Une approche à base de modèles synergiques pour la prise en compte simultanée de l'utilisabilité, la fiabilité et l'opérabilité des systèmes interactifs critiques

Dans le cadre de la conception et du développement de systèmes interactifs critiques, lorsque le coût d'une erreur potentielle d'utilisation ou d'un dysfonctionnement du système peut dépasser le coût de développement de ce système ou se chiffrer en pertes humaines, les techniques, méthodes et processus actuellement proposés dans le domaine de l'IHM sont difficilement exploitables. D'une part, ils ne permettent pas de garantir simultanément les propriétés d'utilisabilité et de sûreté du système développé. D'autre part, la formation et la qualification des utilisateurs du système avant sa mise en opération n'est pas envisagée. Enfin, ces techniques, méthodes et processus ne fournissent pas les moyens de traçabilité exigés pour le développement de systèmes critiques. L'argumentaire de cette thèse s'appuie sur les avantages et limitations des approches existantes en termes de processus et notations de modélisation. Nous proposons une approche et montrons sa réalisation à travers un processus de développement d'un système interactif critique et de son programme de formation associé. Ce processus fournit un cadre conceptuel, une association d'étapes, des notations, et un environnement logiciel pour : le développement d'un système utilisable et sûr, le développement du programme de formation associé ainsi que la traçabilité des exigences et des choix de conception tout au long des différentes étapes. Il utilise certains principes de la conception centrée utilisateur et exploite de manière synergique les modèles des tâches, les modèles formels du comportement du système et le modèle de développement du programme de formation.In the field of interactive critical systems, the cost of a usage error or of a system failure can overcome the cost of the development of the system itself, and can result in loss of life, injury or damage to the system and its environment. Then, currently available Human Computer Interaction techniques, methods and processes are not sufficient, as they are not handling all of the design and development issues that are associated to interactive critical systems. First of all, these techniques, methods and processes do not enable to guarantee that the system will fulfil both usability and reliability properties. Then, they do not consider training and qualification of the users of the system. At last, they do not provide means for traceability of the needs and requirements through the whole development process. We propose an approach to develop interactive critical systems that are usable, reliable and operable and we describe the associated conceptual framework of our approach. We propose an implementation of this approach with a development process, notations and a software environment. The development process integrates phases for the development of the associated training program, and it provides support for the traceability of requirements and design choices during the whole phases of the process. This approach takes advantages from the User Centered Design paradigm and uses, in a synergistic way, task models, system's behaviour formal models and training program development model

Caractérisation de la sûreté de fonctionnement des systèmes d'exploitation en présence de pilotes défaillants

Les pilotes de périphériques composent désormais une part essentielle des systèmes d’exploitation. Plusieurs études montrent qu’ils sont fréquemment à l’origine des dysfonctionnements des systèmes opératoires. Dans ce mémoire, nous présentons une méthode pour l’évaluation de la robustesse des noyaux face aux comportements anormaux des pilotes de périphériques. Pour cela, après avoir analysé et précisé les caractéristiques des échanges entre les pilotes et le noyau (DPI - Driver Programming Interface), nous proposons une technique originale d’injection de fautes basée sur la corruption des paramètres des fonctions manipulées au niveau de cette interface. Nous définissons différentes approches pour l’analyse et l’interprétation des résultats observés pour obtenir des mesures objectives de sûreté de fonctionnement. Ces mesures permettent la prise en compte de différents points de vue afin de répondre aux besoins réels de l’utilisateur. Enfin, nous illustrons et validons l’applicabilité de cette méthode par sa mise en oeuvre dans le cadre d’un environnement expérimental sous Linux. La méthode proposée contribue à la caractérisation de la sûreté de fonctionnement des noyaux vis-à-vis des défaillances des pilotes du système. L’impact des résultats est double : a) permettre au développeur de tels logiciels d’identifier les faiblesses potentielles affectant la sûreté de fonctionnement du système, b) aider un intégrateur dans le choix du composant le mieux adapté à ses besoins

Étalonnage de la sûreté de fonctionnement des systèmes d’exploitation – Spécifications et mise en oeuvre

