Contribution à l'analyse de sûreté de fonctionnement des systèmes complexes en phase de conception : application à l'évaluation des missions d'un réseau de capteurs de présence humaine / Contribution to reliability analysis of complex systems during their design phase : application to the evaluation of human sensors networks missions

David, Pierre

09 November 2009

La complexité des nouveaux systèmes ne cesse de grandir, en terme d’intégration de multiples technologies, de nombre de composants, ainsi qu’en terme de performances attendues. De plus, leur phase de conception doit également garantir la tenue de délais stricts pour un coût maîtrisé. Beaucoup de ces systèmes doivent notamment fournir des performances élevées en terme de Sûreté de Fonctionnement (SdF). Les analyses de SdF à mener dans ces cas doivent concilier temps et qualité d’étude, être réalisées à des niveaux de description parfois peu élevés et être capables de traiter de multiples technologies. C’est pourquoi nous avons cherché durant cette thèse à décrire une méthode d’analyse de la SdF des systèmes complexes, intégrée aux méthodes d’Ingénierie Système (IS) utilisées, que nous avons nommé MéDISIS. Les travaux de cette thèse s’attachent donc à rendre plus efficaces les analyses de SdF au cours du processus d’IS, en créant des outils et méthodes intégrés aux outils actuels de conception et proposant un support efficace pour les études SdF. Les méthodes d’Ingénierie Système Basée sur les Modèles sont les plus efficaces pour la création de tels systèmes. Nous plaçons donc ces travaux dans un référentiel utilisant un modèle central, que nous supposons écrit en SysML. Nous avons alors approfondi 3 axes de recherches : Utiliser le langage SysML comme point d’ancrage du processus d’IS intégrant les analyses de SdF, Extraire des diagrammes SysML fonctionnels les informations nécessaires aux études de risques et Exploiter les représentations SysML pour les études formelles de SdF. Dans ce contexte, nous illustrons l’emploi de MéDISIS sur la problématique du projet CAPTHOM, dont l’objectif est de bâtir une solution innovante pour la détection de présence humaine. Cette recherche nous conduit à la réalisation d’un simulateur de réseau de capteurs capable d’évaluer la réponse à des scénarios de stimulation et d’optimiser le placement des capteurs. / The design processes of new innovative systems must be able to master the increasing complexity brought by the need of integrating multiple technologies, utilized by even more components with high awaited performances. Moreover, stakeholders impose strict delays and costs on their development phase. Many of those systems are intended to possess strong reliability performances. This kind of system must include in their design phase complicated reliability analysis, within a limited time and with limited resources. Therefore, we tackle in this thesis the construction of a methodology, named MéDISIS, for integrating reliability analysis in the design processes using Model-Based System Engineering techniques. The main goal of this work is to make the reliability analysis more efficient during the engineering process, by creating methods and tools using or being included in the current design softwares utilised by system engineers. As we assume that SysML is the best language for Model-Based System Engineering, we developed 3 axes: Using SysML as the language used for the central model of all developments. Extracting the needed information on the dysfunctional behaviour, from functional SysML description studied with classic FMEA-like techniques. Setting translations between SysML descriptions and formal models for reliability studies. Finally, the use of MéDISIS is exemplified on the CAPTHOM project, aiming at developing a new human presence sensor. This study leads us to create a simulation and optimisation software for sensor networks design.

Réseau de capteur de présence humaine

Analyse de sûreté de fonctionnement

Human sensors networks

Reliability analysis

Formal models for safety analysis of a Data Center system / Modèles formels pour l’analyse de la sûreté de fonctionnement d’un Data center

