Академический Документы
Профессиональный Документы
Культура Документы
ferroviaires communiquant et
hétérogènes : impact sur la sécurité et la
cer9fica9on
14:40-15:30 : Jean-Louis Boulanger
CERTIFER
Thème de la journée
• Les systèmes embarqués occupent une place importante dans les moyens
de transport. Ceci s’explique par le fait qu’aujourd’hui, plus de 90% des
innova9ons dans le secteur des transports, rou9ers comme l’automobile,
aéronau9ques ou ferroviaires, sont dues directement ou indirectement
aux avancées technologiques dans les domaines de l’informa9que et de
l’électronique embarquées. Les systèmes embarqués, dans les moyens de
transport modernes, deviennent de plus en plus complexes et ils
con9ennent, dans certaines plates-formes, plusieurs dizaines de
processeurs.
• CePe complexité répond aux besoins des constructeurs, pour offrir des
fonc9onnalités de plus en plus avancées comme l’aide à la conduite, la
communica9on véhicule-à-véhicule ou la conduite automa9que.
Grâce aux progrès technologiques, les performances (vitesse d’exécu9on)
ne sont plus de nos jours la seule figure de mérite.
Les ou9ls de concep9on des systèmes embarqués doivent maintenant
prendre en compte aussi la fiabilité, la dissipa9on thermique, la
cer9fica9on et la vérifica9on du logiciel exécuté.
CERTIFER
q Evalua&on de la sécurité et de la conformité dans le domaine du
ferroviaire
!
!"#$%&'(#)*+(#&,-./0,.*/$&121.#0&!"#$
%&'("(#)'#*+',*#-+'(.+-)'#&$#.3/45&.#67$/(/82
D.7#4$#.&.4,*$&+,65+/$#&NPPP&B@*.A1
D.7#4$#.&6/$1*1.&$#.3/45&NPP&B@*.A1 <L!OHFD?
AJS&
$%2C
,G ,G
$%&'
$%&"
A2 +,"
$G+
G&'
$G+
2,'
G&"
G&M
!3 !9 ! .
!: !'. !' !" !# !7 !1 !8 !3 !9 A,/ "#$%&%'() "#$%&%'() G0>C?..0!+HE00!
!' !" A%/ A2J ,G ,G A2 A2 A2 A2 ,G ,C+A 2;
/' 2
MG I-!0
<"=*#>,!?@3A#B
'-& MG
F)
/0 '&& 0&&
!"#$%&"
* /
$JJK $JJK
'(
"#$%&%'() "#$%&%'()
2FEE>
2,"#" A6L>=*>6 A6L>=*>6 /. -& !" .&&
2,"#" A6L>=*>6
!'# !1 !8
A6L>=*>6(OBK$P
%JK %JK
;<.< !1 !"
!'. & 1&&
./0"#1"/
/1
9!:,';
2E0/
'2
0 JK JK
+,- "#$%&%'()
/-
0
!"#$%&'()*
+,0(A%/ A6L>=*>6 A6L>=*>6 /5 !
3456,*7/,'8
()*+,-.+/-,,0/.0! A6L>=*>6
KGB&A&K<LG&A
$%&''
!'" !# !7 +,0(A%/
!'
!"#$%&'%()
$%&'1 23456758+(9:4926+295; !7
C!D,'E
$%&'1 ()*+</=+.><?,+!<.<
$%&'1 @<A.+B->+</=+.><?,+!<.<+B>-C+()*DDD $%&''
3?!0 '%
3+456#*7
>JEF
' 0 . 1 - 5 4 % 3 & ($ (2
A6L>=*>6(OBK$P
!: G4H>= A6L>=*>6 A6L>=*>6
G4H>=
345D,*7/,'D
H)@/)/3":
345D,%1,'6
!'' !' !"
;+$0"+<-
!#
)*+"#,'-
9!