Les développeurs des systèmes informatiques, y compris critiques, font souvent appel à des systèmes d’exploitation sur étagère. Cependant, un mauvais fonctionnement d’un système d’exploitation peut avoir un fort impact sur la sûreté de fonctionnement du système global, d’où la nécessité de trouver des moyens efficaces pour caractériser sa sûreté de fonctionnement. Dans cette thèse, nous étudions l’étalonnage de la sûreté de fonctionnement des systèmes d’exploitation par rapport aux comportements défectueux de l’application. Nous spécifions les propriétés qu’un étalon de sûreté de fonctionnement doit satisfaire. Après, nous spécifions les mesures et la mise en oeuvre des trois étalons destinés à comparer la sûreté de fonctionnement de différents systèmes d’exploitation. Ensuite, nous développons les prototypes des trois étalons. Ces prototypes servent à comparer les différents systèmes d’exploitation des familles Windows et Linux, et pour montrer la satisfaction des propriétés identifiées. ABSTRACT : System developers are increasingly resorting to off-the-shelf operating systems, even in critical application domains. Any malfunction of the operating system may have a strong impact on the dependability of the global system. Therefore, it is important to make available information about the operating systems dependability. In our work, we aim to specify dependability benchmarks to characterize the operating systems with respect to the faulty behavior of the application. We specify three benchmarks intended for comparing the dependability of operating systems belonging to different families. We specify the set of measures and the procedures to be followed after defining the set of properties that a dependability benchmark should satisfy. After, we present implemented prototypes of these benchmarks. They are used to compare the dependability of operating systems belonging to Windows and Linux, and to show that our benchmarks satisfy the identified properties

Architectures innovantes de systèmes de commandes de vol

L'aboutissement aux Commandes de Vol Électriques (CDVE) des avions civils actuels s'est fait par étapes, après une longue maturation des différentes technologies mises en place. La prochaine étape est l'utilisation de communications intégralement numériques et d'actionneurs intelligents. Cette thèse propose de nouvelles architectures, en rupture avec l'état de l'art, avec de nouvelles répartitions des fonctions intelligentes entre l'avionique centrale (calculateurs de commandes de vols) et l'avionique déportée (électroniques locales des actionneurs) dont l'avantage est d'exiger moins de ressources par rapport aux architectures conventionnelles tout en satisfaisant les mêmes exigences de sécurité et de disponibilité ainsi que les exigences croissantes en fiabilité opérationnelle de la part des compagnies aériennes. La sûreté de fonctionnement et la robustesse des nouvelles architectures proposées ont été validées respectivement sous OCAS/Altarica et Matlab/Simulink. ABSTRACT : The current civil aircraft's electrical flight control has been changed to take benefit of technical improvements. New technologies, when mature, can be incorporated in aircrafts. Evolutions are considered towards a digital communication and intelligent actuators. This thesis is aiming at proposing alternative architectures with distribution of system functionality between flight control computers and actuators with less hardware and software resources. New architectures must meet the same safety and availability requirements with additional operational reliability (required by airlines). Dependability and robustness of new architectures have been validated trough respectively OCAS / AltaRica and Matlab / Simulin

Modélisation graphique probabiliste pour la maîtrise des risques, la fiabilité et la synthèse de lois de commande des systèmes complexes

Mes travaux de recherche sont menés au Centre de Recherche en Automatique de Nancy (CRAN), dans le département Ingénierie des Systèmes Eco-Techniques (ISET) sous la responsabilité de B. Iung et de A. Thomas et le département Contrôle - Identification - Diagnostic (CID) sous la responsabilité de D. Maquin et de G. Millerioux.L’objectif principal de mes recherches est de formaliser des méthodes de construction de modèles probabilistes représentant les bons fonctionnements et les dysfonctionnements d’un système industriel. Ces modèles ont pour but de permettre l’évaluation des objectifs de fonctionnement du système (exigences opérationnelles, performances) et les conséquences en termes de fiabilité et de maîtrise des risques (exigences de sûreté). Ceci nécessite de modéliser les impacts de l’environnement sur le système et sur ses performances, mais aussi l’impact des stratégies de commande et des stratégies de maintenance sur l’état de santé du système.Pour plus de détails.A travers les différents travaux de thèses et collaborations, j’ai exploité différents formalismes de modélisation probabilistes. Les apports majeurs de nos contributions se déclinent en 3 points :• La modélisation des conséquences fonctionnelles des défaillances, structurée à partir des connaissances métiers. Nous avons développés les principes de modélisation par Réseau Bayésien (RB) permettant de relier la fiabilité et les effets des états de dégradation des composants à l’architecture fonctionnelle du système. Les composants et les modes de défaillances sont alors décrits naturellement par des variables multi-états ce qui est difficile à modéliser par les méthodes classiques de sûreté de fonctionnement. Nous proposons de représenter le modèle selon différents niveaux d'abstraction en relation avec l’analyse fonctionnelle. La modélisation par un modèle probabiliste relationnel (PRM) permet de capitaliser la connaissance par la création des classes génériques instanciées sur un système avec le principe des composants pris sur étagère.• Une modélisation dynamique de la fiabilité des systèmes pris dans leur environnement. Nous avons contribué lors de notre collaboration avec Bayesia à la modélisation de la fiabilité des systèmes par Réseau Bayésien Dynamique (RBD). Un RBD permet, grâce à la factorisation de la loi jointe, une complexité inférieure à une Chaîne de Markov ainsi qu’un paramétrage plus facile. La collaboration avec Bayesia a permis l’intégration dans Bayesialab (outil de modélisation) de ces extensions et notamment l’utilisation de paramètres variables dans le temps élargissant la modélisation des RBD à des processus Markoviens non homogènes.• La synthèse de la loi de commande pour l’optimisation de la fiabilité du système. Nous travaillons sur l’intégration de la fiabilité dans les objectifs de commande des systèmes sous contrainte de défaillances ou de défauts. Nous posons aujourd’hui le problème dans un contexte général de commande. Nous proposons une structuration du système de commande intégrant des fonctions d’optimisation et des fonctions d’évaluation de grandeurs probabilistes liées à la fiabilité du système. Nos travaux récents sont focalisés sur l’intégration, dans la boucle d’optimisation de la commande, des facteurs issues d’une analyse de sensibilité de la fiabilité du système par rapport aux composants