Bennaceur, Mokhtar Walid

21 November 2019

Un Data Center (DC) est un bâtiment dont le but est d'héberger des équipements informatiques pour fournir différents services Internet. Pour assurer un fonctionnement constant de ces équipements, le système électrique fournit de l'énergie, et pour les maintenir à une température constante, un système de refroidissement est nécessaire. Chacun de ces besoins doit être assuré en permanence, car la conséquence de la panne de l'un d'eux entraîne une indisponibilité de l'ensemble du système du DC, ce qui peut être fatal pour une entreprise.A notre connaissance, il n'existe pas de travaux d'étude sur l'analyse de sûreté de fonctionnement et de performance, prenant en compte l'ensemble du système du DC avec les différentes interactions entre ses sous-systèmes. Les études d'analyse existantes sont partielles et se concentrent sur un seul sous-système, parfois deux. L'objectif principal de cette thèse est de contribuer à l'analyse de sûreté de fonctionnement d'un Data Center. Pour cela, nous étudions, dans un premier temps, chaque sous-système (électrique, thermique et réseau) séparément, afin d'en définir ses caractéristiques. Chaque sous-système du DC est un système de production qui transforment les alimentations d'entrée (énergie pour le système électrique, flux d'air pour le système thermique, et paquets pour le réseau) en sorties, qui peuvent être des services Internet. Actuellement, les méthodes d'analyse de sûreté de fonctionnement existantes pour ce type de systèmes sont inadéquates, car l'analyse de sûreté doit tenir compte non seulement de l'état interne de chaque composant du système, mais également des différents flux de production qui circulent entre ces composants. Dans cette thèse, nous considérons une nouvelle technique de modélisation appelée Arbres de Production (AP) qui permet de modéliser la relation entre les composants d'un système avec une attention particulière aux flux circulants entre ces composants.La technique de modélisation en AP permet de traiter un seul type de flux à la fois. Son application sur le sous-système électrique est donc appropriée, car il n'y a qu'un seul type de flux (le courant électrique). Toutefois, lorsqu'il existe des dépendances entre les sous-systèmes, comme c'est le cas pour les sous-systèmes thermiques et les sous-systèmes de réseaux, différents types de flux doivent être pris en compte, ce qui rend l'application de la technique des APs inadéquate. Par conséquent, nous étendons cette technique pour traiter les dépendances entre les différents types de flux qui circulent dans le DC. En conséquence, il est facile d'évaluer les différents indicateurs de sûreté de fonctionnement du système global du DC, en tenant compte des interactions entre ses sous-systèmes. De plus, nous faisons quelques statistiques de performance. Nous validons les résultats de notre approche en les comparant à ceux obtenus par un outil de simulation que nous avons implémenté et qui est basé sur la théorie des files d'attente.Jusqu'à présent, les modèles d'arbres de production n'ont pas d'outils de résolution. C'est pourquoi nous proposons une méthode de résolution basée sur la Distribution de Probabilité de Capacité (Probability Distribution of Capacity - PDC) des flux circulants dans le système du DC. Nous implémentons également le modèle d'AP en utilisant le langage de modélisation AltaRica 3.0, et nous utilisons son simulateur stochastique dédié pour estimer les indices de fiabilité du système. Ceci est très important pour comparer et valider les résultats obtenus avec notre méthode d'évaluation. En parallèle, nous développons un outil qui implémente l'algorithme de résolution des APs avec une interface graphique basée qui permet de créer, éditer et analyser des modèles d'APs. L'outil permet également d'afficher les résultats et génère un code AltaRica, qui peut être analysé ultérieurement à l'aide du simulateur stochastique de l'outil AltaRica 3.0. / A Data Center (DC) is a building whose purpose is to host IT devices to provide different internet services. To ensure constant operation of these devices, energy is provided by the electrical system, and to keep them at a constant temperature, a cooling system is necessary. Each of these needs must be ensured continuously, because the consequence of breakdown of one of them leads to an unavailability of the whole DC system, and this can be fatal for a company.In our Knowledge, there exists no safety and performance studies’, taking into account the whole DC system with the different interactions between its sub-systems. The existing analysis studies are partial and focus only on one sub-system, sometimes two. The main objective of this thesis is to contribute to the safety analysis of a DC system. To achieve this purpose, we study, first, each DC sub-system (electrical, thermal and network) separately, in order to define their characteristics. Each DC sub-system is a production system and consists of combinations of components that transform entrance supplies (energy for the electrical system, air flow for the thermal one, and packets for the network one) into exits, which can be internet services. Currently the existing safety analysis methods for these kinds of systems are inadequate, because the safety analysis must take into account not only the internal state of each component, but also the different production flows circulating between components. In this thesis, we consider a new modeling methodology called Production Trees (PT) which allows modeling the relationship between the components of a system with a particular attention to the flows circulating between these components.The PT modeling technique allows dealing with one kind of flow at once. Thus its application on the electrical sub-system is suitable, because there is only one kind of flows (the electric current). However, when there are dependencies between sub-systems, as in thermal and network sub-systems, different kinds of flows need to be taken into account, making the application of the PT modeling technique inadequate. Therefore, we extend this technique to deal with dependencies between the different kinds of flows in the DC. Accordingly it is easy to assess the different safety indicators of the global DC system, taking into account the interactions between its sub-systems. Moreover we make some performance statistics. We validate the results of our approach by comparing them to those obtained by a simulation tool that we have implemented based on Queuing Network theory.So far, Production Trees models are not tool supported. Therefore we propose a solution method based on the Probability Distribution of Capacity (PDC) of flows circulating in the DC system. We implement also the PT model using the AltaRica 3.0 modeling language, and use its dedicated stochastic simulator to estimate the reliability indices of the system. This is very important to compare and validate the obtained results with our assessment method. In parallel, we develop a tool which implements the PT solution algorithm with an interactive graphical interface, which allows creating, editing and analyzing PT models. The tool allows also displaying the results, and generates an AltaRica code, which can be subsequently analyzed using the stochastic simulator of AltaRica 3.0 tool.