GH
!*6$4.'()*
-5$*%# :$-E&/1
+# 89 89 @: A:,
"'1<''B
*7C#%2
*7C#%$
A/)/3":'-5$*%#
*A,
*A,
R(,*"+ QR>?24SO D/3()
*+ :3 :3 A3:
LGTUV
%()*+(&',)$*
*1;<='<1%$
$)*"+K/%"
A:,
(>
(K
9QH'U'SC8 9QH'(+'+"@(*"'2C>
*1;<='<1%2
;EFNN
A3:
(D
()
!6;$1&/'( !"#$1&/'() --($%&/'(5*/6 -7($%&&'(0 -8($%&4'(5 !"#$%&/'() --($%&/'(5*/6 -7($%&&'(0 -8($%&4'(5
A2 +, 2&
:6,E!B=F
2& 2& 2& 2& M .. .' ." .# .7 .1 .8 .3 +, 2& A2 +, 2& 2& +, 2& M .. .' ." .# .7 .1 .8 .3 +, 2& M .. .' ." .# .7 .1 .8 .3 +, 2&
@:.%H*",I
2& 2& 2& IN +, J; M .. .' ." .# .7 .1 .8 .3 +, 2&
K .. .' ." .# .7 .1 .8 .3 , A2 K N. N' N" N# M .9 .: '. '' '" '# '7 '1 +, A2 K .. .' ." .# .7 .1 .8 .3 , A2 K N. N' N" N# M .9 .: '. '' '" '# '7 '1 +, A2
(J
AJS&
$%2C
$%&'
$%&"
$%&'
$%&"
$%&#
$%&'
$G+
$G+
2,'
$G+
M .9 .: '. '' '" '# '7 '1 +,
K N7 N1 N8 N3 M '8 '3 '9 ': ". "' "" "# +, M .9 .: '. '' '" '# '7 '1 +,
K N7 N1 N8 N3 M '8 '3 '9 ': ". "' "" "# +,
A2 A2 A2 A2 A2 A2 A2 ,G ,C+A 2;
A2 I0 A2
K .9 .: '. '' '" '# '7 '1 , M "7 "1 "8 "3 "9 ": #. #' +, K .9 .: '. '' '" '# '7 '1 , M "7 "1 "8 "3 "9 ": #. #' +,
7 1 7 1
"# 83 "# 83
<"=*#>,!?@3A#B
2,"#" ,>=D)E>
F) N. N' M.. M'8 ' ' N. N' M.. M'8
,#
;(('.
,"
. 9 . 9
: B :
%<<=>??
!"#$%&"
7 1
'' '' "# 83 "# '' ''
M." M'9 ' ' M." M'9
,7
,'
. 9 ;((' .
'" '" : '" '" M.# M':
M.# M':
9QH'(+'+"@(*"'2C>
3/?<=%($
$%&#(456(!1
;EFNN
$%&#()*(!8
7 1
@:
MQK MQK M.7 M". "# 83 MQK MQK M.7 M".
0)6(=@6>
@:.%(2
N" N# ' N" N# G-
,1
. 9
./0"#1"/
.' .: '' '' M.8 M"" .' .: '' '' M.8 M""
." '. '" '" M.3 M"# ." '. '" '" M.3 M"#
$%&"()*(!7
!"#$%&'%()
C!D,'E
.1 '# .1 '#
$%&'(456
'' ''
$%&'()*
'' '' M.9 M"7 M.9 M"7
!"
!#
.8 '7 '" '" .8 '7 '" '" M.: M"1
M.: M"1
.3 '1 .3 '1 3)9,262@I
M'. M"8 M'. M"8
N8 N3 N8 N3
+,' +," +,' +," M'' M"3
M'' M"3
'7 '7 '7 '7
.-' .-" .-' .-" M'" M"9
'' '' M'" M"9 '' ''
;EFM
'" '" M'# M": +,- '" '" M'# M":
345D,*7/,'D
345D,%1,'6
$%&'(456(!'
$%&'()*(!"
2,"#"
)*+"#,'-
G4H>=
" ! # $ % & ' ( " ! # $ % & ' (
M'1 M#' M'1 M#'
!'
!3
+, +, +, !
