Retour au site du LAAS-CNRS

Résumé

Nous proposons une méthodologie pour l'analyse de la sûreté de fonctionnement d'un middleware, ou intergiciel, et caractériser son comportement en présence de fautes. Notre méthode est basée sur une analyse structurelle des intergiciels de communication, sur l'élaboration d'un modèle de fautes, une classification des modes de défaillance, et le développement d'un ensemble de techniques d'injection de faute adaptées à l'intergiciel. Nous avons validé notre approche en menant des campagnes d'injection de faute ciblant plusieurs implantations de la norme CORBA, et obtenu des mesures quantitatives de la robustesse des différents candidats testés. Nos travaux permettent à des intégrateurs de systèmes répartis critiques d'obtenir des assurances sur la robustesse des composants intergiciels qu'ils placent au coeur de leurs systèmes, et aux développeurs d'intergiciel d'obtenir des informations sur des points faibles de leurs produits.

Abstract

We propose a method for the dependability assessment and failure mode characterization of communications middleware. The method is based on the structural analysis of communications-oriented middleware, the identification of a fault model, a failure modes classification, and the development of a number of fault injection techniques that can be used to target middleware implementations. We have applied our method by carrying out fault injection campaigns targeting a number of CORBA implementations, and obtained quantitative measures of the robustness of the different candidates. Our work allows integrators of dependable distributed systems to obtain assurances on the robustness of the software components they place at the heart of their systems, and provides information to middleware vendors regarding robustness failings in their products.

Mots-Clés / Keywords

Intergiciel / logiciel intermédiaire; Corba; Caractérisation des modes de défaillance; Injection de fautes; Robustesse; Middleware; Failure mode analysis; Dependability characterization; Fault injection; Robustness;

Résumé

Des logiciels complexes, assemblés à partir de nombreux composants préexistants, sont aujourd'hui utilisés pour des emplois de plus en plus critiques (télécommunication, ferroviaire, automobile...). Les risques encourus, aussi bien humains qu'économiques, exigent de pouvoir mettre en place dans ces systèmes des mécanismes de tolérance aux fautes flexibles et adaptables indépendamment des composants utilisés. Mais la complexification des logiciels pose problème, car les approches développées jadis pour assurer la sûreté de fonctionnement de petits systèmes ne leur sont plus applicables. Connues depuis longtemps, les architectures réflexives, en autorisant le découplage des aspects fonctionnels et non-fonctionnels d'un système, visent à résoudre ce problème. Jusqu'ici cependant, les approches proposées s'étaient limitées à des prototypes simples, souvent réalisés ex-nihilo pour expérimentation. Or la tolérance aux fautes est une propriété globale des systèmes considérés, qui requiert la prise en compte de tous les niveaux d'abstraction rencontrés. Dans cette thèse, nous étudions comment le paradigme réflexif peut être adapté pour permettre d'intégrer les considérations algorithmiques de la tolérance aux fautes (validité, observation, contrôle) aux contraintes architecturales rencontrées dans les systèmes complexes (abstraction, transparence, inter-opérabilité). Pour aborder cette problématique, nous développons un nouveau cadre conceptuel, la réflexivité multi-niveaux, et les concepts d'empreinte réflexive et de lien inter-niveaux qui lui sont associés. Nous validons ensuite la pertinence pratique de notre proposition en abordant la réplication de serveurs CORBA à brins d'exécution multiples (multithreaded) sur un exemple concret constitué de GNU/Linux et de l'ORB commercial ORBacus. Nous concluons finalement à la nécessité d'un nouveau paradigme de développement basé sur des composants rendus réflexifs dès leur réalisation.

Abstract

Nowadays, complex software systems, made from many preexisting components, are increasingly used for applications with high dependability requirements (telecommunication, railway, automotive...). This recent evolution demands new approaches to insure the dependability of the resulting systems, while taking explicitly into account the complex nature of these systems. In this thesis, we present how we extended reflexion, a long known architectural paradigm, to be able to encompass both the algorithmic considerations of fault tolerance (validity, observation, control), and the heterogeneous and composite nature of complex software systems (OS, libraries, middleware, application, ...). The main result of our investigation is a new conceptual framework, called multilevel reflection, along with its associated concepts, reflexive footprint and inter-level mappings, that capture the key elements of the problem. We validate the practical relevance of this proposal by presenting a first prototype of this framework, based on GNU/Linux and CORBA/Orbacus.