Analyse de la sûreté de fonctionnement

Datacenter

Modèles formels

Reliability analysis

Datacenter

Formal models

004.24

Architecture sécurisée pour les systèmes d'information des avions du futur. / Secure architecture for information systems of future aircraft

Lastera, Maxime

04 December 2012

Traditionnellement, dans le domaine avionique les logiciels utilisés à bord de l’avion sont totalement séparés des logiciels utilisés au dehors afin d’éviter toutes interaction qui pourrait corrompre les systèmes critiques à bord de l’avion. Cependant, les nouvelles générations d’avions exigent plus d’interactions avec le monde ouvert avec pour objectif de proposer des services étendu, générant ainsi un flux d’information potentiellement dangereux. Dans une précédente étude, nous avons proposé l’utilisation de la virtualisation pour assurer la sûreté de fonctionnement d’applications critiques assurant des communications bidirectionnelles entre systèmes critiques et systèmes non sûr. Dans cette thèse nous proposons deux contributions.La première contribution propose une méthode de comparaison d’hyperviseur. Nous avons développé un banc de test permettant de mesurer les performances d’un système virtualisé. Dans cette étude, différentes configurations ont été expérimentées, d’un système sans OS à une architecture complète avec un hyperviseur et un OS s’exécutant dans une machine virtuelle. Plusieurs tests (processeur, mémoire et réseaux) ont été mesurés et collectés sur différents hyperviseurs.La seconde contribution met l’accent sur l’amélioration d’une architecture de sécurité existante. Un mécanisme de comparaison basé sur l’analyse des traces d’exécution est utilisé pour détecter les anomalies entre instances d’application exécutées sur diverse machines virtuelles. Nous proposons de renforcer le mécanisme de comparaison à l’exécution par l’utilisation d’un modèle d’exécution issu d’une analyse statique du bytecode Java.Afin de valider notre approche, nous avons développé un prototype basé sur un cas d’étude identifié avec Airbus qui porte sur l’utilisation d’un ordinateur portable dédié à la maintenance / Traditionally, in avionics, on-board aircraft software used to be totally separated from open-world software in order to avoid any interaction that could corrupt critical on-board systems. However, new aircraft generations require more interaction with off-board systems to provide extended services, which makes these information flows potentially dangerous.In a previous work, we have proposed the use of virtualization to ensure dependability of critical applications despite bidirectional communication between critical on-board systems and untrusted off-board systems. In this thesis, we propose two contributions.The first contribution concerns the establishment of a benchmark of hypervisors. We have developed a test bed to assess the performance impact induced by the use of virtualization. In this work, various configurations have been experimented ranging from a basic machine without an OS up to the complete architecture featuring a hypervisor and an OS running in a virtual machine. Several tests (computation, memory, and network) are carried out, and timing measures are collected on different hypervisors.The second contribution focuses on the improvement of an existing security architecture. A comparison mechanism based on the analysis of execution traces is used to detect discrepancies between replicas supported by diverse virtual machines. We proposeto strengthen the comparison mechanism at runtime by the use of an execution model, derived from a static analysis of the java bytecode

Sûreté de fonctionnement

Virtualisation

Avionique

Logiciel critique

Dependability

Fault tolerance

Avionics

Critical systems

Virtualization

004

Test aléatoire de la navigation de robots dans des mondes virtuels / Random testing of robots navigation in virtual worlds

