser leur interdépendances. Dans cette optique, nous proposons des pistes d’harmonisation des ontologies et des pratiques propres à ces deux activités. En outre, l’ingénierie système, et plus particulièrement l’ingénierie système dirigée par les modèles, offre un potentiel remarquable d’outils et d’approches pour faciliter l’intégration de la sûreté avec la sécurité. L’exploitation de ce potentiel est à peine initiée. À titre d’illustration, nous évoquerons le formalisme BDMP pour l’ingénierie dysfonctionnelle, initialement employé dans des études de sûreté, et récemment adapté à des études conjointes sûreté-sécurité. Nous fournirons aussi des éléments d’état de l’art et des perspectives plus génériques quant au traitement de la problématique sûreté-sécurité pour les systèmes industriels complexes.
 
Nicolas Chapon (CS Communication & Systèmes) est ingénieur système (Supaéro), spécialisé en sûreté / sécurité. Il intervient en avant-vente ou en réalisation sur plusieurs études de Sûreté de Fonctionnement ou de Sécurité des Systèmes d’Information, principalement pour la DGA, avec pour dominante le domaine du contrôle aérien. Il est également chargé des réflexions concernant l’outillage et les plateformes d’ingénierie système.
Ludovic Piètre-Cambacédès (EDF) est ingénieur-chercheur à EDF R&D, où il travaille sur la sécurité informatique des installations industrielles du groupe. Il contribue aussi activement à plusieurs groupes de travail internationaux sur la sécurité des systèmes numériques industriels, notamment pour l’AIEA (Agence Internationale de l’Énergie Atomique), la CEI (Commission Électrotechnique Internationale) et le CIGRÉ (Comité International des Grands Réseaux Électriques).

La confiance dans les systèmes navals
La sûreté de fonctionnement est actuellement un des enjeux majeurs dans l'ingénierie des systèmes complexes dans un contexte toujours plus prégnant de maîtrise, voire de réduction, des coûts et des délais. C'est encore plus vrai lorsque pour l’exploitation de ces systèmes, l'occurrence d'un incident ou d'un accident aurait des conséquences inacceptables pour les hommes ou leur environnement (installations nucléaires, navire de guerre avec en particulier le cas des sous-marins).
Dans ce contexte, et parmi les activités d'ingénierie/intégration nécessaires à l’acquisition de la confiance dans le système, une d’entre-elles nous semble recouvrir une importance particulière pour le concepteur réalisateur de produit : la gestion des processus d’intégration (physique et fonctionnelle), de vérification et de validation des matériels jusqu’au navire armé.
Pour livrer un produit sûr et adapté dans le cadre d’un programme respectant voire optimisant ses coûts et ses délais, il s’agit de porter son effort sur l’organisation, la maîtrise et l’optimisation de ce processus, c'est-à-dire, tout d’abord :
- garantir la coordination de multiples activités très hétérogènes depuis la prise en compte du cahier des charges jusqu’à la livraison du produit,
- assurer la synchronisation optimale d’un nombre considérable d’acteurs malgré les aléas
- garantir la sûreté de fonctionnement du produit tout au long de son cycle de vie, et la validation de la conception
La présentation s’attachera à mettre en exergue la spécificité de cette gestion pour l’obtention de la confiance dans le domaine des constructions navales militaires, en insistant sur les points à risques et les parades associées (aspects organisationnels ou informationnels, procéduraux, place du concepteur, de l’expert, de l’exploitant etc…).
 
Ph Nezondet (DCNS) est responsable du département Intégration, Vérification, Validation des systèmes de plateforme de DCNS . Il est actuellement plus particulièrement en charge d'optimiser le processus de validation de la conception pour les programmes nouveaux (frégate de type FREMM et sous-marin nucléaire d'attaque de type BARRACUDA) .

Techniques de vérification récentes par model checking et vérification de SdS
Le model checking est l’un des techniques de vérification formelle reconnue, entres autres au travers d’une utilisation industrielle (NASA, Airbus, etc.) et du prix Turing 2007, attribué conjointement à J. Sifakis, E.Emerson et E. Clarke. Cette technique a l’avantage d’être complètement automatisable mais souffre d’une explosion combinatoire qu’il faut combattre dès que la taille des systèmes analysés grandit. Il existe donc depuis longtemps une « course » entre les techniques permettant de traiter des systèmes toujours plus complexes d’une part, et la capacité des humains à concevoir des systèmes toujours plus complexe d’autre part. L’objectif de cet exposé est de faire le point sur des techniques récentes de représentation et d’analyse de systèmes complexes qui ouvrent des perspectives intéressantes, en particulier pour l’analyse des systèmes de systèmes.
 