Mots-Clés / Keywords

Tolérance aux fautes; Réflexivité; Corba; Architectures; Systèmes complexes; Génie logiciel; Fault tolerance; Reflection; Complex system; Software engineering;

Résumé

Ce mémoire propose une démarche pour définir des politiques de sécurité adaptées aux systèmes dinformations et de communication en santé et social (SICSS). Ces systèmes couvrent lensemble des besoins généralement trouvés dans les autres domaines : interopérabilité des systèmes, complexité des organisations, sensibilité des informations et diversité des exigences de sécurité (confidentialité, intégrité, disponibilité et auditabilité). Le but de la méthode présentée est de réaliser un bon compromis entre le respect du principe du moindre privilège et la flexibilité du contrôle daccès. La première étape consiste à décrire le système, identifier les informations à protéger et caractériser les menaces. La politique de sécurité vient ensuite spécifier comment contrer ces menaces, en exprimant dune part, un ensemble de propriétés de sécurité qui doivent être satisfaites, et dautre part, un ensemble de règles permettant de modifier létat de protection du système. Les politiques de sécurité que nous proposons ont loriginalité de tenir compte du contexte et de linteropérabilité, et dêtre suffisamment souples pour prendre en compte toute amélioration, changement ou mise à jour dans le système. Par ailleurs, nous présentons notre nouveau modèle Or-BAC (pour Organisation-Based Access Control). Ce modèle permet de prendre en compte des informations de contexte dans lexpression des règles, afin de spécifier un contrôle daccès fin et adapté. Il est aussi un moyen de spécifier, dans un cadre homogène, plusieurs politiques de sécurité pour des organisations différentes devant coopérer. Or-BAC nest pas restreint aux permissions, mais permet également de définir des interdictions, des obligations et des recommandations. À cet égard, Or-BAC est capable de spécifier des politiques de sécurité pour les SICSS, comme il peut être appliqué à une gamme très large dapplications complexes, interopérables et distribuées. Or-BAC est dabord représenté par des diagrammes entité relation, puis dans deux nouveaux langages logiques. Il est par ailleurs intégré dans une modélisation UML dune démarche sécuritaire globale spécifiant les aspects statiques et dynamiques des phases dauthentification et dautorisation. Enfin, un prototype a été développé pour illustrer lapplication de la politique et du modèle de sécurité dans le cas dun centre dentaire.

Abstract

While information technology is essential in complex, cooperative and largely distributed applications like telemedicine or social declarations, it becomes more and more necessary to have a high confidence in the processing and the distribution of data and services. This thesis proposes an approach based on a security policy, for healthcare and social information and communication systems (HSICS). These systems cover the whole of the needs generally found in other fields: interworking of systems, complexity of organizations, sensitivity of information, and diversity of security requirements (confidentiality, integrity, availability and auditability). The aim of the approach is to achieve a good trade-off between respect of the least privilege principle and flexibility of the access control. The first step consists in describing the system, identifying sensitive information and characterizing the threats. Then, the security policy specifies security properties that must be satisfied, and the rules expressing how the protection state of the system may evolve. The identified security policy is original in the way that it takes the context into account, and is flexible enough to manage any improvement, change or update in the system. Besides, a new access control model is presented: the Organization-Based Access Control (Or-BAC). In Or-BAC, the specification of the security policy is completely parameterized by the organization so that it is possible to handle simultaneously several security policies associated with different organizations. The model is not restricted to permissions, but it also includes the possibility to define prohibitions, obligations and recommendations. In this respect, Or-BAC is able to specify policies developed for HSICS, as it can be applied to a large range of complex and distributed applications. Or-BAC is represented by entity-relation diagrams, and by two new logical languages. It is also integrated in a system security UML model. A prototype has been developed to illustrate the application of the security policy in the case of a dental center.

