La sûreté des logiciels - CEA

Direction de la communicationService Information-médiasDossier de pressePetit déjeuner de presse du 11 septembre 2003SÛRETÉDESLOGICIELSCEA 31-33, rue de la Fédération 75752 Paris cedex 15 - Tél. 01 40 56 10 00

Sommaire‣ Les enjeux de la sûreté du logiciel‣ L’outil Caveat‣ EDF‣ Airbus‣ TNI Valiosys‣ Annexes :• Fiche CEA• Fiche ListDossier de presse CEA : sûreté des logiciels septembre 2003 www.cea.fr / 2

la compétitivité. Il faut sortir un nouveau produit plus vite et moins cher que lesconcurrents. La crise économique est un facteur de croissance, car il faut être encore pluscompétitif.En outre, la correction d’une erreur sur un logiciel coûte infiniment plus cher si elle estdétectée tardivement. Une détection précoce d’erreurs peut être faite avant l’étape de testsi l’on dispose d’outils d’analyse statique du logiciel, c’est-à-dire sans exécution de celuici.Le résultat de l’analyse est valable pour toute exécution du logiciel, quelles que soientles valeurs d’entrée, et non uniquement pour certains jeux de valeurs particulières commec’est le cas pour le test. C’est précisément sur cette approche que le Laboratoired’intégration des systèmes et des technologies (List) 1 du CEA a développé unetechnologie innovante pour renforcer la maîtrise de la sûreté des logiciels critiquesdans l’industrie.Le marché des logiciels en pleine croissanceL’emploi des techniques logicielles dans les principaux domaines industriels estmaintenant incontournable. Pour un système programmé donné, la taille du logiciel doubletous les 18 mois. En 2002, le marché des outils logiciels pour le développementd’applications (tous domaines confondus, y compris les outils logiciels pour la sûreté) areprésenté près de 9 milliards d’euros (source Cabinet IDC, nov. 2002) avec unecroissance prévisible de 13 % dans les quatre années à venir.L’industrie a besoin d’outils permettant de rendre ces logiciels plus fiables, à faible coût etdans des délais toujours plus courts.Au plan purement économique, une étude menée par le National Institut of Standards andTechnology américain évalue à 60 milliards de dollars par an le coût des boguesinformatiques, dont 22 milliards de dollars pourraient être évités si l’industrie informatiqueaméliorait ses méthodes de vérification de logiciels.1 Cf fiche CEA/ListDossier de presse CEA : sûreté des logiciels septembre 2003 www.cea.fr / 4

Quelques exemples de sources d’erreurs dans les logiciels1 - Erreur dans l’exécution d’une opérationLe résultat de l’opération « a divisé par b », dans le cas où « b » est nul, est irréalisable par l’ordinateur etle programme s’arrête. Il faut donc éviter, lorsque le logiciel fonctionne, que « b » prenne une valeur nulle.Mais « b » peut parfois prendre un grand nombre de valeurs différentes résultant d’un grand nombre decalculs possibles. Découvrir les cas où « b » a une valeur nulle qui induit un mauvais fonctionnement dulogiciel devient alors difficile et peut échapper à l’attention du concepteur.2 - Résultat d’une opération non représentable en machineLes entiers représentés en machine ne correspondent nullement aux entiers mathématiques ; ils restentbornés. Ainsi « a » et « b » peuvent être représentables en machine mais pas « a+b »3 - Perte de précision dans des calculs en nombres flottantsUn des grands paradoxes de l’informatique est que l’ordinateur est utilisé pour calculer, mais qu’il calculefaux le plus souvent ! Les « flottants », c’est-à-dire les nombres réels informatiques n’ont qu’une lointaineressemblance avec leurs cousins mathématiques. Par exemple, si une valeur est non nulle mais trèspetite, son carré peut être nul ! Ainsi le nombre réel 1/3 = 0,33333… n’a pas de représentation exacte eninformatique (à combien de 3 après la virgule s’arrête-t-on ?) Ajouter un certain nombre de fois 1/3 desecondes à une horloge conduit à une dérive de l’horloge - et peut conduire, par exemple, à la perte d’unmissile.4 - Bouclage infiniOn demande au logiciel la répétition d’une série d’opérations jusqu’à ce qu’une certaine condition soitsatisfaite mais elle ne l’est jamais. Les calculs se répètent à l’infini.5 - Blocage par attente réciproqueComme deux personnes dans la vie courante attendent que l’autre ait fait le premier pas, deux élémentsde logiciels attendent un résultat l’un de l’autre pour pouvoir poursuivre leur exécution.6 - Perte d’information par défaut de synchronisationDes valeurs se succèdent et doivent être traitées par le logiciel. Dans ce flot de valeurs, une des valeursest remplacée par la suivante avant qu’elle n’ait été lue et utilisée par la partie du logiciel chargée de sontraitement.7 - Le résultat arrive trop tardDans un système temps-réel, le résultat doit arriver avant une date limite pour être utilisable. Parexemple, des informations sur la météo du lendemain qui arriveraient le surlendemain seraient bienévidemment inutiles.8 - Le résultat ne correspond pas à ce qui est attenduOn désire obtenir le plus grand de deux nombres mais le logiciel rend le plus petit. Il n’y a pas d’erreur àl’exécution (« plantage ») mais le résultat n’a pas la propriété attendue.Dossier de presse CEA : sûreté des logiciels septembre 2003 www.cea.fr / 5

