1 processus de validation basée sur la notion de propriété marcel gallardo ratp
TRANSCRIPT
![Page 1: 1 Processus de validation basée sur la notion de propriété Marcel Gallardo RATP](https://reader035.vdocuments.pub/reader035/viewer/2022070309/551d9d8e497959293b8c344d/html5/thumbnails/1.jpg)
1
Processus de validation basée sur la notion de propriété
Marcel Gallardo
RATP
![Page 2: 1 Processus de validation basée sur la notion de propriété Marcel Gallardo RATP](https://reader035.vdocuments.pub/reader035/viewer/2022070309/551d9d8e497959293b8c344d/html5/thumbnails/2.jpg)
2
Sommaire
• Présentation de METEOR
• Processus de développement MTI
• Processus de validation RATP
• Essais accrédités par le COFRAC
• Conclusions
![Page 3: 1 Processus de validation basée sur la notion de propriété Marcel Gallardo RATP](https://reader035.vdocuments.pub/reader035/viewer/2022070309/551d9d8e497959293b8c344d/html5/thumbnails/3.jpg)
3
Présentation de METEOR
![Page 4: 1 Processus de validation basée sur la notion de propriété Marcel Gallardo RATP](https://reader035.vdocuments.pub/reader035/viewer/2022070309/551d9d8e497959293b8c344d/html5/thumbnails/4.jpg)
4
le SAET de METEOR, c'est ...
• Un système automatique complexe fortement intégrématériel roulant, équipements électriques, infrastructures, automatismes, ...
• Six sous-systèmes :- Moyens audio et vidéo
- Poste de Commande Centralisée
- Logique traction
- Portes palières
- Pilotage automatique
- Signalisation
![Page 5: 1 Processus de validation basée sur la notion de propriété Marcel Gallardo RATP](https://reader035.vdocuments.pub/reader035/viewer/2022070309/551d9d8e497959293b8c344d/html5/thumbnails/5.jpg)
5
le SAET de METEOR, c'est ...
• la mixité des circulations Trains équipés d’automatismes
- mode de conduite automatique intégrale ou
- mode de conduite manuel
et trains non équipés
![Page 6: 1 Processus de validation basée sur la notion de propriété Marcel Gallardo RATP](https://reader035.vdocuments.pub/reader035/viewer/2022070309/551d9d8e497959293b8c344d/html5/thumbnails/6.jpg)
6
et METEOR est aussi devenula ligne 14 du métro parisien
• Mise en service le 15 octobre 1998
• 7,2 km de ligne exploitée, de Madeleine à Bibliothèque François Mitterrand pour 7 stations
• dès maintenant une capacité de 25 000 voyageurs par heure et par sens
• 19 trains de 6 voitures (extension à 8 voitures prévue)
• une vitesse commerciale de 40 km/h
• un intervalle de 85 secondes pour les trains en Conduite Automatique Intégrale
![Page 7: 1 Processus de validation basée sur la notion de propriété Marcel Gallardo RATP](https://reader035.vdocuments.pub/reader035/viewer/2022070309/551d9d8e497959293b8c344d/html5/thumbnails/7.jpg)
7
Un automatisme complexe1 - vidéo-surveillance train
2 - inter-phonie train
3 - vidéo-surveillance quai
4 - inter-phonie quai
5 - portes palières
6 - pilotage automatique embarqué
7 - tapis de transmission
8 - transmission sol - bord
9 - signalisation
10 - pilotage automatique fixe
- 1 PA de ligne
- des PA de section
11 - poste de commandes centralisé
![Page 8: 1 Processus de validation basée sur la notion de propriété Marcel Gallardo RATP](https://reader035.vdocuments.pub/reader035/viewer/2022070309/551d9d8e497959293b8c344d/html5/thumbnails/8.jpg)
8
Une architecture répartie de calculateurs redondés
Pilote Automatique de Ligne
PiloteAutomatique
Sol 1
Pilote AutomatiqueEmbarqué1
Pilote AutomatiqueEmbarqué2
PiloteAutomatique
Sol 2
PiloteAutomatique
Sol n
……
Poste de commandecentralisé
![Page 9: 1 Processus de validation basée sur la notion de propriété Marcel Gallardo RATP](https://reader035.vdocuments.pub/reader035/viewer/2022070309/551d9d8e497959293b8c344d/html5/thumbnails/9.jpg)
9
Présentation du processus de développement
![Page 10: 1 Processus de validation basée sur la notion de propriété Marcel Gallardo RATP](https://reader035.vdocuments.pub/reader035/viewer/2022070309/551d9d8e497959293b8c344d/html5/thumbnails/10.jpg)
10
le rôle des acteurs, côté logiciels
Le Constructeur MTI La RATP
conçoit et valide contrôle et validepar
spécificationsdéveloppement dont ..