Mots-Clés / Keywords

Sécurité des systèmes dinformation et de communication; Politiques et modèles de sécurité; Logique déontique et logique du premier ordre; UML; Anonymisation; Dossier médical partagé; Téléservices de Net-entreprises; Networks and information system security; Security policies and models; Deontic and first-order logic; Healthcare and social information systems;

Résumé

Dans ce travail de thèse, nous proposons une stratégie de test orienté propriété pour des systèmes de contrôle-commande. Les propriétés auxquelles nous nous intéressons sont des propriétés de haut niveau liées aux modes de défaillance les plus critiques du système. Notre stratégie se base sur une construction incrémentale de scénarios de test. Chaque étape explore les évolutions possibles du système à partir de situations qualifiées de « dangereuses » qui sont identifiées à létape précédente. À chaque étape, deux méthodes de sélection de séquences sont utilisées : la sélection aléatoire et le recuit simulé. Cette stratégie a été appliquée à létude de cas « la chaudière à vapeur ». Les résultats obtenus confirment la faisabilité ainsi que lutilité de notre construction incrémentale de scénarios de test. Ces résultats montrent cependant que les performances du recuit simulé dépendent de choix dimplémentation de cet algorithme. Pour permettre une mise en Suvre plus efficace, nous définissons une approche basée sur lutilisation de mesures caractérisant le problème de test et le comportement du recuit simulé appliqué à ce problème. Cette approche a été intégrée à notre stratégie de test et évaluée avec succès sur diverses études de cas, dont la chaudière à vapeur.

Abstract

In this dissertation, we propose a test strategy for verifying safety properties in cyclic control systems. The type of property we are interested in is any high level requirement related to the most critical failure modes of the control system. Our strategy consists of the stepwise construction of test scenarios. Each step explores possible continuations of the dangerous scenarios identified at the previous step. At each step, two methods of selection of test sequences are used: random selection and simulated annealing. This strategy has been applied to the steam boiler case study. The results confirm the feasibility as well as the usefulness of the proposed incremental construction of test scenarios. However, these results also show that the performance of simulated annealing depends on design choices made to implement this algorithm. In order to guide and consolidate these choices, we define an approach based on the use of measures characterizing both the testing problem and the behavior of simulated annealing applied to this problem. The approach has been integrated to our test strategy, and successfully applied to various case studies, including the steam boiler one.

Mots-Clés / Keywords

Test de logiciel; Propriétés de sécurité; Heuristiques d'optimisation; Génération des entrées de test; Systèmes de contrôle-commande; Software testing; High-level safety properties; Heuristic search techniques; Test data generation; Cyclic control systems;

Résumé

Les travaux présentés dans ce mémoire possèdent un double objectif. Nous nous intéressons, dans un premier temps, à la définition dun cadre conceptuel détalonnage de la sûreté de fonctionnement des systèmes informatiques, basé sur les techniques dévaluation analytique et expérimentale de la sûreté de fonctionnement. Le but dun étalon de sûreté de fonctionnement est de fournir un moyen générique pour la caractérisation du comportement des systèmes informatiques en présence de fautes, permettant ainsi la quantification de mesures de sûreté de fonctionnement. Le second objectif de ce mémoire est dillustrer lapplication de ce cadre conceptuel sur deux cas particuliers. Le premier cas dapplication est relatif à la modélisation analytique de systèmes complexes tolérant aux fautes. Nous montrons par cet exemple le moyen didentifier les paramètres significatifs dun modèle analytique nécessitant dêtre déterminés expérimentalement. Le deuxième exemple est relatif à létalonnage de la sûreté de fonctionnement dun système opératoire. Ces étalons sont purement expérimentaux et se basent énormément sur linjection de fautes. Nous mettrons laccent dans cette partie de la thèse sur létude dune part de léquivalence entre les fautes injectées et dautre part de la représentativité des fautes injectées par rapport aux fautes réelles dans les systèmes opératoires.

Abstract

The goal of the work presented in this dissertation is twofold. First, we focus on the definition of a conceptual framework to develop dependability benchmarks for computer systems based on analytical and experimental evaluation techniques. The goal of a dependability benchmark is to provide generic means to characterise the behaviour of a computer system in presence of faults, thus quantifying dependability measures. The second goal of the present work is to illustrate the application of the conceptual framework on two examples. First, we present a benchmarking example based on modelling of complex fault tolerant systems. We show how to identify significant model parameters that need to be determined experimentally. We then focus on the development of operating system dependability benchmarks. These benchmarks are experimental and are based on fault injection. We address in particular the equivalence between injected faults and discuss to what extent injected faults are representative of actual faults.