Sotiropoulos, Thierry

04 May 2018

Un des défis majeurs pour le déploiement de systèmes autonomes dans des environnements variés, non structurés et à proximité de l'homme, est d'établir la confiance entre ces systèmes et leurs utilisateurs. En effet, les fautes internes du système, les incertitudes sur la perception, ou encore les situations non prévues, sont des menaces importantes qui pèsent sur cette confiance. Nos travaux se concentrent sur les robots autonomes qui font partis des systèmes autonomes. La validation du logiciel de navigation embarqué dans les robots est généralement centrée sur des tests sur le terrain, qui sont coûteux et potentiellement risqués pour le robot lui-même ou son environnement. De plus, il n'est possible de tester le système que dans un sous-ensemble restreint de situations. Une approche alternative consiste à effectuer des tests basés sur la simulation en immergeant le logiciel dans des mondes virtuels. L'objectif de cette thèse est d'étudier les possibilités et les limites qu'offre le test en simulation du logiciel embarqué dans les systèmes autonomes. Nos travaux traitent particulièrement du test en simulation de la couche de navigation de systèmes autonomes mobiles. Le premier chapitre présente les contextes de la sûreté de fonctionnement, des systèmes autonomes et de leur test, de la simulation et de la génération procédurale de mondes. Les problématiques liées au test des systèmes autonomes en simulation, telles que la définition et la génération des entrées ainsi que l'expression de l'oracle, sont identifiées et discutées. La génération procédurale de mondes utilisée dans les jeux vidéos est retenue comme piste pour répondre au problème de la générations des entrées de test (mondes et missions). Une première contribution est proposée dans le 2ème chapitre qui s'appuie sur la définition et l'implémentation d'une première plateforme expérimentale de test en simulation avec un robot mobile. Le logiciel de navigation utilisé est intégré dans le framework Genom et testé avec le simulateur MORSE. À travers cette expérimentation, des premières conclusions sont établies sur la pertinence de la génération procédurale de mondes, et sur l'oracle à considérer. Des mesures comme la tortuosité ou l'indéterminisme de la navigation sont définies. Ce premier travail mène également à proposer une approche permettant de définir des niveaux de difficulté de mondes. L'objectif du 3ème chapitre est d'identifier si les fautes connues et corrigées dans un logiciel de navigation auraient pu être détectées via la simulation. Près de 10 ans de commits du logiciel de navigation (dont le module P3D qui est une version académique d'un planificateur de trajectoire utilisé par la NASA) ont été ainsi analysés. Chaque faute relevée est étudiée pour déterminer si elle serait activable en simulation, et l'oracle nécessaire pour la détecter. De nombreuses recommandations sont extraites de cette étude, notamment sur les propriétés de l'oracle à mettre en place pour ce genre de système. Dans le quatrième chapitre, les enseignements tirés des deux chapitres précédents sont mis en œuvre dans une étude de cas d'un robot industriel. Le système considéré, fourni par notre partenaire industriel Naïo est celui du robot agricole bineur Oz. Les conclusions des chapitres précédents concernant la génération de monde et les oracles nécessaires sont validées par une campagne de test intensifs en simulation. / One of the major challenges for the deployment of autonomous systems in diverse, unstructured and human shared environments, is the trust that can be placed in those systems. Indeed, internal faults in those systems, uncertainties on the perception, or even unforeseen situations, threat this confidence. Our work focus in autonomous robots, which are part of autonomous systems. The validation of the navigation software embedded in robots typically involves test campaigns in the field, which are expensive and potentially risky for the robot itself or its environment. These tests are able to test the system only in a small subset of situations. An alternative is to perform simulation-based testing, by immersing the software in virtual worlds. The aim of this thesis is to study the possibilities and limits offered by simulation-based testing of embedded software in autonomous systems. Our work deals particularly with simulation-based testing of the navigation layer of autonomous mobile robots. The first chapter introduce the contexts of dependability, autonomous systems and their testing, simulation and procedural generation of worlds. We identify and discuss the issues related to autonomous systems simulation-based testing, such as the definition and generation of inputs as well as the oracle. The procedural generation of worlds used in video games is retained as a way to answer the problem of the generation of test inputs (worlds and missions). A first contribution is presented in the second chapter, which is based on the definition and implementation of a first experimental simulation-based testing framework with a mobile robot. The navigation software used is integrated into the Genom framework and tested with the MORSE simulator. Through this experiment, first conclusions are drawn on the relevance of the procedural generation of worlds, and on the oracle to be considered. Measures such as tortuousness or indeterminism of navigation are defined. This first work also leads to propose an approach to define levels of difficulty of worlds. The purpose of the third chapter is to identify whether faults known and corrected in a academic navigation software could have been detected through simulation-based testing. Nearly 10 years of commits of the navigation software (including the P3D module which is an academic version of a trajectory planner used by NASA) were thus analyzed. Each fault detected is studied to determine the oracle necessary to detect it whether it could be activated in simulation. Many recommendations are extracted from this study, especially on the properties of the oracle to set up for this type of system. In the fourth chapter, lessons learned from the previous two chapters are implemented for the case of an industrial robot. The considered system, provided by our industrial partner Naïo is the agricultural robot Oz. The conclusions of the preceding chapters regarding the world generation and the oracles are validated by an intensive test campaign in simulation.

Systèmes autonomes

Simulation

Test

Sûreté de fonctionnement

Autonomous systems

Simulation

Test

Safety

Définition, conception et expérimentation de structures d’actionneurs électromécaniques innovants incluant par conception des fonctionnalités de sûreté et de sécurité de fonctionnement / Definition, design and testing of novative electromechanical actuator structures including since design safety functionalities

