Application ferroviaire et COTS
Boulanger Jean-Louis
[email protected]
�Systme ferroviaire (1)
Systme de transport plus ou moins complexe:
Transport ferroviaire :
Transport de personne ;
Transport de fret ;
Transport urbain:
Mtro (automatique ou non) ;
RER ;
Mtro lger;
Diffrent types de mtier et dapplication:
Conduite des trains ;
Gestion du trafic ;
Gestion de lexploitation ;
Maintenance;
�Systme ferroviaire (2)
�Systme ferroviaire (3)
Caractristiques :
Une longue dure de vie : 40 ans
Chaque projet est spcifique
Chaque projet est souvent autonome (nouvelle ligne, nouveau
besoin, ., remise a jour dun quipement, ..)
Chaque partie du systme est confi un industriel
La SNCF a mis en place une politique de double fournisseurs
Changement:
Niveau ferroviaire : sparation entre exploitant (SNCF) et grant
(RFF);
Rhabilitation dune ligne en exploitation (exemple ligne 1 du
mtro parisien);
�Diffrents niveaux de scurit
Le niveau de scurit dun systme ferroviaire est
introduit au travers du SIL (Safety Integrated level).
Cinq niveau
SIL0
SIL1 SIL2
SIL3 SIL4
Aucun risque
Risque de blessure
Risque de mort (1 ou plusieurs)
�Rfrentiel normatif
Rfrentiel CENELEC
EN 50126:
EN 50129:
Norme Europenne, NF EN 50126 Applications ferroviaires Spcification et dmonstration de la fiabilit, de la disponibilit, de la
maintenabilit et de la scurit , Janvier 2000.
Norme Europenne, ENV 50129 Applications ferroviaires Systmes de signalisation de tlcommunication et de traitement.
Systmes lectroniques de scurit pour la signalisation , Mai 2003.
EN 50128:
Norme Europenne, NF EN 50128 Applications ferroviaires Systme de Signalisation, de tlcommunication et traitements Logiciels pour systmes de commande et de protection ferroviaire ,
version franaise, Juillet 2001.
�Prise en compte des COTS (1)
EN 50126:
Lutilisation dun produit standard
disponible dans le commerce peut
varier dune application lautre.
A titre dexemple le produit A est
utilis pour remplir des fonctions
diffrentes dans les applications 1
et 2.
Donc lintgrit requise du
composant peut voluer en fonction
de son utilisation.
Avant dutiliser un composant dans
un systme, il faut valuer les
limites et les contraintes relative
la fonction et lenvironnement afin
dvaluer leurs compatibilits avec
les exigences du systme
Systme 1
Systme 2
�Prise en compte des COTS (2)
EN 50129:
Dans le cadre de cette norme ont dfinit le processus de matrise des risques mettre
en uvre pour dmontrer que le systme, les sous-systmes et les quipements sont
exempts de dfaillance.
Ce processus est bas sur la notion de risque et dexigence.
Un lment de la chane peut avoir t prouv
dj en utilisation,
dispose dun certificat,
et tre rutilis en conformit avec les exigences du contexte.
�Prise en compte des COTS (3)
CENELEC EN 50128 Aspect Logiciel du commerce
SIL0 :
pas de contrainte
SIL1-SIL2:
Les logiciels utiliss doivent tre inclus dans le processus de validation.
SIL3-SIL4:
Les logiciels utiliss doivent tre inclus dans le processus de validation.
Une analyse des dfaillances potentielles doit tre ralise.
Il faut mettre en place une stratgie pour dtecter leurs dfaillances et
pour ce protger de ces dfaillances;
La stratgie de protection doit faire lobjet dune validation
Des journaux des erreurs doivent exister et doivent tre analyss.
Dans la mesure du possible on se limitera a utiliser les fonctions les plus
simples.