Mots-Clés / Keywords

Étalonnage de la sûreté de fonctionnement; Modélisation analytique; Injection de fautes; Systèmes opératoires; Représentativité des fautes; Dependability Benchmarking; Analytical modelling; Fault injection; Operating systems; Fault representativeness;

Résumé

La notion de protocole à métaobjets (MOP) est la pierre angulaire de nombreux systèmes réflexifs à objets. Le test du MOP est un aspect incontournable du processus de validation de ce type de systèmes réflexifs. Il pose trois questions fondamentales: Quelles sont les étapes de test à envisager ? Quels sont les objectifs à couvrir dans chacune de ces étapes de test ? Quels sont les environnements nécessaires à la réalisation des expériences de test ? Dans cette thèse, nous proposons une stratégie de test générique qui repose sur une décomposition des fonctionnalités du MOP en quatre mécanismes réflexifs élémentaires : interception des invocations (réification), activation des méthodes (intercession comportementale), capture de létat des objets (introspection), et mise à jour de cet état (intercession structurelle). Lanalyse des dépendances entre ces mécanismes permet de définir quatre étapes de test successives, une par mécanisme élémentaire dans lordre ci-dessus. Loriginalité de cette stratégie incrémentale repose sur la réutilisation, à chaque étape, des mécanismes testés aux étapes précédentes afin de réduire leffort de test global. Pour chaque étape de test, la stratégie spécifie les vérifications qui doivent être effectuées (en termes dobjectifs de test), et définit lenvironnement de test permettant de résoudre, notamment, les problèmes de commandabilité et dobservabilité relatifs au mécanisme sous test. Cette stratégie générique à été complétée par la définition détapes plus spécifiques ciblant le test daspects propres à la mise en Suvre des MOPs par compilation ouverte. Dans ce cas, le protocole est défini par un ensemble de règles danalyse, de transformation et de génération de code source. Des tests de conformité sont alors effectués pour chacune de ces règles. Nous illustrons la faisabilité de lapproche en utilisant comme cible de test le MOP défini dans le prototype FRIENDS v2, un système réflexif CORBA tolérant aux fautes qui utilise des techniques de compilation ouverte pour générer son MOP. À loccasion de ces expériences, un banc de test réutilisable a été developpé. Les résultats obtenus ont montré la capacité des differents environnements de test à révéler des fautes dans limplémentation du MOP. Certaines de ces fautes ont pu être corrigées et dautres se sont transformées en conventions de programmation à imposer aux utilisateurs, ce qui implique un retour sur la conception. Dautre part, la mise en Suvre du banc du test a permis didentifier et de résoudre précisement les problèmes de commandabilité et dobservabilité relatifs au test dun MOP.

Abstract

Metaobjet protocols (MOP) are the corner stone of many object-oriented reflective systems. Testing MOPs is essential in the validation such reflective systems. Three fundamental problems on testing these protocoles are: Which testing levels should be performed? Which test objectives should be associated with each testing level? Which environments are required for conducting the test experiments? In this thesis, we propose a general testing strategy relying on a functional decomposition of the MOP in four reflective mechanisms: request interception (reification), request activation (behavioural intercession), object state serialisation (introspection) and object state de-serialisation (structural intercession). The analysis of the dependences of these mechanisms enables the definition of four successive testing levels (one for each reflective mechanism). The approach is aimed at reducing the testing effort by promoting a gradual increment of the observability and controllability of the MOP under test. For each testing level, we characterize the test objectives and the required test environment. Then, further specific testing levels are added to the strategy for handling aspects related to the implementation of a MOP using open compiler facilities. Such kind of MOPs can be characterized through a set of code analysis and transformation rules. Conformance testing is required for each one of these rules. The feasibility of the approach is exemplified on a real MOP, implemented using open compiler facilities, and extracted from the FRIENDS v2 system, which proposes a reflective framework devoted to the implementation of CORBA fault-tolerant applications. For conducting the test experiments, a reusable test bed has been developed. Testing experiments were useful since they revealed some implementation faults of the protocol. Some of these faults have been fixed and others do not. This latter kind of faults fed back the protocol design and resulted in the definition new programming conventions. The development of the test bed has also enabled the identification specific testing problems concerning the controllability and observability of the MOP under test.

