Surete SE

Cours de S uret e de Fonctionnement
Parcours Syst` emes Embarqu es et Mobiles Cours n2 : D efaillances, Erreurs et Fautes (dapr` es le cours de T. Hardin) David Delahaye David.Delahaye@cnam.fr
CNAM
2009-2010
Introduction
D efaillances
Erreurs et fautes
Latence
Mod` eles de fautes
Fautes des syst` emes ` a logiciel pr epond erant
Plan
1
Introduction D efaillances Erreurs et fautes Latence Mod` eles de fautes Fautes des syst` emes ` a logiciel pr epond erant
Cours de S uret e de Fonctionnement David Delahaye, David.Delahaye@cnam.fr, CNAM
2009-2010 2/65
Introduction
D efaillances
Erreurs et fautes
Latence
Mod` eles de fautes
D efaillances, erreurs, fautes
Une d efaillance est un alt eration temporaire ou permanente du service d elivr e. Une d efaillance est caus ee par une (ou des) erreurs. Une erreur est caus ee par une (ou des) fautes. Les d efaillances peuvent etre internes ou externes au syst` eme.
2009-2010 3/65
Introduction
D efaillances
Erreurs et fautes
Latence
Mod` eles de fautes
Qui est responsable de la d efaillance ?

Donner un exemple de d efaillance. Identier lerreur cause de cette d efaillance et la faute cause de lerreur. Syst` eme : le code dans un noeud (commutateur, routeur, ...) dun r eseau de t el ecommunications. Dans ce code, le programmeur a ecrit i = 0 ; au lieu de i = 1 ; , qui etait linstruction correcte. On a une faute. ` un moment particulier, lordinateur ex A ecute cette instruction, et suite ` a un certain calcul, un tampon est dimensionn e` a 10 au lieu d etre dimensionn e` a 100. On a une erreur. Les conditions dutilisation du r eseau font quexceptionnellement, ce jour-l` a, la charge est telle que le tampon re coit un trac trop important. Il y a alors trop de pertes (plus que les niveaux maximaux sp eci es). On a une d efaillance. Responsable ?
Cours de S uret e de Fonctionnement David Delahaye, David.Delahaye@cnam.fr, CNAM 2009-2010 4/65
Introduction
D efaillances
Erreurs et fautes
Latence
Mod` eles de fautes
Qui est responsable de la faute ?
Exemple : endommagement dun disque par une coupure de courant. Responsable ? Celui qui a manoeuvr e le disjoncteur ? Celui qui na pas mis le disque sur onduleur ? Celui qui navait pas eectu e la sauvegarde en temps utile ? Celui qui a vendu un disque trop sensible aux sur-tensions ? Qui doit corriger cette faute ?
2009-2010 5/65
Introduction
D efaillances
Erreurs et fautes
Latence
Mod` eles de fautes
Assurer la s uret e de fonctionnement
Caract eriser la notion de faute : une faute nest pas un p ech e, elle est in evitable, naturelle, tol erable ... Mettre en oeuvre, int egrer, combiner des m ethodes et des techniques permettant de construire un syst` eme apte ` a d elivrer le syst` eme attendu, aussi en pr esence de fautes. Assurer que le service attendu sera rendu :
Dans tous les cas ? Dans presque tous les cas ? Dans tous les cas plausibles ? Comment quantier cela ?
2009-2010 6/65
Introduction
D efaillances
Erreurs et fautes
Latence
Mod` eles de fautes
Assurer la s uret e de fonctionnement