9! +, +,
+," +,7 +," +,7
.- .- .- .- .-
GH
.-" .-7 .-" .-7
.-
;EFN C#7*6(#&&+-1&;EF/"#$
;EFQ&&RNSMS
!"#$%&/'() !".$%&/'() !"#$%&&'()*+,- ,<:$1&/'( !"#$1&/'() --,$%&/'() 68($%&/'()*/4: -8($%&&'(9 --($%&/'(5*/6 -8($%&4'(5
2& +, 2& 2& A2 +, 2& +, 2& 2& % 0 %0 % 0 2& 2& +, 2& A2 2&
A!J 2& 2& 2& IN +, J;
! .. .' ." .# .7 .1 .8 .3 +, 2& M .. .' ." .# .7 .1 .8 .3 +, 2& M .. .' ." .# .7 .1 .8 .3 +, 2&
$%&'
K .. .' ." .# .7 .1 .8 .3 , A2 M .9 .: '. '' '" '# '7 '1 +, A2
J2/
2& A2 K& ,
/-0
$G+
2$-
A2
$%&'
AJS&
$%2C
$%&'
$%&"
J2/
/-0
$G+
2$-
$%&'
$G+
CC$
$G+
2,'
$%&(GI'
2& A2 K& , *+ ! .9 .: '. '' '" '# '7 '1 +, M .9 .: '. '' '" '# '7 '1 +, M '8 '3 '9 ': ". "' "" "# +,
"50
A2 I0 A2 A2 I0 A2 A2 A2 A2 A2 ,G ,C+A 2; A2 A2
$%&(GI"
K .9 .: '. '' '" '# '7 '1 , M "7 "1 "8 "3 "9 ": #. #' +, *+,$-.'()/
7 1 7 1 7 1 $C 7 1
"# 83 "# 83 "# 83 %0 AB "# 83 "#
7 1
2,"#" ,>=D)E>
83
2,"#" ,>=D)E>
0; 0;
+0 +0
!6;$/
<"=*#>,!?@3A#B
' ' ' : ' '
/4<>
F) M.. M'8
,#
,"
,#
9 ;(('.
,9
,"
. 9 ;(('. . 9 . 9 . . 9
,#
. 9 ;(('. !6;$4
%<<=>??
#4 #/ #2
8 A
A
C$0% 1 7 # " C$0%
!"#$%&"
'. '. '.
'" '' '" '' '" '' M.' M'3
7 1 $C M.$ M'$
"#
7 1 "# %0 "# "#
7 1
'(
83 "# 83 AB 83
' ' ' : ' ' M." M'9
,3
. ;F
,7
,'
. 9 ;((' 9 .
,7
9
,7
,'
%<<=>??
: :
!6;$/$?@A
8
1 7 # "
!6;$/$=>
$%&(/K&"
M.# M':
5(:$64
5(:$6/
M.- M'-
$%&(GI"
"#
7 1
%0
$C 7 1 !
"#
7 1
83 83 AB "# 83
0)6(=@6>
0)6(=@6>
0)6(=@6>
M.7 M".
!7
!1
,8
,1
. 9 9 . F;
,1
. 9 "
,1
. 9
: '1 : 3 ' '1 :
./0"#1"/
'1 ,7-+
8
1 7 # " .. .9 M.1 M"'
# 3(:*6#(*6!(
9!:,';
'2
M"$ M#$
.' .: M.8 M""
M"R M#R $
." '. M.3 M"# )50
3B 3B
M"- M#- %&
!"0
.# '' +,' +,#
%!
.7 '" .-' .-#
3456,*7/,'8
8*7
%"
$%&(/K&'
!"#$%&'%()
$%&(GI'
$%&'(456
$%&'(456
M7$ M1$
$%&'()*
$%&'()*
C!D,'E
$%&'(456
.1 '#
$%&'()*
M.9 M"7
!6;$4$?@A
%#
!"
!#
!6;$4$=>
!"
!#
!"
!#
5(:$:4
5(:$:/
M7R M1R
!"
!#
30<
.8 '7
<#
%$ M.: M"1
M7- M1-
.3 '1 M'. M"8
!&
,-.%&' ,-.%/01 +,' +," M'' M"3
($ (2 !!