EDF, en tant qu’exploitant d’installations, est responsable de la qualification des systèmesutilisés dans ses centrales nucléaires. Aujourd’hui, les systèmes critiques (par exemple lessystèmes de protection du réacteur) sont des systèmes programmés intégrant du logiciel.Pour maîtriser ses coûts de qualification, EDF Recherche et Développement étudie desapproches de vérification du logiciel, basées sur des techniques d’analyse statique ducode. Dans ce but, EDF a lancé depuis 1996 une collaboration avec le CEA autour del’outil Caveat.Lors d’une qualification, ces techniques sont capables de fournir des informationsindiscutables sur un système, ou de guider les analyses plus subjectives vers les pointsles plus critiques. Elles complètent les phases de test et de relecture, tout en offrant untemps d’analyse borné.Caveat a été utilisé avec succès lors de la rénovation d’un système de protectionactuellement opérationnel sur certaines tranches nucléaires.L’utilisation typique de l’outil est la suivante : une première phase identifie certains typesde menaces internes au logiciel pouvant entraîner une défaillance du système (commeune division par zéro, un débordement d’indice de tableau). Dans une seconde phase, etavec l’aide d’un opérateur, l’outil cherche à prouver l’innocuité de ces menaces.L’opérateur intervient pour introduire des hypothèses complémentaires, afin d’aider l’outildans sa démonstration. Chaque hypothèse est soit prouvée directement par l’outil, soit estargumentée par l’opérateur. Lorsque l’outil n’arrive pas à conclure sur l’innocuité d’unemenace, il permet alors d’orienter la relecture de code en localisant la menace et enfournissant les informations qui lui manquent pour terminer sa démonstration.Dossier de presse CEA : sûreté des logiciels septembre 2003 www.cea.fr / 8

Le test des logiciels avioniques est structuré en plusieurs phases : le test unitaire, le testd’intégration et le test de validation. Le test unitaire adresse les propriétés de chaquemodule, le test d’intégration adresse les propriétés d’interactions des modules et le test devalidation adresse les propriétés globales du logiciel complet. Le choix des propriétésfonctionnelles aiguille naturellement un positionnement de l’utilisation des preuvesunitaires à la « Caveat » à la place du test unitaire.Utilisation opérationnelle de CAVEATLa collaboration avec le CEA List a abouti à un outil ainsi qu’à une méthodologie depreuve de propriétés fonctionnelles utilisables industriellement. Caveat est aujourd’huidéployé et utilisé sur une première application : un sous-ensemble de logiciel critique descommandes de vol du programme A380.Dossier de presse CEA : sûreté des logiciels septembre 2003 www.cea.fr / 10

AnnexesDossier de presse CEA : sûreté des logiciels septembre 2003 www.cea.fr / 13