Caract eriser les fautes possibles. Utiliser des m ethodes et des techniques permettant de construire un syst` eme apte ` a d elivrer le syst` eme attendu et ` a traiter les cons equences des fautes. Assurer que le service attendu sera rendu dans tous les cas plausibles. Un syst` eme s ur ` a 100% nexiste pas ! Cette probl ematique est globale au syst` eme : un composant tr` es s ur dans un syst` eme mal con cu est une perte dargent.
2009-2010 7/65
Introduction
D efaillances
Erreurs et fautes
Latence
Mod` eles de fautes
ALARP
From Wikipedia : Stands for As Low As Reasonably Practicable. Often used in the milieu of safety-critical and high-integrity systems. The ALARP principle is that the residual risk shall be as low as reasonably practicable. For a risk to be ALARP it must be possible to demonstrate that the cost involved in reducing the risk further would be grossly disproportionate to the benet gained. The ALARP principle arises from the fact that it would be possible to spend innite time, eort and money attempting to reduce a risk to zero. It should not be understood as simply a quantitive measure of benet against detriment. It is more a best common practice of judgement of the balance of risk and societal benet.
Introduction
D efaillances
Erreurs et fautes
Latence
Mod` eles de fautes
Classication des moyens
Pr evention des fautes ; Tol erance aux fautes ; Elimination des fautes ; Pr evision des fautes. N ecessite dabord de caract eriser la notion de faute/erreur/d efaillance. Contraintes environnementales souvent diciles ` a exprimer.
2009-2010 9/65
Introduction
D efaillances
Erreurs et fautes
Latence
Mod` eles de fautes
Un exemple (1)
Histoire v eridique. Un patient en dialyse est atteint dun malaise grave apr` es un certain temps de dialyse. Le dialyseur (rein articiel) a et e compl` etement test e au d ebut de la s eance. Il est test e` a nouveau apr` es laccident. Aucune d efaillance ne peut etre mise en evidence. Le dialyseur ne provoque aucun malaise chez les autres patients. Laccident se reproduit plusieurs fois avec le m eme patient, avec des degr es de gravit e vari es.
2009-2010 10/65
Introduction
D efaillances
Erreurs et fautes
Latence
Mod` eles de fautes
Un exemple (2)
Apr` es un certain nombre de recherches, l equipe m edicale se rend compte que les accidents surviennent alors que le patient est en train de t el ephoner sur son portable. ` qui la faute ? A
2009-2010 11/65
Introduction
D efaillances
Erreurs et fautes
Latence
Mod` eles de fautes
Un exemple (3)
Conclusion : La faute appara t ` a lusage. D ue ` a une interaction, impossible ` a imaginer au moment de la conception du produit. Dicult e du diagnostic : panne byzantine. Comment eviter la d efaillance ? Qui est responsable ?
2009-2010 12/65
Introduction
D efaillances
Erreurs et fautes
Latence
Mod` eles de fautes
Recherche et classication des d efaillances
D enition provisoire : une d efaillance dun produit est un etat du produit dans lequel le service d elivr e ne correspond pas au service attendu. Autrement dit : le service d elivr e naccomplit pas la fonction du syst` eme (ce ` a quoi il est destin e).
2009-2010 13/65
Introduction
D efaillances
Erreurs et fautes
Latence
Mod` eles de fautes
Le distributeur de boissons
Doit g erer le choix, le paiement et la distribution dune boisson. Celle-ci nest d elivr ee que si elle a et e pay ee. Possibilit e dannulation de commande. Pour quel intervenant ces ev enements peuvent-ils etre consid er es comme des d efaillances ? Ev` enements possibles :
1
La boisson ne correspond pas ` a la s election. D efaillance pour lutilisateur et le donneur dordre. La poudre de chocolat fond mal. D efaillance utilisateur. Lappareil naccepte pas les billets. Pas une d efaillance si non mentionn e dans le cahier des charges. En cas de coupure de larriv ee deau, la timbale ne contient que la poudre de caf e. D efaillance pour le donneur dordre.
2009-2010 14/65
Introduction
D efaillances
Erreurs et fautes
Latence
Mod` eles de fautes
D efaillances
D enition : une d efaillance dun produit est un etat du produit dans lequel le service d elivr e nest pas conforme ` a la cahier des charges/sp ecication du produit. Le cahier des charges/sp ecication est une description agr e ee ou contractualis ee de la fonction du produit ou du service rendu par le syst` eme. Pour diminuer les d efaillances, il faut enrichir la sp ecication. D ecrire le mode de fonctionnement nominal. D ecrire aussi les modes de fonctionnement d egrad es.
2009-2010 15/65
Introduction
D efaillances
Erreurs et fautes
Latence
Mod` eles de fautes
Classication des d efaillances
Donner un exemple par ecrit de chacun des cas. Suivant la mani` ere dont elles sont per cues : D efaillance coh erente : tous les utilisateurs en ont la m eme perception. D efaillance incoh erente ou byzantine : nest constat ee que par certains utilisateurs. Donner un exemple de chaque cas.
2009-2010 16/65
Introduction
D efaillances
Erreurs et fautes
Latence
Mod` eles de fautes
Suivant la nature de la perturbation : D efaillance de valeur : d elivrance dune valeur erron ee. D efaillance temporelle : la r eaction narrive pas au moment attendu (elle arrive soit trop t ot soit trop tard). D efaillance par arr et : plus de donn ees, plus de r eaction. arr et sur d efaillance. Donner un exemple de chaque cas.
2009-2010 17/65
Introduction
D efaillances
Erreurs et fautes
Latence
Mod` eles de fautes
Suivant la dur ee de la d efaillance : D efaillance durable : alt ere le service rendu pendant un temps repr esentant une fraction importante de la dur ee de la mission. D efaillance temporaire : alt` ere le service rendu momentan ement puis fournit ` a nouveau un service correct. Donner un exemple de chaque cas.
2009-2010 18/65
Introduction
D efaillances
Erreurs et fautes
Latence
Mod` eles de fautes