..méthode Butilisation de l'atelier B
preuve Btranscodage
testsgénération des donnéesgestion de configuration
parmodélisations statiques
analyses de sécuritéprocessus de revues
traçabilitévalidation des règles B
analyse de codetests des exigences .. ..de sécurité
couverture des testsvalidation des données
les méthodesleur application
la traçabilitéles documents
les règles Bles preuves B
parmodélisations dynamiquesanalyse des algorithmes
travaux sur l'atelier Btests fonctionnels et....tests agressifs sur ..
..calculateur ciblecouverture des tests
validation des donnéesrégénération du codegest. de configuration
![Page 11: 1 Processus de validation basée sur la notion de propriété Marcel Gallardo RATP](https://reader035.vdocuments.pub/reader035/viewer/2022070309/551d9d8e497959293b8c344d/html5/thumbnails/11.jpg)
11
Séparation du code et des données
STBL
EXECUTABLE
Description de la ligne
Modèle B
Invariants de BesoinCode ADA sécurisé
Caractéristiquesdes trains
![Page 12: 1 Processus de validation basée sur la notion de propriété Marcel Gallardo RATP](https://reader035.vdocuments.pub/reader035/viewer/2022070309/551d9d8e497959293b8c344d/html5/thumbnails/12.jpg)
12
le cycle de vie des logiciels B
spécification littéraledu logiciel
tests fonctionnels
ré-expressionformelle en B
conceptionformelle
génération deprogramme
(automatique)
intégrationlogicielle
preuve
preuve
preuve
![Page 13: 1 Processus de validation basée sur la notion de propriété Marcel Gallardo RATP](https://reader035.vdocuments.pub/reader035/viewer/2022070309/551d9d8e497959293b8c344d/html5/thumbnails/13.jpg)
13
Processus d’élaboration des données
Description de la ligne
InvariantsTopologique
PAE
InvariantsTopologique
PAL
InvariantsTopologique
PAS1
InvariantsTopologique
PASn
Outilde
Génération
CaractéristiquesDes trains
![Page 14: 1 Processus de validation basée sur la notion de propriété Marcel Gallardo RATP](https://reader035.vdocuments.pub/reader035/viewer/2022070309/551d9d8e497959293b8c344d/html5/thumbnails/14.jpg)
14
Présentation du processus de validation RATP
![Page 15: 1 Processus de validation basée sur la notion de propriété Marcel Gallardo RATP](https://reader035.vdocuments.pub/reader035/viewer/2022070309/551d9d8e497959293b8c344d/html5/thumbnails/15.jpg)
15
Cycle de vie en V
CDCF
SFE
STBL
EXECUTABLE
Tests FonctionnelsModélisation
![Page 16: 1 Processus de validation basée sur la notion de propriété Marcel Gallardo RATP](https://reader035.vdocuments.pub/reader035/viewer/2022070309/551d9d8e497959293b8c344d/html5/thumbnails/16.jpg)
16
Processus RATP
• Certification du calculateur de base
• Validation fonctionnelle indépendante de celle de l’industriel
• Contrôle RATP des activités de l’industriel
![Page 17: 1 Processus de validation basée sur la notion de propriété Marcel Gallardo RATP](https://reader035.vdocuments.pub/reader035/viewer/2022070309/551d9d8e497959293b8c344d/html5/thumbnails/17.jpg)
17
Certification du calculateur
Pour Météor la RATP a
• Vérifié les démonstrations de sécurité
• Mené ses propres analyses :
- Identification des fonctions de sécurité
- Prise en compte et déclinaison des exigences de sécurité
![Page 18: 1 Processus de validation basée sur la notion de propriété Marcel Gallardo RATP](https://reader035.vdocuments.pub/reader035/viewer/2022070309/551d9d8e497959293b8c344d/html5/thumbnails/18.jpg)
18
Méthode de validation RATP (1)
• Formalisation des activités et responsabilités par un Plan de Validation des logiciels
• Formalisation de la méthode de détermination des tests par des Plans de tests de niveau équipement
• Formalisation de la méthode de validation des données par des Plans de validation des données de niveau équipement
![Page 19: 1 Processus de validation basée sur la notion de propriété Marcel Gallardo RATP](https://reader035.vdocuments.pub/reader035/viewer/2022070309/551d9d8e497959293b8c344d/html5/thumbnails/19.jpg)
19
Méthode de validation RATP (2)
• Réflexion depuis les niveaux sous-système et équipement
• Modélisation dynamique des spécifications :- validation des spécifications
- préparation des cahiers de tests
• Validation du logiciel sur calculateur cible
• Mesure de la couverture des tests / spécifications
![Page 20: 1 Processus de validation basée sur la notion de propriété Marcel Gallardo RATP](https://reader035.vdocuments.pub/reader035/viewer/2022070309/551d9d8e497959293b8c344d/html5/thumbnails/20.jpg)
20
