Réunion du cercle Conception et Validation pour la Sûreté de Fonctionnement
COTS et réutilisation, 14 octobre 1999
PROGRAMME

10H00 - 10H15 : Informations sur la vie du Club SEE, et presentation de la
journee.

10H15 - 11H00 : "Strategie de conception et maintenance de systemes a base
de COTS", Jean Aguado, Thomson-CSF, Orsay.
[trsp pdf]

11H00 - 11H45 : "Utilisation de composants COTS pour la construction de
systèmes temps-réel stricts a sûreté critique", Isabelle Puaut, IRISA,
Rennes. 
[trsp pdf]

La motivation majeure à l'utilisation de composants commerciaux (COTS) dans
le cadre des systèmes temps-réel stricts à sûreté critique (systèmes de
contrôle dans le domaine de l'avionique ou du ferroviaire) est une
motivation économique. En effet, l'utilisation de composants COTS est
destinée à limiter fortement les coûts d'achat des équipements, ainsi que
les délais de développement des logiciels.
Quoiqu'à priori attractive, l'utilisation de composants COTS pose les
problèmes de compatibilité suivants :
- Compatibilité de composants COTS (autant matériels que logiciels) avec
des échéances temporelles strictes (dont le non respect peut entraîner des
conséquences catastrophiques).
- Compatibilité de composants COTS avec des contraintes de sûreté de
fonctionnement. En autres termes, est-ce que des composants COTS  peuvent
être utilisés avec un niveau de confiance suffisant en présence de fautes ?
L'exposé présente notre état d'avancement courant en ce qui concerne les
deux problèmes de compatibilité mentionnés ci-dessus. Nous donnons nos
premiers résultats concernant l'analyse (statique) de temps au pire cas de
systèmes d'exploitation d'exécutant sur un processeur du commerce. Nous
donnons également notre démarche concernant l'utilisation de COTS en
présence de fautes.

11H45 - 12H00 : Pause

12H00 - 12H45 : "Conception et validation de systèmes de contrôle-commande
à parties critiques", Isabelle Queteuil, CEA-LETI, Saclay.

Nous présenterons, tout d'abord, les objectifs de Sémiramis (programme
Innovation du CEA) qui sont, d'une part, l'amélioration des performances,
de la sûreté et de la fiabilité des systèmes de contrôle-commande complexes
à parties critiques, et qui visent, d'autre part, à faciliter leur test et
leur maintenance à travers des méthodes appropriées et des solutions de
mise en oeuvre offrant les meilleures garanties de pérennité.
Il est nécessaire de pouvoir garantir un ensemble de propriétés
caractérisant un fonctionnement sûr de tels systèmes, c'est-à-dire les
propriétés recherchées, qui pour un fonctionnement nominal correct sans
anomalie, doivent être conservées en cas de défaillances partielles de
certains composants (logicielles, matérielles...). Nous présenterons notre
approche dans ce domaine.
Nous exposerons brièvement les problèmes liés à la cohabitation de
composants critiques et moins critiques, et à l'emploi de micro-noyau
temps-réel ou de logiciels à interruptions en regard des objectifs de
sûreté et de fiabilité (en particulier, une évaluation de l'offre du marché
des constructeurs (COTS) dans le domaine temps-réel est en cours).

12H45 - 14H00 : Pause déjeuner

14H00 - 14H45 : "MAFALDA: Microkernel Assessment by Fault Injection and
Design Aid", Manuel Rodriguez, LIS/Thomson-CSF, Toulouse. 
[trsp pdf]

MAFALDA est un outil générique dont l'objectif est de fournir un
environnement permettant de caractériser le comportement en présence de
fautes de micronoyaux du commerce (COTS) et de mettre en oeuvre des
mécanismes d'encapsulation (notion de wrappers) pour améliorer le
confinement des erreurs. Les fautes injectées sont à la fois externes
(corruption des paramètres d'appel des fonctions du micronoyau)  et
internes (corruption de l'espace mémoire du micronoyau lui-même). Il permet
d'évaluer de façon quantitative les modes de défaillances d'un micronoyau
COTS et de mesurer l'efficacité des wrappers.
Après une brève classification des micronoyaux COTS actuels et de leur mode
d'interaction entre le niveau application et les modules fonctionnels du
micronoyau, la présentation décrira les principales caractéristiques de
l'outil en focalisant sur les modules d'injection et d'encapsulation.
L'implémentation de ces deux modules sera décrite à la fois pour les
micronoyaux COTS basés sur une distinction d'espaces d'adressage
(application-noyau) et sur ceux formés par un ensemble de librairies
(espace d'adressage unique).
Des résultats expérimentaux significatifs permettront d'illustrer l'intérêt
de cet outil tant du point de vue de l'intégrateur de systèmes à base de
COTS, que du point de vue du fournisseur de micronoyaux commerciaux.
En conclusion, les développements actuels et extensions  de MAFALDA seront
brièvement abordés.

14H45 - 15H30 : "Les Langages dédiés : une approche sûre et efficace à la
conception de systèmes d'exploitation", Gilles Muller, IRISA, Rennes.
[trsp pdf]

Les langages dédiés sont des langages restreints à un domaine ou une
famille d'applications. Ils offrent un haut niveau d'abstraction sur le
domaine considéré. Leurs avantages sont une programmation simplifiée, plus
concise et plus rapide. Par ailleurs, les langages dédiés permettent la
vérification statique de propriétés spécifiques au domaine. Les langages
dédiés permettent ainsi d'augmenter la qualité des programmes et la
productivité des développements. Dans cet article, nous motivons l'intérêt
des langages dédiés dans la conception de systèmes d'exploitation.  Nous
détaillons cette approche en décrivant deux langages dédiés développés au
sein du projet COMPOSE : GAL, un langage dédié à la spécification de cartes
graphiques pour la génération de pilotes X-Window et PLANP, un langage
dédié au développement de protocoles pour les réseaux actifs. Les
programmes écrits dans ces deux langages sont de 3 à 10 fois plus concis
que leur équivalent C (code source), aussi rapides et d'un degré de sûreté
supérieur.

15H30 - 16H00 : Bilan de la journee, prochains themes a traiter.