Suivant la gravit e/s ev erit e des cons equences de la d efaillance : D efaillance b enigne : pas de cons equence s erieuse, la mission se poursuit normalement. D efaillance signicative : la mission est aect ee, perte decacit e du service rendu, ` a chirer. D efaillance critique : r eduction dangereuse des marges de s ecurit e. D efaillance catastrophique : mission arr et ee, destruction du produit ou du proc ed e, blessures, pertes de vies humaines. Donner un exemple de chaque cas.
Introduction
D efaillances
Erreurs et fautes
Latence
Mod` eles de fautes

Niveaux de gravit e: Dans la eronautique civile : mineur, majeur, dangereux, catastrophique. Dans lautomobile : mineur, majeur, s erieux, fatal. Dans le nucl eaire : signicatif, majeur, grave, catastrophique. Dans lindustrie des lanceurs spatiaux : incident mineur, incident, incident grave. Ces niveaux sont d enis dans les normes des m etiers.
2009-2010 20/65
Introduction
D efaillances
Erreurs et fautes
Latence
Mod` eles de fautes
Suivant la fr equence de loccurrence des d efaillances : Niveaux de probabilit e: Extr emement improbable, Extr emement rare, Rare, Probable, Fr equent.
2009-2010 21/65
Introduction
D efaillances
Erreurs et fautes
Latence
Mod` eles de fautes
Classication des d efaillances (r esum e)
Suivant Suivant Suivant Suivant Suivant
la la la la la
mani` ere dont elles sont per cues. nature de la perturbation. dur ee de la d efaillance. gravit e/s ev erit e des cons equences de la d efaillance. fr equence de loccurrence des d efaillances.
Bien faire pr eciser la signication des qualicatifs des d efaillances.
2009-2010 22/65
Introduction
D efaillances
Erreurs et fautes
Latence
Mod` eles de fautes
Modes de d efaillances
D eni par : La nature ; La perception ; La dur ee et la s ev erit e de la d efaillance ; La probabilit e doccurrence. Le mot Mode d efaillance. est consacr e : il signie genre, sorte, cat egorie de
2009-2010 23/65
Introduction
D efaillances
Erreurs et fautes
Latence
Mod` eles de fautes
Classication des syst` emes suivant les d efaillances
Criticit e dun syst` eme : plus forte gravit e de ses modes de d efaillance. Syst` eme s ur en pr esence de d efaillances : la probabilit e de d efaillances catastrophiques est acceptable. Syst` eme ` a d efaillance contr ol ee : soit s ur en pr esence de d efaillances, soit ` a arr et sur d efaillances (dans le cas o` u larr et est consid er e comme s ur).
2009-2010 24/65
Introduction
D efaillances
Erreurs et fautes
Latence
Mod` eles de fautes
De lerreur ` a la d efaillance
Une d efaillance (non accomplissement de la fonction) est la manifestation dune erreur dans l etat du produit. Donner un exemple derreur conduisant ` a une d efaillance et un exemple derreur ne conduisant pas ` a une d efaillance. Une erreur peut etre eac ee avant de provoquer une d efaillance. Une erreur peut etre elimin ee par exemple par redondance. D eterminer si une erreur induit une d efaillance d epend du point de vue de lutilisateur : une erreur de positionnement dune fen etre est rarement consid er ee comme une d efaillance.
Introduction
D efaillances
Erreurs et fautes
Latence
Mod` eles de fautes
De la faute ` a lerreur
Une erreur est produite par une faute. Donner un exemple de faute conduisant ` a une erreur et un exemple de faute ne conduisant pas ` a une erreur.
2009-2010 26/65
Introduction
D efaillances
Erreurs et fautes
Latence
Mod` eles de fautes
Fautes
Ce sont les sources des d efaillances. Une faute (ou d efaut ou panne) est une modication non voulue par le concepteur dun produit. Comment appr ehender ce non voulu (qui peut etre voulu par un acteur malicieux ) ? Est-ce que la pr esence de if A>B ... dans un source constitue une faute ? On peut seulement exprimer des familles de propri et es souhait ees pour un produit. Cela n ecessite de mod eliser les di erentes etapes d elaboration du produit dans le cycle de vie du produit.
Introduction
D efaillances
Erreurs et fautes
Latence
Mod` eles de fautes
Fautes
La faute peut concerner : Le produit : exemple ? Traitement dexception mal adapt e. Le proc ed e : exemple ? Erreur de mesure, mauvaise r eponse au cours dun dialogue homme-machine. Lenvironnement non fonctionnel : exemple ? Lalimentation en gaz est coup ee ` a cause de travaux dans la rue. Mais cest toujours le produit qui est d efaillant.
2009-2010 28/65
Introduction
D efaillances
Erreurs et fautes
Latence
Mod` eles de fautes
Causes ph enom enologiques des fautes