Le CEAUn acteur clef de la recherchetechnologique et fondamentaleLe CEA est un acteur clef de la recherche, du développement et de l'innovation enmatière d'énergie, de défense, de technologies de l'information, et de santé.Depuis sa création en 1945, il relève des défis scientifiques majeurs dans un ensemblede domaines : programmes électronucléaires, dissuasion nucléaire, micro etnanotechnologies, astrophysique, imagerie médicale, toxicologie ou biotechnologies….Il constitue ainsi un outil essentiel de l’action de l’Etat en matière de recherche et dedéveloppement.Cette situation est confortée par une insertion régionale forte de ses 9 centres, par laconstruction de solides partenariats avec les universités ou les collectivités locales etpar une présence croissante au niveau européen et international où il joue un rôle deleader dans de nombreux partenariats. Le CEA est pleinement inséré dans l’espaceeuropéen de la recherche aussi bien pour les activités nucléaires que pour les autres.Pour l’ensemble de ses recherches, le CEA dispose d’outils exceptionnels etperformants (supercalculateur, réacteurs de recherches, grands instruments de laphysique, lasers de puissance…).Les grandes priorités pour le futur : cinq grandes orientationsLa recherche sur les énergiesLes recherches au CEA contribuent à garantir une énergie propre et sûre et répondentà la nécessité de disposer de formes d’énergie non émettrices de gaz à effet de serre.Le CEA conduit ainsi des actions de recherche et développement destinées à appuyeret optimiser le parc actuel de réacteurs nucléaires. Par ailleurs, il étudie et développedes solutions techniques pour la gestion des déchets radioactifs pour la réduction deleur quantité et de leur nocivité. Le CEA conduit également des programmesconcernant l’impact sanitaire et environnemental de l’énergie nucléaire. Enfin, il mènedes recherches au niveau international sur les réacteurs et combustibles nucléaires dufutur avec comme objectif majeur une production plus économique, plus sûre etgénérant moins de déchets. Le CEA soutient également l’essor des nouvellestechnologies pour l’énergie : l’hydrogène et les piles à combustible, l’énergie solaire etle stockage de l’énergie, l’efficacité énergétique.Enfin, le CEA est un acteur clef des recherches dans le domaine de la fusionthermonucléaire, dont la maîtrise pourrait permettre dans l’avenir de disposer d’unesource quasi infinie d’énergie. Le CEA est ainsi fortement impliqué dans le projetinternational du réacteur expérimental Iter, étape essentielle vers la conception d’unréacteur de fusion électrogène. Le site CEA de Cadarache est d’ailleurs le candidat dela France à l’accueil de cette machine.Dossier de presse CEA : sûreté des logiciels septembre 2003 www.cea.fr / 14

La recherche au service de la défense nationaleLe CEA développe les programmes nécessaires pour garantir la capacité dedissuasion française, dans le cadre des lois de programmation militaire. L’arrêt desessais nucléaires et le passage à la simulation conduit à la mise en place d’importantsmoyens expérimentaux (Airix, Laser Mégajoule, Supercalculateur Tera), dont lesapplications civiles seront également développées.La recherche technologique au service de l’industrieLe CEA dispose d’une recherche technologique de base de niveau très élevé qu’il metau service des industriels, notamment dans les domaines de micro- etnanotechnologies, nanomatériaux et biotechnologies où il jouit d’une reconnaissanceinternationale. Il conclut également des partenariats au niveau européen ainsi que descollaborations avec les autres organismes de recherche.Les compétences et la technologie au service de la connaissanceMenées et évaluées dans le cadre de collaborations internationales, coordonnées avecles autres organismes de recherche et les universités, les recherches fondamentalesdu CEA sont orientées vers la résolution de questions scientifiques majeures :exploration de la matière nucléaire loin de la stabilité, physique des particules et del’Univers, sciences du climat et de l’environnement, biologie…. A court terme, le CEAcontribue à la mise en œuvre de projets majeurs : Soleil, Iter, Neurospin….La recherche d’une meilleure efficacité et l’approfondissement descoopérationsNe pas relâcher l’effort pour la recherche d’une meilleure efficacité dans la gestion,notamment par l’utilisation croissante des technologies de l’information et de lacommunication, est une des priorités du CEA. L’organisme poursuit son action deconseil au gouvernement dans ses secteurs d’expertise, en particulier sur les aspectseuropéens et internationaux liés à l’énergie nucléaire et contribue à la préparation dufutur et au renforcement des positions scientifiques technologiques et industrielles denotre pays dans le monde. La capacité de répondre aux enjeux scientifiques ettechnologiques passe également par une coordination renforcée avec les autresorganismes et les universités au niveau national et européen.Dossier de presse CEA : sûreté des logiciels septembre 2003 www.cea.fr / 15