Méthode de validation RATP (3)
• Validation des principes fonctionnels basée sur la détermination de propriétés de sécurité
• Validation des interfaces entre équipements par l’analyse de fonctions transversales
• Validation des données par reconstruction à partir des codes sources des données géographiques
![Page 21: 1 Processus de validation basée sur la notion de propriété Marcel Gallardo RATP](https://reader035.vdocuments.pub/reader035/viewer/2022070309/551d9d8e497959293b8c344d/html5/thumbnails/21.jpg)
21
Principe de Modélisation
PROCESSUS ENVIRONNEMENT
Transitions accessibles àl'utilisateur- Défaillances- Réparations- Activations- …
PROCESSUS D'OBSERVATION
ENTREES :- Environnement- Résultats de calcul
SORTIES :- Vérification des séquences de
calcul- Vérification des équations
EVALUATION LOCALE DESETATS ATTEINTS
PROCESSUS D'EVALUATION
EVALUATION DES ETATSGLOBAUX
- Par sous-fonction- Pour la fonction
EVALUATION DESPROPRIETES
SITUATIONS PHYSIQUES EQUATIONS DU SYSTEME PROPRIETES
![Page 22: 1 Processus de validation basée sur la notion de propriété Marcel Gallardo RATP](https://reader035.vdocuments.pub/reader035/viewer/2022070309/551d9d8e497959293b8c344d/html5/thumbnails/22.jpg)
22
OBSERVATEUR
On observe le résultat de l’application des principes définis dans les spécifications sur les événements issus de l’environnement.
* Vérification des séquences de calcul et de l’état atteint
* Vérification des équations de la fonction observée
IL PERMET LE LIEN AVEC LA CONCEPTION FORMELLE B
Les propriétés de CORRECTION et de COMPORTEMENT <--> INVARIANTS B
IDENTIFICATION SYSTEMATIQUE DE SCENARII :
* Situations physiques (trains, matériel),
* Définition des étapes transitoires (séquencement des états de calcul),
* Valeurs attendues
![Page 23: 1 Processus de validation basée sur la notion de propriété Marcel Gallardo RATP](https://reader035.vdocuments.pub/reader035/viewer/2022070309/551d9d8e497959293b8c344d/html5/thumbnails/23.jpg)
23
EVALUATEUR
• IL VERIFIE L’ENSEMBLE DES PROPRIETES DE SECURITE :
Il évalue, A PARTIR DE SA PROPRE BASE DE REGLES, la correction et la cohérence des sorties produites en fonction des entrées issues de l’environnement.
• IL CONSTITUE UNE AIDE AU DEPOUILLEMENT DES RESULTATS DES TESTS SUR CIBLE :
Les propriétés sont vérifiées sur les résultats produits lors de l’exécution des scénarii de test.
![Page 24: 1 Processus de validation basée sur la notion de propriété Marcel Gallardo RATP](https://reader035.vdocuments.pub/reader035/viewer/2022070309/551d9d8e497959293b8c344d/html5/thumbnails/24.jpg)
24
Exemple de propriété de sécurité
• P2 : seuls les trains équipés, localisés et ayant un mode de conduite automatique peuvent disposer d’une cible
• P3 : L’état interne du PAS représentant l’occupation de la voie doit être cohérent avec l’ensemble des trains (équipés ou pas) présent dans la zone gérée par ce PAS.
![Page 25: 1 Processus de validation basée sur la notion de propriété Marcel Gallardo RATP](https://reader035.vdocuments.pub/reader035/viewer/2022070309/551d9d8e497959293b8c344d/html5/thumbnails/25.jpg)
25
Outils de modélisation
• ASA , ASA+ :• SADT
• Automate étendue communicant
• Noyau de vérification
• ELSIR : • Réseau de pétri
![Page 26: 1 Processus de validation basée sur la notion de propriété Marcel Gallardo RATP](https://reader035.vdocuments.pub/reader035/viewer/2022070309/551d9d8e497959293b8c344d/html5/thumbnails/26.jpg)
26
La Validation des données
• Vérification sur le terrain des données initiales
• Validation outillée par la RATP– effectuant la fonction de transfert inverse
– vérifiant le respect des contraintes de sécurité (exprimées formellement dans le langage LPIC)
![Page 27: 1 Processus de validation basée sur la notion de propriété Marcel Gallardo RATP](https://reader035.vdocuments.pub/reader035/viewer/2022070309/551d9d8e497959293b8c344d/html5/thumbnails/27.jpg)
27
Outils de validation des données
Descriptionde la ligne
InvariantsTopologique
d'un équipement
Outilde
Génération
DonnéesGénérées
Outilde
Comparaison
Outil deVérification
des Contraintes
OK ou KOOK ou KO
Caractéristiquesdes trains
![Page 28: 1 Processus de validation basée sur la notion de propriété Marcel Gallardo RATP](https://reader035.vdocuments.pub/reader035/viewer/2022070309/551d9d8e497959293b8c344d/html5/thumbnails/28.jpg)
28
Exemple de contrainte sur les données
• P4 : L’ensemble des circuits de voie forme une partition de la voie.