Les fautes peuvent etre engendr ees ` a chacune des etapes du cycle de vie (causes ph enom enologiques) : Par les acteurs humains : exemple ? Oubli dun chion dans une tubulure. Par une mauvaise adaptation de la technologie du produit : exemple ? Mauvaise r esistance des mat eriaux ` a l echauement. Par les outils employ es : exemple ? Bug dun compilateur dun langage, compilateur dans le silicium . Par lenvironnement : exemple ? Coupure de courant.
Introduction
D efaillances
Erreurs et fautes
Latence
Mod` eles de fautes
Caract erisation des fautes
Une faute peut etre : Passive ou dormante : existe mais ne pertube pas le fonctionnement du produit ; Active : son activation produit une erreur de lun des composants du produit. Lerreur peut alors etre propag ee par contamination, cr eant une d efaillance. Donner un exemple par ecrit de chacun des cas.
2009-2010 30/65
Introduction
D efaillances
Erreurs et fautes
Latence
Mod` eles de fautes
Classications des fautes

Par nature : accidentelles/intentionnelles sans volont e de nuire ou avec volont e de nuire. Par le moment de leur cr eation : Fautes de d eveloppement : fautes de sp ecication/de conception ; Fautes op erationnelles : fautes de production/dex ecution. Exemple ? Par leur rapport avec le produit : Fautes internes : exemple ? Instruction erronn ee, court-circuit. Fautes externes : exemple ? Perturbations. Par rapport ` a leur persistance : permanentes/temporaires. Fautes temporaires externes dites fautes transitoires ; Fautes temporaires internes dites intermittentes (cas du dialyseur).
Introduction
D efaillances
Erreurs et fautes
Latence
Mod` eles de fautes
Exemple : Ariane V
Syst` eme de pilotage de la fus ee : syst` eme multi-processeur, multi-t aches. Un composant (C) utilise une fonction de conversion dun entier en un ottant, sous lhypoth` ese (H) que cet entier est compris entre certaines bornes. (H) v eri ee par Ariane IV. Composant r eutilis e pour Ariane V. (H) cesse d etre v eri ee. La fonction de conversion l` eve une exception.
2009-2010 32/65
Introduction
D efaillances
Erreurs et fautes
Latence
Mod` eles de fautes
Exemple : Ariane V
Le m ecanisme de tol erance aux fautes r eagit ` a cette lev ee : Fait appel au second calculateur, en recopiant les donn ees ; M eme cause, m eme eet : lev ee dexception. Hypoth` ese de la panne simple : transmission du code derreur en tant que r esultat ` a lappelant, qui linterpr` ete comme une valeur fonctionnelle... et braque les tuy` eres...
2009-2010 33/65
Introduction
D efaillances
Erreurs et fautes
Latence
Mod` eles de fautes
Ariane V : quelle est la faute ?
Fonction de conversion ? Appel avec une valeur trop grande ? Acc el eration trop grande ? Moteur trop puissant ? Entiers machine trop petits ?
2009-2010 34/65
Introduction
D efaillances
Erreurs et fautes
Latence
Mod` eles de fautes
` qui attribuer la faute ? A
La notion de faute est arbitraire. Faute : cause adjug ee ou suppos ee dune erreur. La faute est d enie par la cause que lon veut pr evenir ou tol erer. Permet la distinction entre faute humaine et faute physique... encore que... Toute faute est-elle une faute de d eveloppement ?
2009-2010 35/65
Introduction
D efaillances
Erreurs et fautes
Latence
Mod` eles de fautes
Exemple
D efaillance : aectation de l etat interne dun syst` eme par une perturbation electromagn etique. Est-ce une faute physique externe ? Est-ce une faute de conception : choix dun blindage non ad equat ? Est-ce accidentel ? Est-ce intentionnel sans volont e de nuire : diminution du co ut ? Dans le cas du dialyseur, comment caract eriser la faute ?
2009-2010 36/65
Introduction
D efaillances
Erreurs et fautes
Latence
Mod` eles de fautes
Diagnostic des fautes