M8$ M3$
0;
.-' .-"
+0
!::
!" M'" M"9
!:,
+,- &$ M8R M3R
+,- !# M'# M":
345D,*7/,'D
/-0(456((!7
345D,%1,'6
M8- M3-
/-0()*((!1
+, +,
2,"#"((!3
+, M'7 M#.
!$
G4H>=
G4H>=
!'
!'
2,"#"
G4H>=
+, +,
)*+"#,'-
M'1 M#'
!'
!3
+, +, '&
G4H>=
9!
!'
.- .-
.- .- +," +,7
'!
.- GH .-
T/*"5/1
.- .-" .-7
!"#$%#&#'()*+,$-.%$/0&(120+'(1*+3&$30(*/3(1*+
454(#/$1+$'*+()*&$366&1'3(1*+4$2*)7
! !"#$%&"'%()*+(&',)$*- ! ./0/*(+1
! 2)/,3,+/*$() ! .$3#*$)3
! 4"*5(+6'*"%#)(&(3$"- ! 7!89
! >,*"+'/):'$))"+':((+- ! ?/,&*'@"--/3"-
! D#""&'-&$:"'E+(*"%*$() ! F/**"+1'@/)/3"@")*
! !"#$%&"':$/3)(-*$% ! ;+$0"+<-'%/=
! A(*(+B'C'3"/+',)$* ! D$+"&"--'%(@@,)$%/*$()
Que de logiciel
• Ini9alement : la sécurité reposait sur la
signalisa9on
50129
50159
Equipement Equipement
50128 50155
Cadre
• Les normes fournissent un cadre
• Ce cadre est un point de vue de l’état de l’art
• Une technique ou une approche non présente
dans la norme ne signifie pas son rejet
• Concernant le besoin :
– Aspect financier (solu9on moins onéreuse, etc.)
– Aspect délais (gain sur les délais de dev/..)
– Aspect charge (gain sur les ac9vités, …)
– Aspect efficacité
– …
– Aspect démonstra9on sécurité
Exemple
• Soit un système ferroviaire X, la taille du
logiciel est en général de 400 000 lignes
– Il a été choisi de le développer en C++
– Impact
• Environ 1 000 000 de lignes de code C++
– 60% du code concernent des classes abstraites ou d’interfaces
– 40% représentent le code exécutable
• Difficulté à tester le C++
• Difficulté à relire l’ensemble du code
Cycle de vie de la sécurité
Cycle de vie
Concept -1 Modification/mise à niveau -12
Exigence du système-4
Validation du système -9
Fabrication -7
Safety Assurance Plan
1
Concept
2 11 14
System Definition & 10
Operation and De-commissioning
System Acceptance
Application Conditions Maintenance and Disposal
PHA
3
Safety-Case
Risk Analysis
5
Apportionment of
System Requirements
6 8
Sta9c analysis Design and
Implementation Installation
(hardware,
souware, …)
7
Safety review Manufacture
Hazard-Log
Hazard-Log
Besoins
• Démonstra9on de la sécurité du produit
– Cer9ficat des composants
• Fiabilité et Disponibilité
• Maitrise de la sécurité jusqu’au retrait
– Capacité à maitriser les évolu9ons après la mise
en service et jusqu’au retrait
– Capacité à déployer de nouvelles versions
• Maitrise de l’obsolescence
– Au moins 40 années d’exploita9on
Démonstra9on de la sécurité du
produit (1/3)
• Pour un produit nouveau :
• Cer9ficat de produit
• Retour d’expérience documenté
• Valida9on du produit
• Difficulté :
• DAL est différent de SIL et SSIL
• ASIL est différent de SIL et SSIL
• SIL (61508) est différent de SIL(CENELEC)
Démonstra9on de la sécurité du
produit (2/3)
• Pour la démonstra9on de sécurité, il est
nécessaire de démontrer la compétence des
personnes :
• Besoin de définir une méthodologie;
– Guide
– Instruc9on
– Etc.
• Besoin de forma9on;
• Etc.
Démonstra9on de la sécurité du
produit (3/3)
• Pour la démonstra9on de sécurité, il est nécessaire de
démontrer que les exigences sont prises en comptes:
• Besoin de testabilité ;
• Besoin de rejeu des ac9vités;
• Besoin de définir une méthodologie;
• Etc.