Laboratoire d’intégration des systèmes et des technologiesRecherche technologique sur les systèmes à logiciel prépondérantLe List développe des technologies innovantes associant le logiciel et le matériel pour laconception et la maîtrise de la complexité des systèmes à haut niveau d’intégration.Laboratoire de recherche technologique, le List met en synergie la R&D industrielle et larecherche fondamentale, dans une dynamique qui va du concept de système jusqu’audémonstrateur pré-industriel.300 chercheursUne envergure européenneLa culture projet, forte et bien établie des 300 chercheurs, ingénieurs et techniciens du List enfait le partenaire naturel des industriels dans l’émergence de nouvelles technologies. De longuedate, ceux-ci ont su répondre aux exigences des industriels du nucléaire, en termes deperformance, de sûreté, de délai. Ils étudient et développent, aujourd’hui, des solutions adaptéesaux besoins des industriels de nombreux secteurs de l’économie, notamment l’automobile,l’aéronautique, la défense, le médical et la communication.Contribuant au transfert de technologies innovantes, ils favorisent la création de richessesnotamment par l’émergence d’entreprises. Les technologies du List ont fait l’objet de la création deplusieurs spin-off, dont Haption (interfaces haptiques, Ile-de-France) et Acti-CM (systèmes demesure 3D, Rhône Alpes).Les équipes du List sont en relation avec de nombreux laboratoires universitaires, de grandesécoles et d’autres organismes de recherche (CNRS, Inria, etc.), au travers de collaborationsintégrant des compétences complémentaires. Elles sont aussi reconnues au niveau international(expertise, projets Européens, conférences et comités d’expert et de normalisation).Dossier de presse CEA : sûreté des logiciels septembre 2003 www.cea.fr / 16

Le List fédère les équipes de la Direction de la recherche technologique du CEA basées enIle-de-France, à Fontenay-aux-Roses(92) et à Saclay (91). Il est porteur, en partenariat avec leCNRS/Stic du projet NUM@TEC, plate-forme d’innovation pour les technologies numériques, pourconstituer en région Ile de France un pôle de recherche technologique de dimension européennecentré sur les « systèmes à logiciel prépondérant ».La recherche en sûreté des logicielsLe CEA List mène des travaux de recherche technologique pourmaîtriser la sûreté et la complexité des logiciels. Couvrant tout lecycle de développement du logiciel, le List propose des méthodeset des outils pour diminuer le coût de développement des logicielset accroître leur sûreté en analysant et en détectant le plus enamont possible les erreurs de spécifications, de conception desystèmes et en générant ainsi les tests structurels adaptés. Cestravaux sont menés dans deux laboratoires du List : le Laboratoiresûreté des logiciels et le Laboratoire logiciels pour la sûreté desprocédés.Fondé sur une expérience acquise sur plus de vingt ans pourrépondre aux besoins de l’industrie nucléaire, la compétence duList sur la sûreté est aussi déployée dans le secteur des transportstant pour les besoins de la défense que pour les besoins civils, enparticulier pour les transports aéronautique et automobile.Pour répondre aux contraintes de sûreté sécurité et de performancede l’industrie, le List est le seul laboratoire de recherche possédantune offre conséquente et une masse critique et mobilisable.Une offre importante dans les techniques de preuve et d’analyse de logicielCaveat : Mise en évidence et preuve de propriétés attenduesFluctuat : Etude de la précision numérique de calculs en nombres flottantsAlcool : Détection des erreurs de type blocage, perte d’information, etc.Slicer : Recherche et isolation des composants logiciels participant au calcul du paramètreintéressant le concepteur dans un logiciel de plusieurs dizaines de milliers de lignes de code. Cetoutil est particulièrement important pour la reprise et la maintenance de logiciels existants.Gatel : Méthode et outil d’assistance à la génération de séquence de tests à partir d’unedescription en langage LUSTREAGATHA : Analyse et validation de spécifications de systèmes industriels complexes à partir delangages standards tel que UML, Statecharts, SDL…OASIS : Méthode et outils pour la conception de systèmes temps réel Multitâches déterministespour les applications de sûretéCLAIRE : Environnement de test de systèmes temps-réel distribués utilisant des simulateurs demicroprocesseursCEA LIST18, route du Panorama - BP 6 - 92265 Fontenay-aux-Roses CedexTél. 01 46 54 99 37 – Fax. 01 46 54 99 42www-drt.cea.frDossier de presse CEA : sûreté des logiciels septembre 2003 www.cea.fr / 17