Conditions dactivation pouvant etre tr` es compliqu ees : interaction entre un certain etat interne et un certain etat de lenvironnement (exemple typique du dialyseur). Conditions diciles ` a reproduire. Conditions dactivation li ees ` a loccurrence simultan ee de plusieurs fautes. Donner un exemple. Lanalyse des d efaillances d ues ` a la combinaison de plusieurs fautes est n ecessaire et dicile.
2009-2010 37/65
Introduction
D efaillances
Erreurs et fautes
Latence
Mod` eles de fautes
Exemple
Faute 1 : possibilit e de contournement du moniteur de r ef erence eectuant le contr ole dacc` es, accident de conception. Faute 2 : un intrus utilise cette possibilit e pour d emarrer une session, faute intentionnelle. Faute 3 : lintrus modie un chier, attaque dint egrit e. D efaillance d ecouverte lorsque le chier sera consult e par un utilisateur autoris e.
2009-2010 38/65
Introduction
D efaillances
Erreurs et fautes
Latence
Mod` eles de fautes
Quand cela va de plus en plus mal
faute
Activation contamination erreur d efaillance faute erreur ...
2009-2010 39/65
Introduction
D efaillances
Erreurs et fautes
Latence
Mod` eles de fautes
Latence
Intervalle de temps entre le moment de la cr eation de la faute et la premi` ere activation conduisant ` a une erreur. D epend du composant aect e, de la mani` ere et du moment o` u il est utilis e et du choix dobservation eectu e. La latence est d enie par une etude statistique et elle sadresse plut ot aux syst` emes physiques. Dicile ` a d eterminer. Exemple : rappels de v ehicules par les constructeurs automobiles plusieurs ann ees apr` es la mise en vente. Latence faible lorsque toutes les congurations possibles sont prises dans un laps de temps court.
Introduction
D efaillances
Erreurs et fautes
Latence
Mod` eles de fautes
Exemple
Cahier des charges : soit un compteur binaire asynchrone par 16 comptant des impulsions arrivant sur une entr ee E et achant le r esultat en sortie S en code binaire naturel sur quatre bits (not es (a,b,c,d), poids fort ` a gauche). Une panne de collage ` a 0 xe le poids fort ` a 0, d` es l etat initial. D eterminer la latence moyenne de cette faute, sachant que lintervalle de temps moyen entre deux entr ees est de 2 millisecondes.
2009-2010 41/65
Introduction
D efaillances
Erreurs et fautes
Latence
Mod` eles de fautes
Exemple
Cahier des charges : soit un compteur binaire asynchrone par 16 comptant des impulsions arrivant sur une entr ee E et achant le r esultat en sortie S en code binaire naturel sur quatre bits (not es (a,b,c,d), poids fort ` a gauche). Sp ecication : soit un compteur de temps comptant modulo 16, achant ses r esultats sur 4 bits, le poids fort etant ` a gauche. Il sagit dun compteur qui compte de un en un. Donner les valeurs prises par ce compteur.
2009-2010 42/65
Introduction
D efaillances
Erreurs et fautes
Latence
Mod` eles de fautes
Exemple
Faute : une panne de collage ` a 0 xe le poids fort ` a 0, d` es l etat initial. D eterminer la latence moyenne de cette faute, sachant que lintervalle de temps moyen entre deux entr ees est de 2 millisecondes. Quel est le top dhorloge qui devrait faire basculer le bit de poids fort ` a 1? Le basculement devrait se faire au 8` eme top dhorloge. Sa latence est donc 8 2 millisecondes.
2009-2010 43/65
Introduction
D efaillances
Erreurs et fautes
Latence
Mod` eles de fautes
Exemple
La panne (i.e. faute mat erielle) est une faute permanente qui provoque une faute valeur compteur erron ee . Cette faute valeur compteur erron ee dure 8 tops dhologe puis dispara t pendant les 8 tops suivants. Il sagit donc dune faute transitoire. Elle provoque une erreur dans la repr esentation du temps ecoul e. Cette erreur peut conduire ` a une d efaillance temporaire p eriodique, si les fautes ou lerreur ne sont pas d etect ees et corrig ees, ou tol er ees.
2009-2010 44/65
Introduction
D efaillances
Erreurs et fautes
Latence
Mod` eles de fautes
Evaluation des cons equences des d efaillances