Mots-Clés / Keywords

Test; Protocoles à métaobjets; Tolérance aux fautes; Sûreté de fonctionnement; Réflexivité; Software testing; metaobjet protocoles; Fault tolerance; Dependability; Reflection;

Résumé

Lacquisition de systèmes logiciels sur étagère (COTS) pose une problématique sérieuse pour la sûreté de fonctionnement des systèmes critiques auxquels ils sintègrent et des nouvelles stratégies de validation savèrent nécessaires. La principale difficulté provient du peu dinformation a priori disponible sur leur conception, ce qui rend impossible leur validation, dans des conditions opérationnelles, avec un niveau de confiance compatible avec des exigences critiques. La démarche que nous préconisons a été définie dans le cadre dun processus dacceptation dans lequel un industriel cherche à acquérir et à qualifier un système complet de contrôleÓcommande du commerce (SCCÓCOTS), répondant à ses exigences de sûreté de fonctionnement et à celles des autorités de tutelle. Notre démarche propose tout abord un métaÓmodèle darchitecture de système, permettant dinstancier une offre de SCCÓCOTS compatible avec les besoins fonctionnels de lacquéreur. Le métaÓmodèle proposé vise à fournir les moyens pour, dune part, construire le référentiel dinformations suffisantes pour la validation expérimentale de la sûreté de fonctionnement par injection de fautes et, dautre part, mieux identifier et analyser limpact des fautes injectées sur les exigences aussi bien fonctionnelles que de sûreté de fonctionnement. Autour de ce référentiel nous avons conçu un outillage de support où lanalyse formelle du comportement des composants logiciels du SCCÓCOTS prend une place importante. Les exécutions symboliques déduites de cette analyse constituent un oracle dune implémentation. Elles permettent aussi bien danalyser limpact de fautes sur les propriétés du système, exprimées à laide de la logique temporelle, que de guider le test opérationnel des mécanismes internes de tolérance aux fautes. Ce dernier aspect est illustré sur un mécanisme de communication dun SCC-COTS, destiné à la supervision de centrales de production dénergie.

Abstract

The use of Commercial Off-the-Shelf (COTS) software systems rises a serious problem for the dependability of critical systems into which they are integrated. Hence innovative strategies for validating them are necessary. The major difficulty arises from the limited information data about their design and development, which prevents the validation process, under operational conditions, to be compliant with the level of confidence needed for critical requirements. The approach we advocate has been defined in the framework of an acceptance process, where an industrial company investigates the ability of a control and supervision COTS system (SCCÓCOTS), for being compliant with its functional and dependability requirements, as well as these of the certification authorities. First, our framework proposes a meta-model for system architecture. This meta-model enables the instantiation of different SCC-COTS proposals according to the functional requirements of the purchaser. The aim of the features provided by the meta-model is twofold: i) to be able to build a database referencing the patterns that are sufficient for carrying out the experimental dependability validation by fault-injection, ii) to better identify and analyze the impact of the faults injected on both functional and dependability system requirements. Around this database, we have designed a support tool for which the formal analysis of the behavior of the system components takes an important place. The symbolic executions deduced from this analysis act as an oracle of an implementation. These executions help not only to analyze the impact of faults under high-level temporal logic system properties, but also act as formal guides for testing the operational behavior of built-in fault-tolerance mechanisms. This latter aspect is illustrated on the basis of a communication service as part of a SCC-COTS devoted to the control of power-plants production process.

Mots-Clés / Keywords

COTS; Contrôle-commande numérique; Sûreté de fonctionnement; Injection de fautes par logiciel; Test; Validation; Vérification de modèles; Numeric control and supervision system; Dependability; Software fault-injection; Model-checking;

Résumé

Les travaux présentés dans ce mémoire proposent un ensemble de techniques, ou " technologie ", pour le développement et la mise en ¿uvre efficaces de mécanismes d'empaquetage destinés à la tolérance aux fautes et à la caractérisation de la sûreté de fonctionnement des systèmes temps-réel. Les formalismes, les méthodes et les outils définis par cette technologie sont réunis dans un même environnement. Celui-ci constitue la base des " empaquetâches ", programmes produits automatiquement par compilation de spécifications formelles et exécutés de façon concomitante par une machine virtuelle. En raison de leur rôle majeur dans les systèmes temps-réel, nous avons appliqué cette technologie aux logiciels exécutifs du commerce de type micronoyau. Les empaquetâches pour la tolérance aux fautes sont alors déduits d'une spécification en logique temporelle des services fondamentaux des micronoyaux (ordonnancement, temporisation et synchronisation). Cette spécification sert de base à la détection et au recouvrement d'erreur, tout en s'appuyant sur le concept original d'action de recouvrement (variante d'une fonction élémentaire du système). En ce qui concerne les empaquetâches de caractérisation, la spécification formelle définit des injecteurs de fautes traditionnels, mais aussi novateurs (basés sur la notion de saboteur), ainsi que des sondes logicielles destinées à la mesure de propriétés temporelles et à l'observation de modes de défaillance. Nous avons introduit deux techniques fondamentales à la mise en ¿uvre effective des empaquetâches : la réflexivité du micronoyau, à des fins pratiques d'observation et de commande, et l'émulation de l'environnement, en vue de l'élimination de l'intrusion temporelle. La technologie d'empaquetage a été intégrée dans un outil d'évaluation (MAFALDA-RT) que nous avons appliqué à l'analyse par injection de fautes d'un système temps-réel bâti sur le micronoyau du commerce Chorus/ClassiX. Enfin, en s'appuyant sur les résultats d'évaluation et en enrichissant convenablement le test d'ordonnançabilité du système, nous avons déduit une méthode expérimentale permettant de déterminer les ensembles d'empaquetâches de tolérance aux fautes compatibles avec les échéances strictes des tâches temps-réel.