Mami, Delphine

22 January 2010

Avec l’avènement des nouvelles générations d’avions civils et militaires, la démarche d’électrification des fonctions de commande de vol est aujourd’hui pleinement engagée, depuis les interfaces homme-machine jusqu’aux actionneurs de puissance. En vue de s’affranchir définitivement des inconvénients propres à l’utilisation de l’énergie hydraulique, l’utilisation d’actionneurs purement électromécaniques (EMA) constitue en toute logique une étape clef des évolutions technologiques à venir. Ce projet de recherche a pour objectif de développer l'une des briques technologiques majeures du système d’actionnement - le moteur électrique - pour pouvoir effectuer demain le saut technologique vers l'avion plus électrique, qui est l'électrification complète des systèmes d'actionnement des commandes de vol. Une première partie permet de se familiariser avec le domaine des actionneurs électromécaniques destinés aux applications aéronautiques et plus particulièrement aux commandes de vols. Après avoir rappelé le rôle et les évolutions qu’ont connues les commandes de vol durant la dernière décennie, les technologies hydrauliques et électriques usuelles sont présentées. L’environnement sévère associé au domaine aéronautique implique des contraintes de sûreté de fonctionnement qui sont alors définies plus précisément au niveau des systèmes électromécaniques. Une analyse des défauts électriques susceptibles de se produire au sein des actionneurs électromagnétiques est dans un dernier temps effectuée. Une seconde partie se focalise sur la définition de critères de dimensionnement des actionneurs électromagnétiques qui lui permettent de supporter les défauts électriques précédemment mis en avant. Profitant de l’émergence de matériaux magnétiques composites qui facilitent la définition de pièces magnétiques compressées à structure géométrique complexe, un concept d’actionneur à aimants permanents et stator modulaire est défini et baptisé Aximag. Une troisième partie se concentre sur la réalisation d’un démonstrateur qui réponde à un cahier des charges du type commande de vol. Une étude analytique est réalisée dans le but d’observer les axes de dimensionnement et les possibilités de la machine Aximag. Enfin dans une quatrième et dernière partie sont présentés et analysés les simulations numériques ainsi que les essais de caractérisation des démonstrateurs. Au travers du couple statique, du couple dynamique et aussi de paramètres électriques comme les inductances propres et mutuelles, les démonstrateurs sont étudiés. Une analyse critique de la technologie proposée ainsi que les perspectives d’évolution viennent alors conclure l’ensemble des travaux réalisés. / With the rise up of new civil and military aircraft generations, an electrification process concerning the flight control systems, from the human machine interface to the actuation power, has been engaged. In order to finally suppress faults linked to the hydraulic power use, the development of full electromechanical actuators (EMA) is a critical step concerning next technological evolutions. The purpose of this research project is the development of a major technological element of actuation systems, the electrical motor, in order to enable tomorrow, the technological gap leading to a more electrical aircraft, that is to say the complete electrification of flight control actuation systems. A first part presents generals concerning the electromechanical actuators dedicated to aircraft applications and especially to flying control systems. Once the aim and evolutions that flight control systems have known during the last decade has been reminded, the hydraulic and electric technologies are presented. The drastic environment combined to aircraft field leads to safety and security requirements that are more precisely defined around electromechanical systems. A last step analises electrical faults that can occur within electromagnetic actuators. A second part focuses on the definition of sizing criteria that will enable the actuator to support the previous electrical faults pointed out. With the mergence of magnetic composite materials that make easier the definition of sintered magnetic pieces with complex geometry, a permanent magnet actuator with modular stator has been defined and named Aximag. A third part deals with the realisation of demonstrators that answer specifications associated to a flight control actuation systems. The different parts of the fabrication process are presented. An analytical study is leaded in order to point out the axes for the design and the possibilities of the machine Aximag. Finally, in a fourth and last part numerical analysis and characterisation tests of demonstrators are presented and analysed. Through the static torque, the dynamic torque and electrical parameters like self inductance and mutual inductance, demonstrators are studied. A critical analysis of the proposed technology and the perspectives come to conclude this work.

Moteur électrique

Actionneur électromécanique

Poudres magnétiques composites

Sûreté de fonctionnement

Electrical motor

Electromechanical actuator

Soft magneticcomposite powders

Safety

Estimation de la disponibilité par simulation, pour des systèmes incluant des contraintes logistiques / Availability estimation by simulations for systems including logistics