Dix fautes Fi , equiproblables de probabilit e p , peuvent aecter un produit A. Le contrat de maintenance pr evoit un temps xe dimmobilisation de 4 heures pour r eparation. Lanalyse de s ecurit e a montr e que les cons equences externes de ces fautes sont les suivantes : F1 et F2 : b enignes ; F3 , F4 et F5 : co ut xe C e ; F6 et F7 : co ut variable V e par heure ; F8 , F9 et F10 : co ut xe D e et co ut variable de pente K par heure. Calculer le co ut moyen dune faute d etect ee.
2009-2010 45/65
Introduction
D efaillances
Erreurs et fautes
Latence
Mod` eles de fautes
Evaluation des cons equences des d efaillances

Que signie ce jargon ? Une interpr etation possible : Loi de co ut pour F6 et F7 : V H , o` u H est le nombre dheures de r eparation. Loi de co ut pour F8 , F9 et F1 0 : D + (K + 2 K + . . . + H K ) donc D + K (H (H + 1)/2). Co ut total : CT = 3 C + 2 V H + 3 (D + K (H (H + 1)/2)). Co ut moyen CM = CT /10.
2009-2010 46/65
Introduction
D efaillances
Erreurs et fautes
Latence
Mod` eles de fautes
Mod` eles de fautes (1)
Le mod` ele permet dexprimer (seulement) certaines propri et es souhait ees. Les fautes exprimables avec ce mod` ele seront d ecrites par linvalidation des propri et es souhait ees/requises. Mod` ele de fautes : un ensemble de fautes dont les eets sont observables sous forme derreurs dans un mod` ele (une mod elisation) donn ee du produit.
2009-2010 47/65
Introduction
D efaillances
Erreurs et fautes
Latence
Mod` eles de fautes
Mod` eles de fautes (2)
Autrement dit, on choisit un mod` ele du produit et on recense toutes les fautes exprimables dans un mod` ele. Quest-ce quun mod` ele du produit ? Donner par ecrit des exemples de m ethodes de mod elisation. Donner un exemple de produit, un mod` ele, une faute exprimable, une faute non exprimable.
2009-2010 48/65
Introduction
D efaillances
Erreurs et fautes
Latence
Mod` eles de fautes
Exemple (1)
Sp ecication dun circuit logique implantant une pile : les donn ees sont m emoris ees dans le circuit par la commande Push et sont retir ees par la commande Pop. Propri et e : donn ees retir ees dans lordre inverse de leur entr ee. Pour eviter une d efaillance Pile-Pleine, on ajoutera un signal de sortie mis ` a 1 lorsque la pile est pleine. Quelles sont les fautes pouvant conduire ` a un d ebordement ?
2009-2010 49/65
Introduction
D efaillances
Erreurs et fautes
Latence
Mod` eles de fautes
Exemple (2)
Pour d enir le d ebordement, il faut xer la taille maximale de la pile, soit MaxPile. MaxPile peut etre mal evalu e et sup erieur ` a la taille maximale r eelle de la pile. Cest une faute interne fonctionnelle de conception. Le signal Pile-Pleine reste ` a 0 malgr e un d ebordement : faute interne mat erielle. Le proc ed e employant cette pile ignore le signal Pile-Pleine. Cest une faute externe. Est-ce que ces fautes peuvent avoir des analogues si la pile est implant ee par logiciel ? Si oui, les d ecrire.
2009-2010 50/65
Introduction
D efaillances
Erreurs et fautes
Latence
Mod` eles de fautes
Mod` eles de fautes pour les syst` emes ` a logiciel pr epond erant
Les prescriptions de la s uret e de fonctionnement portent sur : Les phases de sp ecication du syst` eme ; Le choix de larchitecture logicielle/syst` eme ; Le choix des processus de d eveloppement logiciel. Voir le cours sur les normes.
2009-2010 51/65
Introduction
D efaillances
Erreurs et fautes
Latence
Mod` eles de fautes
Fautes de sp ecication
Mauvaise interpr etation du cahier des charges : on consid` ere que la valeur fournie par un capteur a et e valid ee par le capteur lui-m eme. Probl` eme didentication de la fronti` ere du produit dans le proc ed e. Incompl etude : oublier de mentionner que la valeur dune pression est toujours positive. Ne pas dire comment traiter une pression n egative. Incoh erence logique, contradiction entre propri et es requises. La mod elisation de la sp ecication aidera ` a d etecter ces fautes. Plus le mod` ele de fautes choisi est formel et expressif, plus nombreuses seront les fautes elimin ees.
Introduction
D efaillances
Erreurs et fautes
Latence
Mod` eles de fautes
Mod` eles de fautes - niveau sp ecication (1)

Mod` ele comportemental : RDP, automates, equations, ... Fautes : oubli dune transition, emission ` a tort dun message, equation fausse. Erreurs : incoh erence du mod` ele, apparition dun interblocage, etat non atteignable... D etection par analyse ou exploration du mod` ele comportemental (invariants, logique temporelle, horloges,...). D etection par simulation de mod` ele : recherche de sc enarios nominaux ou d egrad es.
2009-2010 53/65
Introduction
D efaillances
Erreurs et fautes
Latence
Mod` eles de fautes