• P10: Il existe une cible (unique) par sens autorisé pour un CV. Le sens de ralliement de la cible est nécessairement celui du CV.
• P15: Il doit y avoir deux DN de substitution par CdV substituable.
![Page 29: 1 Processus de validation basée sur la notion de propriété Marcel Gallardo RATP](https://reader035.vdocuments.pub/reader035/viewer/2022070309/551d9d8e497959293b8c344d/html5/thumbnails/29.jpg)
29
Accréditation par le COFRAC
![Page 30: 1 Processus de validation basée sur la notion de propriété Marcel Gallardo RATP](https://reader035.vdocuments.pub/reader035/viewer/2022070309/551d9d8e497959293b8c344d/html5/thumbnails/30.jpg)
30
Accréditation COFRAC
• Action stratégique décidée par la direction du département ESE sous l ’impulsion des tutelles
• Référentiel qualité du laboratoire basé sur les normes EN 45 001 et EN 50 128
• Procédures métiers basées sur la démarche de validation RATP
• Élargir le périmètre des marchés et Garantir au client compétence, indépendance et impartialité
![Page 31: 1 Processus de validation basée sur la notion de propriété Marcel Gallardo RATP](https://reader035.vdocuments.pub/reader035/viewer/2022070309/551d9d8e497959293b8c344d/html5/thumbnails/31.jpg)
31
Essais accrédités (1)
• Accréditation sur 5 essais du programme 152 du COFRAC :- Essai SUR1 : Vérification orientée Sûreté de Fonctionnement de la documentation de spécification du logiciel
- Essai SUR2 : Modélisation orientée Sûreté de Fonctionnement de la spécification du logiciel
![Page 32: 1 Processus de validation basée sur la notion de propriété Marcel Gallardo RATP](https://reader035.vdocuments.pub/reader035/viewer/2022070309/551d9d8e497959293b8c344d/html5/thumbnails/32.jpg)
32
Essais accrédités (2)
- Essai SUR 11 : Mesure de couverture des exigences de Sûreté de Fonctionnement par les tests
- Essai SUR 13 : Tests de validation orientée Sûreté de Fonctionnement
- Essai SUR 14 : Analyse orientée Sûreté de Fonctionnement de l’impact des modifications du logiciel
![Page 33: 1 Processus de validation basée sur la notion de propriété Marcel Gallardo RATP](https://reader035.vdocuments.pub/reader035/viewer/2022070309/551d9d8e497959293b8c344d/html5/thumbnails/33.jpg)
33
CONCLUSIONS
![Page 34: 1 Processus de validation basée sur la notion de propriété Marcel Gallardo RATP](https://reader035.vdocuments.pub/reader035/viewer/2022070309/551d9d8e497959293b8c344d/html5/thumbnails/34.jpg)
34
Quelques éléments statistiques sur le développement
• 1 150 composants B
• 115 000 lignes de code B
• 27 800 obligations de preuve
• 150 000 lignes de code ADA (données comprises) pour les 3 équipements
![Page 35: 1 Processus de validation basée sur la notion de propriété Marcel Gallardo RATP](https://reader035.vdocuments.pub/reader035/viewer/2022070309/551d9d8e497959293b8c344d/html5/thumbnails/35.jpg)
35
sur le processus RATP
• 20 Dossiers de principe
• 23 Modèles
• 30 Cahiers de tests
• Plus de 5 000 tests en environnement temps réel simulé.
![Page 36: 1 Processus de validation basée sur la notion de propriété Marcel Gallardo RATP](https://reader035.vdocuments.pub/reader035/viewer/2022070309/551d9d8e497959293b8c344d/html5/thumbnails/36.jpg)
36
Anomalie/Remarques
• 400 remarques critiques pour la sécurité au niveau des spécifications
• 110 anomalies sur l’ensemble des versions des logiciels de sécurité (3 versions sur 3 applicatifs différents)
![Page 37: 1 Processus de validation basée sur la notion de propriété Marcel Gallardo RATP](https://reader035.vdocuments.pub/reader035/viewer/2022070309/551d9d8e497959293b8c344d/html5/thumbnails/37.jpg)
37
le bilan sur METEOR
• Un processus de vérification de spécification basée sur les propriétés (fonctions + données)
• Un processus de tests sur cibles avec vérification de propriétés
• Un logiciel qui a fonctionné dès sa première installation
• Une maîtrise accrue des évolutions
• et ... la conviction de la sécurité