Rai, Ajit

09 July 2018

L'analyse des FDM (Reliability, Availability and Maintainability en anglais) fait partie intégrante de l'estimation du coût du cycle de vie des systèmes ferroviaires. Ces systèmes sont hautement fiables et présentent une logistique complexe. Les simulations Monte Carlo dans leur forme standard sont inutiles dans l'estimation efficace des paramètres des FDM à cause de la problématique des événements rares. C'est ici que l'échantillonnage préférentiel joue son rôle. C'est une technique de réduction de la variance et d'accélération de simulations. Cependant, l'échantillonnage préférentiel inclut un changement de lois de probabilité (changement de mesure) du modèle mathématique. Le changement de mesure optimal est inconnu même si théoriquement il existe et fournit un estimateur avec une variance zéro. Dans cette thèse, l'objectif principal est d'estimer deux paramètres pour l'analyse des FDM: la fiabilité des réseaux statiques et l'indisponibilité asymptotique pour les systèmes dynamiques. Pour ce faire, la thèse propose des méthodes pour l'estimation et l'approximation du changement de mesure optimal et l'estimateur final. Les contributions se présentent en deux parties: la première partie étend la méthode de l'approximation du changement de mesure de l'estimateur à variance zéro pour l'échantillonnage préférentiel. La méthode estime la fiabilité des réseaux statiques et montre l'application à de réels systèmes ferroviaires. La seconde partie propose un algorithme en plusieurs étapes pour l'estimation de la distance de l'entropie croisée. Cela permet d'estimer l'indisponibilité asymptotique pour les systèmes markoviens hautement fiables avec des contraintes logistiques. Les résultats montrent une importante réduction de la variance et un gain par rapport aux simulations Monte Carlo. / RAM (Reliability, Availability and Maintainability) analysis forms an integral part in estimation of Life Cycle Costs (LCC) of passenger rail systems. These systems are highly reliable and include complex logistics. Standard Monte-Carlo simulations are rendered useless in efficient estimation of RAM metrics due to the issue of rare events. Systems failures of these complex passenger rail systems can include rare events and thus need efficient simulation techniques. Importance Sampling (IS) are an advanced class of variance reduction techniques that can overcome the limitations of standard simulations. IS techniques can provide acceleration of simulations, meaning, less variance in estimation of RAM metrics in same computational budget as a standard simulation. However, IS includes changing the probability laws (change of measure) that drive the mathematical models of the systems during simulations and the optimal IS change of measure is usually unknown, even though theroretically there exist a perfect one (zero-variance IS change of measure). In this thesis, we focus on the use of IS techniques and its application to estimate two RAM metrics : reliability (for static networks) and steady state availability (for dynamic systems). The thesis focuses on finding and/or approximating the optimal IS change of measure to efficiently estimate RAM metrics in rare events context. The contribution of the thesis is broadly divided into two main axis : first, we propose an adaptation of the approximate zero-variance IS method to estimate reliability of static networks and show the application on real passenger rail systems ; second, we propose a multi-level Cross-Entropy optimization scheme that can be used during pre-simulation to obtain CE optimized IS rates of Markovian Stochastic Petri Nets (SPNs) transitions and use them in main simulations to estimate steady state unavailability of highly reliably Markovian systems with complex logistics involved. Results from the methods show huge variance reduction and gain compared to MC simulations.

Simulation d'événements rares

Optimisation de l'Entropie croisée

Reliability metrics

Rare events simulations

Cross-Entropy optimization

Gestion autonomique d'applications dynamiques sûres et résilientes / Autonomic Management of Reliable and Resilient Dynamic Applications

Calmant, Thomas

19 October 2015

Les architectures orientées services (SOA) sont considérées comme le moyen le plus avancé pour réaliser et intégrer rapidement des applications modulaires et flexibles.Dans ce domaine, les plates-formes SOA à disposition des développeurs et des architectes de produits logiciels sont multiples; les deux plus évoluées d'entre elles étant SCA et OSGi.Une application s'appuyant sur l'une de ces plates-formes peut ainsi être assemblée avec le minimum de composants nécessaires à la réalisation de ses tâches, afin de réduire sa consommation de ressources et d'augmenter sa maintenabilité.De plus, ces plates-formes autorisent l'ajout de composants greffons qui n'étaient pas connus lors des phases initiales de la réalisation du produit.Elles permettent ainsi de mettre à jour, d'étendre et d'adapter continuellement les fonctionnalités du produit de base ou des services techniques nécessaires à sa mise en production, sans interruption de service.Ces capacités sont notamment utilisées dans le cadre du paradigme DevOps et, plus généralement, pour mettre en œuvre le déploiement continu d'artefacts.Cependant, l'extensibilité offerte par ces plates-formes peut diminuer la fiabilité globale du système: une tendance forte pour développer un produit est l'assemblage de composants provenant de tierces-parties. De tels composants peuvent être d'une qualité inconnue voire douteuse.En cas d'erreur, de détérioration des performances, etc., il est difficile de diagnostiquer les composants ou combinaisons de composants incriminés.Il devient indispensable pour le producteur d'un logiciel de déterminer la responsabilité des différents composants impliqués dans un dysfonctionnement.Cette thèse a pour objectif de fournir une plate-forme, Cohorte, permettant de concevoir et d'exécuter des produits logiciels extensibles et résilients aux dysfonctionnements d'extensions non qualifiées.Les composants de tels produits pourront être développés dans différents langages de programmation et être déployés (ajout, mise à jour et retrait) en continu et sans interruption de service.Notre proposition adopte pour principe d'isoler les composants considérés comme instables ou peu sûrs.Le choix des composants à isoler peut être décidé par l'équipe de développement et l'équipe opérationnelle, à partir de leur expertise, ou bien déterminé à partir d'une combinaison d'indicateurs.Ces derniers évoluent au cours du temps pour refléter la fiabilité des composants.Par exemple, des composants peuvent être considérés fiables après une période de quarantaine; une mise à jour peut entraîner la dégradation de leur stabilité, etc..Par conséquent, il est indispensable de remettre en cause les choix initiaux dans l'isolation des composants afin, dans le premier cas, de limiter le coup des communications entre composants et, dans le deuxième cas, de maintenir le niveau de fiabilité du noyau critique du produit. / Service-Oriented architectures (SOA) are considered the most advanced way to develop and integrate modular and flexible applications.There are many SOA platforms available for software developers and architects; the most evolved of them being SCA and OSGi.An application based on one of these platforms can be assembled with only the components required for the execution of its tasks, which helps decreasing its resource consumption and increasing its maintainability.Furthermore, those platforms allow adding plug-ins at runtime, even if they were not known during the early stages of the development of the application.Thus, they allow updating, extending and adapting the features of the base product or of the technical services required for its execution, continuously and without outage.Those capabilities are applied in the DevOps paradigm and, more generally, to implement the continuous deployment of artifacts.However, the extensibility provided by those platforms can decrease the overall reliability of the system: a strong tendency in software development is the assembly of third-parties components.Such components may be of unknown or even questionable quality.In case of error, deterioration of performance, ... it is difficult to identify the implicated components or combinations of components.It becomes essential for the software producer to determine the responsibility of the various components involved in a malfunction.This thesis aims to provide a platform, Cohorte, to design and implement scalable software products, resilient to malfunctions of unqualified extensions.The components of such products may be developed in various programming languages and be deployed continuously (adding, updating and withdrawal) and without interruption of service.Our proposal adopts the principle of isolating the components considered unstable or insecure.The choice of the components to be isolated may be decided by the development team and the operational team, from their expertise, or determined from a combination of indicators.The latters evolve over time to reflect the reliability of components.For example, components can be considered reliable after a quarantine period; an update may result in deterioration of stability, ...Therefore, it is essential to question the initial choices in isolating components to limit, in the first case, the scope of communications between components and, in the second case, to maintain the reliability of the critical core of the product.