Mod` ele en B, Coq, ... : introduire des noms, des propri et es de comportement, de donn ees, des propri et es g en erales du produit ainsi que les hypoth` eses faites sur lenvironnement. Permet de d etecter : Ambigu t es dans le cahier des charges et leurs cons equences ; Non-respect de propri et es requises (comportementales, temporelles, donn ees, ...). Incoh erences logiques (contradiction entre propri et es requises). Non-respect des hypoth` eses faites sur le proc ed e et lenvironnement non fonctionnel.
Introduction
D efaillances
Erreurs et fautes
Latence
Mod` eles de fautes
Conduit au traitement de certaines possibilit es de d efaillance. Les modes de d efaillance doivent etre reconnus et trait es. Exemple : un processus lecteur- ecrivain. Mod elis e en B comme une suite dentr ees, la suite de sorties etant un pr exe de lentr ee. Que se passe-t-il si une entr ee narrive pas ` a temps ? N ecessit e de pr evoir le retour ` a un etat stable apr` es une panne franche : pr evoir dans la sp eciation la r einitialisation du syst` eme.
2009-2010 55/65
Introduction
D efaillances
Erreurs et fautes
Latence
Mod` eles de fautes
Fautes de conception
Faute de ranement : au niveau dun composant (arithm etique utilis ee non conforme ` a la sp ecication), au niveau de linterface entre composants (incompatibilit e entre les formats de donn ees). Non-respect de contraintes technologiques : utilisation/partage de ressources.
2009-2010 56/65
Introduction
D efaillances
Erreurs et fautes
Latence
Mod` eles de fautes
Mod` ele de fautes - niveau conception g en erale (1)

Le mod` ele est li e au choix de description de larchitecture. Faute dinterface entre composants. Mauvaise prise en compte des r` egles de communication et de synchronisation exprim ees dans le mod` ele abstrait (les born ees, d elais, ...). Oubli dune fonctionnalit e ou ajout dune fonctionnalit e non pr evue (acquisition dentr ees, l de r einitialisation, ...), qui introduit un etat non pr evu.
2009-2010 57/65
Introduction
D efaillances
Erreurs et fautes
Latence
Mod` eles de fautes
Mod` ele de fautes - niveau conception g en erale (2)
Non-couverture des modes de d efaillance analys es dans la sp ecication. D etection des fautes par : Matrices de tra cabilit e entre mod` eles de sp ecication et de conception : extr emement important. Si le mod` ele de conception prolonge le mod` ele de sp ecication, la t ache est facilit ee. Importance de la notion de ranement. Justication des modes de r ealisation des interfaces entre composants.
2009-2010 58/65
Introduction
D efaillances
Erreurs et fautes
Latence
Mod` eles de fautes
Mod` eles de fautes : conception d etaill ee/codage
Exemples de fautes : non-initialisation de donn ees, non-retour de valeur apr` es un appel, non-terminaison dun programme, appel ` a une fonction qui nexiste pas, non-respect du type dune variable, non-respect dune contrainte de causalit e entre ev enements. D etection : analyses statiques, ot de contr ole, ot de donn ees, lecture critique de code, ...
2009-2010 59/65
Introduction
D efaillances
Erreurs et fautes
Latence
Mod` eles de fautes
Fautes de production
Fautes pendant la production (manuelle ou instrument ee) du source ` a partir du mod` ele de conception. Exemples ? Mauvais branchement. Fautes pendant la production du code-objet/ex ecutable. Exemples ? Erreur de librairie au link. Fautes en cours dexploitation Peuvent provenir du produit, du proc ed e, de lenvironnement non fonctionnel. Importance des op erateurs humains. Exemples ? D ebordement de pile, panne mat erielle. Fautes en cours de maintenance/de mise au rebut Exemples ? Oubli du chion. La d etection se fait soit au moment des tests, soit en cours dexploitation... trop tard.
Introduction
D efaillances
Erreurs et fautes
Latence
Mod` eles de fautes
Tests
Les m ethodes de test peuvent et doivent etre appliqu ees au cours de toutes les etapes du d eveloppement. Elles compl` etent les m ethodes de preuve et de v erication sur les mod` eles. Lautomatisation de la construction de jeux de test pertinents pour un mod` ele donn e est un sujet de recherche actif.
2009-2010 61/65
Introduction
D efaillances
Erreurs et fautes
Latence
Mod` eles de fautes
Exemple (1)
Cahier des charges : si la temp erature ext erieure est sup erieure ` a 20 degr es, couper la chaudi` ere. Sp ecication : le syst` eme doit contenir un capteur T de temp erature ext erieure fournissant la temp erature exprim ee en degr es Celsius ` a un sous-syst` eme S pouvant interrompre le fonctionnement de la chaudi` ere C. On choisit de mod eliser le produit T + S + C par un syst` eme ` a transitions. Question : la valeur fournie par le capteur peut-elle etre erron ee ? Fautes possibles : panne du capteur, modication de la valeur au cours de sa transmission, moyen dacquisition de la valeur erron ee.
2009-2010 62/65
Introduction
D efaillances
Erreurs et fautes
Latence
Mod` eles de fautes
Exemple (2)
Que dit lexp erience du m etier ? Panne de capteur hautement improbable apr` es une semaine de fonctionnement correct, durant un temps moyen de 5 ans. De plus, capteur blind e. Transmission soumise ` a perturbations : dupliquer la transmission des donn ees et mettre en place un algorithme de vote. Oblige ` a modier la sp ecication pour tol erer la d efaillance possible de la transmission. Avec un capteur sophistiqu e, on pourrait utiliser un code correcteur derreur pour chirer la donn ee.
Introduction
D efaillances
Erreurs et fautes
Latence
Mod` eles de fautes
Exemple (3)
Dans la sp ecication : une donn ee enti` ere D, comprise entre 1 et 100, servant ` a calculer une valeur S positionnant une vanne, devant etre comprise entre 1 et 10. Fautes du programmeur : S repr esent ee par un entier 32 bits, pas de contr ole sur la valeur lue faute passive du logiciel. Faute de lenvironnement : fortes perturbations electro-magn etiques.
2009-2010 64/65
Introduction
D efaillances
Erreurs et fautes
Latence
Mod` eles de fautes
Exemple (4)
Activation dune faute du proc ed e : le capteur envoie une valeur n egative. Activation de la faute du logiciel : la valeur de S devient hors-bornes erreur. Si m ecanisme de redondance ecace erreur corrig ee par le produit. Sinon d efaillance : mauvais positionnement de la vanne.
2009-2010 65/65