Approches outillées pour le développement de systèmes interactifs intégrant les aspects sûreté de fonctionnement et utilisabilité

Since the Airbus A380 and with the introduction of ARINC 661 standard, the glass cockpits are being replaced by interactive cockpits, by allowing the crew to control aircraft systems through display unit by using keyboard and cursor control unit (KCCU). Currently only secondary aircraft systems which are non-critical are managed using such interactive cockpits. To be able to generalize such features to critical aircraft system, the main question remains to understand how to match dependability requirements for such systems while preserving usability properties. To reach the goal of using such interactive techniques within safety critical aircraft systems, our research work has followed three main directions. The first approach is to tend to zero default design, by realizing the precise and unambiguous description of software components of interactive system, using formal description technique. The second approach consists in the use of fault tolerant mechanisms, to treat design residual fault, physical fault or environmental fault. These fault tolerant mechanisms enable the continuity of service despite the occurrence of fault. The third approach is the clarification of the impact of different fault tolerant mechanisms on the usability of the interactive system. This clarification is done by using and analyzing task models, describing the user activity of the systemDepuis l'A380 et avec l'introduction du standard ARINC 661, les systèmes d'affichage et de contrôle des cockpits sont passés d'un rôle de simple afficheur, à celui d'un système interactif permettant à l'équipage d'interagir sur les écrans grâce à l'utilisation d'un ensemble clavier/dispositif de pointage appelé KCCU. L'utilisation de cette nouvelle capacité d'interaction est à ce jour limitée à des interactions avec des systèmes avions non critiques. Pour envisager son extension à des systèmes critiques il faut se poser la question du respect d'exigences de sureté de fonctionnement imposées à de tels systèmes sans pour autant diminuer son niveau d'utilisabilité. Dans cette optique, nous proposons dans le cadre de nos travaux de recherche, différentes approches pour contribuer au développement d'un tel système interactif critique. La première approche est de tendre vers une conception zéro défaut, en réalisant une description précise et non ambigüe des composants logiciels du système interactif en utilisant une technique de description formelle. La seconde approche est l'utilisation de techniques de tolérance aux fautes car il existe toujours des fautes résiduelles de conception, des fautes matérielles ou venant de l'environnement. Dans ce cas, l'utilisation de technique de tolérance aux fautes permet au système de continuer à remplir ses fonctions en dépit de l'occurrence de fautes. La troisième approche est l'explicitation de l'impact des différentes approches de tolérance aux fautes sur l'utilisabilité du système interactif. Cette explicitation est faite au travers de la réalisation et de l'analyse des modèles de tâche, décrivant l'activité de l'utilisateur du système

Test et évaluation de la robustesse de la couche fonctionnelle d'un robot autonome

La mise en oeuvre de systèmes autonomes nécessite le développement et l'utilisation d'architectures logicielles multi-couches qui soient adaptées. Typiquement, une couche fonctionnelle renferme des modules en charge de commander les éléments matériels du système et de fournir des services élémentaires. Pour être robuste, la couche fonctionnelle doit être dotée de mécanismes de protection vis-à-vis de requêtes erronées ou inopportunes issues de la couche supérieure. Nous présentons une méthodologie pour tester la robustesse de ces mécanismes. Nous définissons un cadre général pour évaluer la robustesse d'une couche fonctionnelle par la caractérisation de son comportement vis-à-vis de requêtes inopportunes. Nous proposons également un environnement de validation basé sur l'injection de fautes dans le logiciel de commande d'un robot simulé. Un grand nombre de cas de tests est généré automatiquement par la mutation d'une séquence de requêtes valides. Les statistiques descriptives des comportements en présence de requêtes inopportunes sont analysées afin d'évaluer la robustesse du système sous test. ABSTRACT : The implementation of autonomous systems requires the development and the using of multi-layer software architecture. Typically, a functional layer contains several modules that control the material of the system and provide elementary services. To be robust, the functional layer must be implemented with protection mechanisms with respect to erroneous or inopportune requests sent from the superior layer. We present a methodology for robustness testing these mechanisms. We define a general framework to evaluate the robustness of a functional layer by characterizing its behavior with respect to inappropriate requests. We also propose an validation environment based on fault injection in the control software of a simulated robot. A great number of test cases is generated automatically by the mutation of a sequence of valid requests. The descriptive statistics of the behaviors in the presence of inappropriate requests are analyzed in order to evaluate the robustness of the system under test