Abstract

This dissertation proposes a set of techniques, or ¿technology¿, to efficiently develop and execute wrapping mechanisms aimed at both fault tolerance and dependability assessment of real-time systems. The formalisms, the methods and the tools defined by this technology are gathered into a common environment. The latter is the basis for ¿wrappers¿, programs automatically produced by compiling formal specifications and concurrently executed by a virtual machine. We have applied this technology to software COTS executives based on microkernels, considering their major role in real-time systems. Fault tolerance wrappers are thus derived from a temporal logic specification of the main microkernel services (scheduling, timing and synchronization). This specification is the basis for error detection and recovery, and relies on the original concept of ¿recovery action¿ (variant of an elementary function of the system). The formal specification for dependability assessment wrappers defines traditional but also novel (based on the notion of saboteur) fault injectors, as well as software probes meant to measuring temporal properties and to observing failure modes. We have introduced two major techniques to support the wrappers: microkernel reflection, for observability and controllability issues, and environment emulation, to eliminate temporal intrusiveness. The wrapping technology has been integrated into an evaluation tool (MAFALDA-RT) that we have applied to the analysis by fault injection of a real-time system built from the COTS microkernel Chorus/ClassiX. Finally, using evaluation results and properly extending the schedulability test of the system, we have deduced an experimental method that helps determine the sets of fault tolerance wrappers compatible with the hard deadlines of the real-time tasks.

Mots-Clés / Keywords

Systèmes temps-réel; Micronoyaux du commerce; Modélisation formelle; Détection et recouvrement d¿erreur; Injection de fautes; Analyses d¿ordonnancement; Réflexivité; Intrusion temporelle; Real-time systems; COTS microkernels; Formal modeling; Error detection and recovery; Fault injection; Schedulability analyses; Reflection; Temporal intrusiveness;

Abstract

Without a systematic and progressive approach,the modelling of complex systems can be very tedious and error prone. This dissertation is devoted to the development of a stepwise refinement modelling method for complex systems. The proposed approach is made up of three steps. The first one consists in building a functional-level model based on the system's specifications. Then, this model is transformed into a high-level dependability model, based on the system's structure. Rules for building the interface between the functional-level and the structural models are developed and presented. Rule for stepwise refinement are presented. These rules allow the transformation of the high-level model into a more detailed one. Model refinement can be carried out following three points of view: Component decomposition, state and event fine-tuning and distributions adjustment. To make systems' modelling more efficient, a library of basic models was built. These models, with minimal modifications, allowed modelling of all the studied systems' components. This modelling approach is illustrated in the selection of an instrumentation and control system among different contractors in response to a call for tenders, but it can also be used as a support to the development and validation process.