Évolution du logiciel

Sûreté de fonctionnement

Qualité des logiciels

Adaptation dynamique

Gestion autonomique

Software evolution

Reliability

Software quality

Dynamic adaptation

Autonomic computing

621

Un cadre général de causalité basé sur les traces pour des systèmes à composants / A general trace-based causality analysis framework for component systems

Geoffroy, Yoann

07 December 2016

Dans des système concurrent, potentiellement embarqués et distribué, il est souvent crucial d'être capable de déterminer quel(s) composant(s) est(sont) responsable(s) d'une défaillance, que ce soit pour debbuger, établir une responsabilité contractuelle du fournisseur des composant, ou pour isolée, ou redémarrer les composants défaillants. Le diagnostic s'appuie sur l'analyse de la causalité logique pour distinguer les composants ayant contribué à la défaillance du système, de ceux ayant eu peu ou pas d'impact sur cette dernière. Plus précisément, un composant C est une cause nécessaire, si la propriété P du système n'aurait pas été violée si C s'était comporté selon sa spécification S. De même, C est une cause suffisante de la violation de P (défaillance du système) si P aurait été violée, même si tous les composants, sauf C, avait respecté leur spécification. Autrement dit, la violation de S, du composant C, est suffisante pour violer P. L'approche a été formalisée, initialement, pour des modèle d'interaction BIP. Le but de ce projet est de formaliser un raisonnement similaire pour des programmes fonctionnels, où les fonctions sont équipées d'invariant décrivant leur comportement attendu. L'analyse prendrait en entrée une trace d'exécution (défaillante) et les invariant, et déterminerait quelle(s) fonction(s) est(sont) une(des) cause(s) de la défaillance. L'approche devra être implémenté et appliquée à des cas d'études provenant du domaine médical, ou de l'automatique. / In a concurrent, possibly embedded and distributed system, it is often crucial to be able to determine which component(s) caused an observed failure - be it for debugging, to establish the contractual liability of component providers, or to isolate or reset the failing component. The diagnostic relies on analysis of logical causality to distinguish component failures that actually contributed to the outcome from failures that had little or no impact on the system-level failure . More precisely, necessary causality of a component C characterizes cases when a system-level property P would not have been violated if the specification S of C had been fulfilled. Sufficient causality characterizes cases where P would have been violated even if all the components but C had fulfilled their specifications. In other words, the violation of S by C was sufficient to violate P. The initial approach to causality analysis on execution traces was formalized for the BIP interaction model. The goal of this project is to formalize a similar reasoning for functional programs where functions are equipped with invariants describing the expected behavior. The analysis should take a (faulty) execution trace and the invariants and determine which function(s) caused the failure. The results should be implemented and applied to case studies from the medical and automotive domains.