Approches outillées pour le développement des systèmes interactifs intégrant les aspects sûreté de fonctionnement et utilisabilité

Depuis l'A380 et avec l'introduction du standard ARINC 661, les systèmes d'affichage et de contrôle des cockpits sont passés d'un rôle de simple afficheur, à celui d'un système interactif permettant à l'équipage d'interagir sur les écrans grâce à l'utilisation d'un ensemble clavier/dispositif de pointage appelé KCCU. L'utilisation de cette nouvelle capacité d'interaction est à ce jour limitée à des interactions avec des systèmes avions non critiques. Pour envisager son extension à des systèmes critiques il faut se poser la question du respect d'exigences de sureté de fonctionnement imposées à de tels systèmes sans pour autant diminuer son niveau d'utilisabilité. Dans cette optique, nous proposons dans le cadre de nos travaux de recherche, différentes approches pour contribuer au développement d'un tel système interactif critique. La première approche est de tendre vers une conception zéro défaut, en réalisant une description précise et non ambigüe des composants logiciels du système interactif en utilisant une technique de description formelle. La seconde approche est l'utilisation de techniques de tolérance aux fautes car il existe toujours des fautes résiduelles de conception, des fautes matérielles ou venant de l'environnement. Dans ce cas, l'utilisation de technique de tolérance aux fautes permet au système de continuer à remplir ses fonctions en dépit de l'occurrence de fautes. La troisième approche est l'explicitation de l'impact des différentes approches de tolérance aux fautes sur l'utilisabilité du système interactif. Cette explicitation est faite au travers de la réalisation et de l'analyse des modèles de tâche, décrivant l'activité de l'utilisateur du système.Since the Airbus A380 and with the introduction of ARINC 661 standard, the glass cockpits are being replaced by interactive cockpits, by allowing the crew to control aircraft systems through display unit by using keyboard and cursor control unit (KCCU). Currently only secondary aircraft systems which are non-critical are managed using such interactive cockpits. To be able to generalize such features to critical aircraft system, the main question remains to understand how to match dependability requirements for such systems while preserving usability properties. To reach the goal of using such interactive techniques within safety critical aircraft systems, our research work has followed three main directions. The first approach is to tend to zero default design, by realizing the precise and unambiguous description of software components of interactive system, using formal description technique. The second approach consists in the use of fault tolerant mechanisms, to treat design residual fault, physical fault or environmental fault. These fault tolerant mechanisms enable the continuity of service despite the occurrence of fault. The third approach is the clarification of the impact of different fault tolerant mechanisms on the usability of the interactive system. This clarification is done by using and analyzing task models, describing the user activity of the system

Contribution à la commande sûre des Systèmes à Événements Discrets

Les activités de recherche rentrent dans le spectre de la section 61 du CNU et ont pour domaine l’Automatique des Systèmes à Événements Discrets (SED). Elles sont conduites en vue d’accroître la sûreté de fonctionnement des systèmes automatisés comme ceux qu’il est possible de trouver dans le cadre de la production manufacturière, de la production d'énergie ou du transport. Une grande partie de ces recherches a concerné la conception sûre des systèmes de contrôle-commande à base d’Automates Programmables Industriels (API) et plus particulièrement les thématiques suivantes :- la vérification formelle de programmes de contrôle-commande,- la synthèse algébrique de programmes de contrôle-commande à partir de spécifications informelles,- le test de conformité d’un contrôleur logique vis-à-vis de sa spécification.D'autres recherches ont porté sur la formalisation des outils pour l’analyse de sûreté, utilisés dans le cadre de l’analyse prévisionnelle des risques d’un équipement ou d’une installation industrielle. Cette formalisation des outils utilisés en sûreté a été faite en examinant avec un point de vue SED une problématique qui ne l’était pas à son origine. Il a été étudié :- la modélisation algébrique des arbres de défaillances dynamiques,- l’analyse prévisionnelle des risques d’un point de vue qualitatif pour les systèmes réparables à partir de Boolean logic Driven Markov Processes (BDMPs),- l’analyse prévisionnelle des risques d’un point de vue quantitatif pour les systèmes réparables à l’aide de chaînes de Markov.D'une manière générale, ces activités de recherche ont pour objectif de proposer des apports formels ou méthodologiques à des outils de modélisation généralement issus de l’industrie tout en répondant à des besoins industriels déjà présents ou sur le point de le devenir