Abstract

La modélisation de systèmes complexes sans une démarche progressive et systématique peut s'avérer très fastidieuse et sujette à erreur. Ce mémoire est consacré au développement d'une méthode de modélisation par affinements, de la sûreté de fonctionnement de systèmes complexes. L'approche proposée comporte trois étapes. La première, consiste en la construction d'un modèle basé uniquement sur les spécifications fonctionnelles de l'application, nommé modèle fonctionnel. Ensuite, à partir de ce modèle et de l'architecture du système, un modèle de sûreté de fonctionnement de haut niveau est construit. Les règles de construction de l'interface entre le modèle fonctionnel et le modèle structurel sont développées et présentées. Des règles d'affinement par étapes sont présentées. Ces règles permettent la transformation du modèle de haut niveau en un modèle plus détaillé. L'affinement peut être fait selon trois perspectives : décomposition des composants, affinement des états ou des événements et mise au point des distributions. Pour rendre plus efficace la modélisation de systèmes, une bibliothèque composée de modèles de base a été créée. En effet, ces modèles, moyennant un minimum de modifications, ont permis de modéliser tous les composants de tous les systèmes que nous avons étudié dans ce travail. Cette approche a été illustrée dans le cadre de la sélection d'un système de contrôle-commande parmi les propositions de divers constructeurs en réponse à un appel d'offre, mais elle peut également être utilisée comme support au développement et à la validation de systèmes.

Mots-Clés / Keywords

Sûreté de fonctionnement; Prévision de fautes; Modélisation stochastique; Réseaux de Petri stochastiques généralisés; Affinement de modèles; Systèmes de contrôle-commande; Dependability; Fault forecasting; Stochastic modelling; Generalized Stochastic Petri Nets; Model refinement; Instrumentation;

Résumé

La répartition des fonctions entre agents humains et agents automatiques est une question essentielle pour la sûreté de fonctionnement des systèmes socio-techniques. Amorcée dès les premières phases du processus de développement, elle fonde les grandes options de conception en déterminant quel agent sera affecté à la réalisation de quelle fonction. La prise en compte au plus tôt de données ergonomiques est recommandée pour contribuer à réduire les fautes de conception pouvant avoir un impact négatif sur l'activité des agents humains en exploitation. Inscrits dans cette perspective, nos travaux proposent une méthode de répartition des fonctions, ainsi qu'un prototype d'outil développé pour en faciliter la mise en ¿uvre. Des concepts sont tout d'abord définis afin de pouvoir fixer un cadre cohérent à la problématique de la répartition des fonctions. Les principales méthodes de répartition des fonctions sont ensuite présentées et commentées. De cette analyse, nous avons dégagé les caractéristiques d'une nouvelle méthode de répartition. Structurée en huit étapes, cette méthode présente les particularités de guider les choix de répartition des fonctions en tenant compte de données contextuelles issues de retour d'expérience de systèmes en exploitation similaires à celui à concevoir, et de la définition des rôles qui devront être tenus par les agents humains du futur système. La confrontation de cette méthode à une étude de cas concernant les choix de répartition des fonctions d'un réacteur nucléaire d'essai a montré ses bénéfices potentiels comme structurer les données afin d'aboutir à des choix de répartition motivés dès les phases amont de la conception. Cette première analyse a aussi montré qu'il est important de faciliter l'application de la méthode. C'est ce qui nous a conduit à concrétiser notre effort par le développement d'un support informatique prototype appelé FAST (Function Allocation Support Tool). Cet outil devrait contribuer à réduire le nombre des fautes de conception notamment en facilitant les échanges entre les différents concepteurs et en particulier entre les ingénieurs et les ergonomes.

Abstract

Function allocation between human and automatic agents is an essential issue for the dependability of socio-technical systems. Function allocation should be initiated during the preliminary stages of the development process, since it influences essential design choices by establishing which agent will be assigned to do which function. It is recommended that ergonomic data be taken into account at the earliest opportunity, so as to reduce design faults that could have a negative impact on the activity of human agents during system operation. From this point of view, our work proposes a function allocation method, and a prototype tool developed to facilitate its implementation. Concepts are first defined to set a consistent framework for the function allocation issue. The main function allocation methods are then presented and commented. This analysis leads us to the specification of a new function allocation method. Structured in eight stages, this method guides function allocation choices by taking into account contextual data stemming from the analysis of similar systems in operation and from definitions of the roles that human agents of the future system will have to assume. Confronting this method with a case study concerning function allocation in an experimental nuclear reactor showed its potential benefits, e.g., structuring the data to allow justified allocation decisions at the earliest design stages. This first analysis also showed that it was important to facilitate the application of the method. This led us to develop a prototype computerized support tool called FAST (Function Allocation Support Tool). This tool should enable a reduction in the number of design faults, notably by facilitating communication between different designers, and in particular, between engineers and human factors specialists.

Mots-Clés / Keywords

Conception de systèmes socio-techniques; Répartition de fonctions; Ergonomie; Sûreté de fonctionnement; Design of socio-technical systems; Function allocation; Human factors; Dependability;