5. PL/M D.54 R R R NR NR
• Ajout de la capacité 6. BASIC D.54 R NR NR NR NR
d’u9liser d’autres
7. Assembler D.54 R R R R R
8. C# D.54 R R R R R
D.35
NOTE 2 If a specific language is not in the table, it is not automatically excluded. It should, however, conform to Clause D.54.
NOTE 3 Run-time systems associated with selected languages which are necessary to run application programs still have to be
justified for usage according to the Software Safety Integrity Level.
2297
SSIL Clauses#4#
Application Data
Clauses#8#
Clauses#6# Clauses#9#
Clauses#7#
Software Assurance Maintenance
Deployment
Generic software
Annex#A# Annex#D#
Technics Bibliography of technics
37
Innova9ons possibles
• Évolu9on méthodologique
– Modélisa9on
– Vérifica9on sta9que
– Etc.
• U9lisa9on d’ou9ls
• Environnement d’exécu9on
– Machine virtuelle
– Couche logicielle
• Par99onnement
• Virtualisa9on
• Etc.
Évolu9ons méthodologiques
• Démontrer la prise en compte de la CENELEC
50128
• Ou une efficacité similaire
– Jus9fica9on
– Demande d’accepta9on de la jus9fica9on par
l’évaluateur
U9lisa9ons d’ou9ls
• Jus9fica9on de l’u9lisa9on par rapport au processus de la 50128
• Qualifica9on des ou9ls
– 3 classes T1,T2,T3
1) tools and Tx selec5on
[ 6.7.4.1 AND 6.7.4.2 AND 6.7.4.3 ]
AND
2) Tools specifica5on and valida5on
[(6.7.4.4 AND 6.7.4.5) OR 6.7.4.6]
AND
3) Design methodology jus5fica5on
[6.7.4.7 OR 6.7.4.8]
AND
4) Code genera5on
(6.7.4.9)
AND
5) configura5on management and new version
[ 6.7.4.10 AND 6.7.4.11]
AND
6) effort for Tx
(6.7.4.12)
Environnement d’exécu9on
• Concernant les machines virtuelles, les systèmes
d’exploita9on, la virtualisa9on, etc.
– Il convient de faire très aPen9on car il est difficile de
démontrer que la norme a été appliquée pour les
développer
•
• Sur cette base, la norme CENELEC 50159 propose une approche pour traiter et
démontrer la sécurité des communications. Une des caractéristiques au final des
applications ferroviaires est que la sécurité est réalisée par les applications (et non
par le réseau) et qu’en cas de défaillances le système va atteindre un état de sécurité
prédéfini (en général de manière passive).
•
• Les réseaux (fermés ou ouverts) sont construits sur des médias de communication
qui sont maitrisés et dont les accès sont limités.
Politique
• La mise en place d’un réseau distant doit se faire en
définissant une politique qui doit prendre en compte
différents sujets :
– La définition des missions du réseau distant (type d’accès, etc.) ;
– La définition des objectifs (accès à tout moment à chaque équipement,
etc.) ;
– La définition du réseau (choix des éléments, etc.) ;
– Le processus d’installation (procédure, etc.) ;
– Le processus de gestion ;
– La gestion des modes dégradés (perte d’une partie du réseau, etc.) ;
– La gestion des rôles ;
– La politique de sécurité au sens « security » ;
– etc.
Réseau ouvert
+
accès distant
Point faible 50159
• Il apparaît au travers de ces nouveaux usages
(utilisation de réseau WiFi par exemple) que la
norme CENELEC 50159 n’est pas suffisante car
elle ne traite
– ni de la gestion des COTS ;
– ni des protections contre les attaques externes ;
– ni des protections physiques contre l’intrusion dans
les locaux ;
– etc.
Accès distant
• Du point de vue de la « security », il va falloir être capable
– d’identifier et de contrôler l’ensemble des accès ;
– d’identifier et de contrôler les flots de données sécuritaires et/ou prioritaires ;
– de garantir les objectifs de qualité de service (QoS), de disponibilité et de
fiabilité ;
– …
! ! ! !
!
!