Fabrice Kordon (Lip6) est professeur à l'Université P. & M. Curie, responsable de l'équipe Modélisation et Vérification du LIP6. Son domaine de recherche est à l'intersection des systèmes répartis, du Génie Logiciel et des méthodes formelles. Il s'intéresse en particulier à la modélisation/Vérification formelle dans le contexte du développement de logiciels complexes. Il est membre de nombreux comités de programmes de conférences internationales sur les activités de vérification logicielle et est membre du comité éditorial de la revue « Science of Computer Programming » (Elsevier)

l'approche dirigée par les modèles en sûreté de fonctionnement, le langage AltaRica
L'objectif de cet exposé est de discuter de l'approche dite dirigée par les modèles appliquée à la sûreté de fonctionnement des systèmes complexes. La discussion portera en particulier sur l'expérience accumulée pendant près de 10 ans avec le langage de modélisation AltaRica.
 
Antoine Rauzy (Ecole Polytechnique) est chercheur au CNRS et professeur chargé de cours à l'Ecole Polytechnique. Il a écrit de nombreux articles sur la sûreté de fonctionnement. Il est le concepteur d'outils d'analyse du risque leaders sur leur marché comme Aralia et les outils AltaRica. Il a été le fondateur et président de la start-up ARBoost Technologies et le directeur du département R&D d'ingénierie système chez Dassault Systèmes

La confiance dans les modèles : besoins, moyens et liens avec le MBSE
La confiance se définit selon certains comme une qualité qu’un acteur ou un groupe d’acteurs confère à une chose : un objet, une situation, une relation, un système… Ainsi, un groupe multi disciplinaire d’acteurs pourra acquérir de la confiance dans un système résultant d’un projet d’IS si il a réussi à :
- Formuler et valider les hypothèses sous lesquelles ce groupe d’acteurs travaille et les objectifs que ce groupe s’est fixé au regard du niveau de confiance à atteindre : s’agit-il de sûreté ? de performance ? d’une autre ‘i-lity’ ? de plusieurs choses en même temps ?
- Formuler et classer quelles sont les exigences que ce système doit respecter, les situations ou scénarios dans lesquelles il va devoir évoluer, les configurations à prévoir, les événements redoutés, les phénomènes émergents (si l’on se place aux bas niveaux d’émergence i.e. potentiels et prévisibles), les interactions du système avec son environnement, …
- Rechercher, argumenter, prouver, démontrer ou expertiser le fait que ces exigences sont respectées au travers de l’analyse de cette chose ou d’une de ses représentations i.e. un modèle qui se focalise alors sur une vue du système (comportementale, fonctionnelle, structurelle). Cela consiste alors à extraire et à analyser des faits, des situations vécues, à effectuer des essais, à prendre en compte des retours d’expériences, des prototypes, des modèles.
- Décider enfin et valider le niveau de confiance acquis, remettre en cause tout ou partie des résultats du projet ou approfondir la conception pour parer aux éventuelles « méfiances résiduelles » justifiées ou seulement associées à des réticences voire des freins psychologiques de certains acteurs.
- S’organiser et atteindre un certain niveau de maturité pour cela.
Cette présentation a pour objectif de lancer la discussion et de discerner quelques verrous sur lesquels certaines communautés travaillent autour des questions suivantes :
- Comment choisir les outils et les techniques de V&V qui serviront à argumenter l’atteinte d’un niveau de confiance sachant que l’on ne peut travailler à certains moments que sur des modèles ?
- Comment formuler sans perte et formaliser les attentes (exigences, faits émergents non conscients, insatisfactions non perçues, …) sous une forme permettant ensuite une analyse avec ces outils et ces techniques?
- Comment alors mettre en œuvre ces techniques de V&V, éventuellement de manière complémentaire pour pouvoir croiser les résultats, afin d’améliorer le niveau de confiance ?
- Comment interpréter les différences éventuelles entre les niveaux de confiance argumenté et attendu ?
- Comment s’organiser pour limiter la méfiance intrinsèque des acteurs impliqués dans ce travail de V&V i.e. comment évaluer la nécessaire maturité du groupe d’acteurs en termes de capacités et d’autonomie à la V&V et comment la faire évoluer ?
 
Vincent Chapurlat (Ecole des Mines D'Alès) est Dr, HdR de l’Univ. Montpellier II. Il est Professeur des Ecoles des Mines basé au LGI2P (Laboratoire de Génie Informatique et d'Ingénierie de Production) de l’École des Mines d'Alès. Au sein de ce laboratoire de recherche, il est responsable de l’équipe de recherche ISOE (Interopérable System and Organisation Engineering – http://www.lgi2p.ema.fr/ ). Ses thèmes de Recherche concernent plus particulièrement la modélisation de propriétés et la vérification de modèles de systèmes complexes par preuve formelle. Ces travaux ont été appliqués pour conceptualiser et outiller le processus de V&V en Ingénierie Système et, plus particulièrement, améliorer la modélisation (du système, des exigences), la formalisation de propriétés et la vérification de l’interopérabilité ‘native’ des systèmes complexes dès leur conception.