Causalité

Méthodes formelles

Sûreté de fonctionnement

Diagnostic

Localisation de fautes

Théorie des jeux

Causality

Formal methodes

Dependability

Diagnosis

Fault localisation

Game theory

004

Analyses de sûreté de fonctionnement multi-systèmes

Bernard, Romain

23 November 2009

Cette thèse se situe au croisement de deux domaines : la sûreté de fonctionnement des systèmes critiques et les méthodes formelles. Nous cherchons à établir la cohérence des analyses de sûreté de fonctionnement réalisées à l’aide de modèles représentant un même système à des niveaux de détail différents. Pour cela, nous proposons une notion de raffinement dans le cadre de la conception de modèles AltaRica : un modèle détaillé raffine un modèle abstrait si le modèle abstrait simule le modèle détaillé. La vérification du raffinement de modèles AltaRica est supportée par l’outil de model-checking MecV. Ceci permet de réaliser des analyses multi-systèmes à l’aide de modèles à des niveaux de détail hétérogènes : le système au centre de l’étude est détaillé tandis que les systèmes en interface sont abstraits. Cette approche a été appliquée à l’étude d’un système de contrôle de gouverne de direction d’un avion connecté à un système de génération et distribution électrique. / This thesis links two fields : system safety analyses and formal methods.We aim at checking the consistensy of safety analyses based on formal models that represent a system at different levels of detail. To reach this objective, we introduce a refinement notion in the AltaRica modelling process : a detailed model refines an abstract model if the abstract model simulates the detailed model. The AltaRica model refinement verification is supported by the MecV model-checker. This allows to perform multi-system safety analyses using models with heterogeneous levels of detail : the main system is detailed whereas the interfaced systems remain abstract. This approach has been applied to the analysis of a rudder control system linked to an electrical power generation and distribution system.

AltaRica

Méthodes formelles

Raffinement

Conception/validation d'architecture

Sûreté de fonctionnement des systèmes

AltaRica

Formal methods

Re?nement

System design/validation

Safety engineering

Gestion de groupe partitionnable dans les réseaux mobiles spontanés / Partitionable group membership in mobile ad hoc networks

Lim, Léon

29 November 2012

Dans les réseaux mobiles spontanés (en anglais, Mobile Ad hoc NETworks ou MANETs), la gestion de groupe partitionnable est un service de base permettant la construction d'applications réparties tolérantes au partitionnement. Aucune des spécifications existantes ne satisfait les deux exigences antagonistes suivantes : 1) elle doit être assez forte pour fournir des garanties utiles aux applications réparties dans les systèmes partitionnables ; 2) elle doit être assez faible pour être résoluble. Dans cette thèse, nous proposons une solution à la gestion de groupe partitionnable en environnements réseaux très dynamiques tels que les MANETs. Pour mettre en œuvre notre solution, nous procédons en trois étapes. Tout d'abord, nous proposons un modèle de système réparti dynamique qui caractérise la stabilité dans les MANETs. Ensuite, nous adaptons pour les systèmes partitionnables l'approche Paxos à base de consensus Synod. Cette adaptation résulte en la spécification d'un consensus abandonnable AC construit au-dessus d'un détecteur ultime des α participants d'une partition ♢PPD et d'un registre ultime par partition ♢RPP. ♢PPD garantit la vivacité dans une partition même si la partition n'est pas complètement stable tandis que ♢RPP préserve la sûreté dans la même partition. Enfin, la gestion de groupe partitionnable est résolue en la transformant en une séquence d'instances de AC. Chacun des modules ♢PPD, ♢RPP, AC et gestion de groupe partitionnable est implanté et prouvé. Par ailleurs, nous analysons les performances de ♢PPD par simulation / In Mobile Ad hoc NETworks or MANETs, partitionable group membership is a basic service for building partition-tolerant applications. None of the existing specifications satisfy the two following antagonistic requirements: 1) it must be strong enough to simplify the design of partition-tolerant distributed applications in partitionable systems; 2) it must be weak enough to be implantable. In this thesis, we propose a solution to partitionable group membership in very dynamic network environment such as MANETs. To this means, we proceed in three steps. First, we develop a dynamic distributed system model that characterises stability in MANETs. Then, we propose a solution to the problem of partitionable group membership by adapting Paxos for such systems. This adatation results in a specification of abortable consensus AC which is composed of an eventual α partition-participants detector ♢PPD and an eventual register per partition ♢RPP. ♢PPD guarantees liveness in a partition even if the partition is not completely stable whereas ♢RPP ensures safety in the same partition. Finally, partitionable group membership is solved by transforming it into a sequence of abortable consensus instances AC. Each of the modules ♢PPD, ♢RPP, AC, and partitionable group membership is implanted and proved. Next, we analyse the performances of ♢PPD by simulation

Système réparti

Algorithmique réparti

Sûreté de fonctionnement

Système partionnable

MANETs

Distributed system

Distributed algorithm

Dependability

Dynamic partitionable system

MANETs