�Prise en compte des COTS (4)
La norme EN 50128 recommande lutilisation autant
que possible de logiciel dj vrifi/valid
�Ce qui ce passe effectivement
Dans le cadre des applications critiques:
Peu dutilisation des COTS
Application spcifique
Processeur, outil de dveloppement et compilateur
Dans le cadre des applications non-critiques:
Forte utilisation
mais pas ou peu de processus
�Exemple dapplication base sur des COTS : PCC
�PCC : nouvelle problmatique
Actuellement un PCC (Poste de Commande Centralis)
est considr comme un quipement de niveau SIL0.
Il a pour tche de visualiser le trafic et de pouvoir le
manager mais il ne ralise pas de commande
destination du terrain.
Suite a un certain nombre dincident et aussi face une
nouvelle demande, les PCC commencent intervenir
sur la scurit du systme et de nouvelles questions se
posent :
Impact de lhomme sur le systme;
Impact des COTS sur le systme;
volution su SIL : passage SIL2.
�volution actuelle exemple 1
SACEM
METEOR
.
Ligne 13
PMI
SEI
Processeur Cod
68020 / 68040
quipement
Carte + Processeur du commerce
Voteur spcifique
Architecture n/m
quipement
�volution actuelle exemple 2
Applications critiques :
Processeur : 68040
Systme dexploitation : OS spcialiss
Langage : ADA83
Compilateur : qualifis par lutilisation (depuis les annes 80).
Tentative dvolution
Processeur : INTEL, PowerRisc, AMD
Systme dexploitation : Linux ?
Langage : C, C++, ADA95 .
Compilateur : Gnat, GCC,
�volution induite par lEurope
Mise en place dun ensemble de texte normatif et de
dcret europen visant homogniser le transport
ferroviaire en Europe :
Gestion de la scurit,
Rgle dexploitation,
change de train,
Partage du trafic,
�ERTMS
Projet European Railways Transportation
Management System
Constatation :
Chaque pays europen dispose dun systme ferroviaire
ayant ces propres caractristiques (taille des roues,
cart des rails, signalisation, consigne dexploitation,
)
But:
Ce rfrentiel a pour but de dfinir les caractristiques
techniques dun systme permettant un train de
franchir les frontires.
�ERTMS (2)
Standardisation des balises
Standardisation dun systme radio GSM-Rail
�TSI
Introduction de spcification technique dinteroprabilit qui caractrise
larchitecture dun systme informatique et normalise un certain nombre de fonction.
Aspect grande vitesse
Aspect train conventionnel (en cours)
Aspect fret (en cours).
Constatation :
Lors de la conception dune nouvelle ligne ferroviaire, le demandeur et le constructeur font
souvent preuve dinnovation et dintelligence pour produire un systme diffrent .
Dans ces conditions, il y a peu de r-utilisation donc des cots constamment important.
But:
Dfinir une architecture de base pour les systmes europens (quipement voie, systme de
contrle/commande, supervision, ..)
Normaliser les fonctions afin de proposer des composants pouvant tre associs des
certificats.
A terme :
Les industriels pourraient proposer des morceaux (COTS) qui rpondraient des exigences et
ces morceaux pourraient tre composs pour raliser un systme
�Et linterchangeabilit
Suite la demande dinteroprabilit la suite logique
tait linterchangeabilit.
Un lment est dfinit par ses interfaces et les fonctions
quil remplit.
Interchangeabilit :
Pouvoir remplacer un lment dun constructeur Y par
un lment du constructeur Z.
�Certificat
Chaque tat europen doit se doter dun organisme
notifi pouvant dlivrer des certificats de conformit
dun produit vis--vis des rfrentiels europens
(ERTMS, TSI, ..).
Un processus de cross-acceptance (en cour) permettra
de reconnatre les certificats entre organismes notifis.
Des certificats de conformit dun produit vis--vis des
normes en vigueur peut-tre remis par des laboratoire
accrdit .
�Conclusions
Une volution du domaine ferroviaire vers une
ingnierie des composants.
Les composants sont associs des certificats
dfinissant un contexte dutilisation.