Surete SE

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Surete SE

Transféré par

Droits d'auteur :

Formats disponibles

Cours de S uret e de Fonctionnement

Mod` eles de fautes

Fautes des syst` emes ` a logiciel pr epond erant

Cours de S uret e de Fonctionnement David Delahaye, David.Delahaye@cnam.fr, CNAM

Mod` eles de fautes

Fautes des syst` emes ` a logiciel pr epond erant

D efaillances, erreurs, fautes

Cours de S uret e de Fonctionnement David Delahaye, David.Delahaye@cnam.fr, CNAM

Mod` eles de fautes

Fautes des syst` emes ` a logiciel pr epond erant

Qui est responsable de la d efaillance ?

Mod` eles de fautes

Fautes des syst` emes ` a logiciel pr epond erant

Qui est responsable de la faute ?

Cours de S uret e de Fonctionnement David Delahaye, David.Delahaye@cnam.fr, CNAM

Mod` eles de fautes

Fautes des syst` emes ` a logiciel pr epond erant

Assurer la s uret e de fonctionnement

Cours de S uret e de Fonctionnement David Delahaye, David.Delahaye@cnam.fr, CNAM

Mod` eles de fautes

Fautes des syst` emes ` a logiciel pr epond erant

Assurer la s uret e de fonctionnement

Cours de S uret e de Fonctionnement David Delahaye, David.Delahaye@cnam.fr, CNAM

Mod` eles de fautes

Fautes des syst` emes ` a logiciel pr epond erant

Mod` eles de fautes

Fautes des syst` emes ` a logiciel pr epond erant

Classication des moyens

Cours de S uret e de Fonctionnement David Delahaye, David.Delahaye@cnam.fr, CNAM

Mod` eles de fautes

Fautes des syst` emes ` a logiciel pr epond erant

Cours de S uret e de Fonctionnement David Delahaye, David.Delahaye@cnam.fr, CNAM

Mod` eles de fautes

Fautes des syst` emes ` a logiciel pr epond erant

Cours de S uret e de Fonctionnement David Delahaye, David.Delahaye@cnam.fr, CNAM

Mod` eles de fautes

Fautes des syst` emes ` a logiciel pr epond erant

Cours de S uret e de Fonctionnement David Delahaye, David.Delahaye@cnam.fr, CNAM

Mod` eles de fautes

Fautes des syst` emes ` a logiciel pr epond erant

Recherche et classication des d efaillances

Cours de S uret e de Fonctionnement David Delahaye, David.Delahaye@cnam.fr, CNAM

Mod` eles de fautes

Fautes des syst` emes ` a logiciel pr epond erant

Cours de S uret e de Fonctionnement David Delahaye, David.Delahaye@cnam.fr, CNAM

Mod` eles de fautes

Fautes des syst` emes ` a logiciel pr epond erant

Cours de S uret e de Fonctionnement David Delahaye, David.Delahaye@cnam.fr, CNAM

Mod` eles de fautes

Fautes des syst` emes ` a logiciel pr epond erant

Classication des d efaillances

Cours de S uret e de Fonctionnement David Delahaye, David.Delahaye@cnam.fr, CNAM

Mod` eles de fautes

Fautes des syst` emes ` a logiciel pr epond erant

Classication des d efaillances

Cours de S uret e de Fonctionnement David Delahaye, David.Delahaye@cnam.fr, CNAM

Mod` eles de fautes

Fautes des syst` emes ` a logiciel pr epond erant

Classication des d efaillances

Cours de S uret e de Fonctionnement David Delahaye, David.Delahaye@cnam.fr, CNAM

Mod` eles de fautes

Fautes des syst` emes ` a logiciel pr epond erant

Classication des d efaillances