S OLUTIONS BOUT EN BOUT POUR L ’ INTÉGRITÉ DES COMMUNICATIONS

Dans cette section, nous explorons quelques solutions standardisées ou des solutions génériques (sur étagère, Component On The Shelf COTS) pour la fiabilité des communications en général et couvrant ainsi l’intégrité. En effet, les standards comme l’IEC 61508 se sont intéressés à cette problématique. Ces standards ciblent toutes les entraves à la fiabilité des communications comme la corruption, la perte, etc. Ils préconisent un ensemble de mesures et règles pour la fiabilité (y compris l’intégrité) des communications comme l’utilisation des codes détecteurs d’erreurs. Deux approches de fiabilité des communications sont préconisées par les standards : une approche basée sur le concept « canal noir » (« black channel ») qui s’inspire du contrôle d’intégrité bout en bout (voir chapitre I, section I.3.1.2) et une autre basée sur le concept « canal blanc » (« white channel »). Dans ce qui suit, nous allons tout d’abord détailler ces deux concepts, puis nous décrirons quelques solutions standardisées adoptant le concept canal noir (intégrité bout en bout) pour l’intégrité des communications : FSoE, OpenSafety et PROFIsafe.

II.3.1 Canal noir versus Canal blanc

Le concept du « canal noir » utilisé pour assurer des communications intègres et sûres hérite son nom du concept « boîte noire » utilisé dans la conception logicielle. Ces deux concepts sont tous les deux basés sur le fait de ne pas voir ce qui est dans la « boîte » (qui sont les couches sous-jacentes dans le contexte des communications). Dans le contexte des communications, le canal blanc consiste à implémenter des mesures de sûreté sur tous les composants et ce à partir de la couche la plus basse (couche physique). Cette approche est coûteuse puisqu’elle implique/nécessite la certification de tous les composants dans toutes les couches. A l’opposé, les approches basées sur le concept du canal noir ne nécessitent pas de certifier tous les composants. Le fondement de ces approches est de considérer le réseau sous- jacent et les communications comme des boîtes noires, et de préconiser d’ajouter une couche de fiabilité (« Safety layer ») au niveau applicatif. Le concept canal noir dans le contexte de l’intégrité des communications est à rapprocher du contrôle d’intégrité bout en bout.

Le concept de canal noir/blanc a été introduit dans l’édition 2 de la norme IEC 61508 (voir chapitre I, section I.2.4) parue en avril 2010. La Figure II.2 décrit le concept canal noir/canal blanc pour la norme IEC 61508 (la source de la figure est la norme IEC 61508-2).

II.3 Solutions bout en bout pour l’intégrité des communications 35

Un exemple de couche de fiabilité basée sur le concept du canal noir est celle proposée par l’IEC 62280-1 pour la signalisation ferroviaire. Les avantages du concept canal noir sont :

• une implémentation plus facile et plus rapide que les approches « canal blanc »,

• l’indépendance par rapport aux réseaux sous-jacents : le canal noir fait abstraction du matériel réseau réellement utilisé,

• un coût réduit,

• la possibilité de réutiliser les mécanismes/protocoles/réseaux déployés dans les couches basses et renforcer l’intégrité des communications sans modifier les couches basses,

• la facilité de certification puisque c’est seulement la couche d’intégrité applicative qui est concernée par la certification : dans le cas d’un système critique soumis à une certification, il est plus important pour l’industriel de montrer que la sûreté du système repose sur un mécanisme de haut niveau facilement compréhensible et crédible (par rapport aux normes de certification)

Après avoir défini le concept du canal noir, dans ce qui suit, nous allons décrire quelques solutions se basant sur ce concept.

II.3.2 PROFIsafe

Basée sur les bus de terrain PROFIBUS ou PROFINET, PROFIsafe1 est une technologie pour les communications sûres s’appuyant sur le concept canal noir préconisant une couche de sûreté située au niveau applicatif. PROFIsafe peut être utilisée pour les communications critiques de niveau SIL3 (voir chapitre I, section I.2.4). PROFIsafe a été standardisée par l’IEC 61784-3-3.

Pour l’intégrité des communications, PROFIsafe s’appuie sur : • un code CRC applicatif,

• un contrôleur de séquencement des messages.

L’article [Akerberg et al. 2010] illustre l’utilisation de la technologie PROFIsafe pour la mise en œuvre d’une couche de sûreté dans le cas de communications sans fil utilisant la technologie WirelessHART basée sur le protocole HART, qui est une norme de communication internationale de communication ouverte sans fil pour l’industrie des processus.

Dans l’article [Akerberg & M. Bjorkman 2009], les auteurs reviennent sur la technologie PROFIsafe, mais cette fois-ci ils s’intéressent aux aspects sécurité-confidentialité (security) de la solution. Ils montrent que les trames peuvent être attaquées de manière malveillante et proposent des mesures permettant d’assurer une intégrité et une authentification des trames vis-à-vis de fautes malicieuses.

1

II.3.3 FSoE

FsoE est une technologie développée au-dessus de EtherCAT2 selon la norme IEC 61508 et standardisée par l’IEC 61784-3. C’est un bus de terrain orienté temps réel qui convient aux applications critiques avec un niveau d’intégrité allant jusqu’au SIL 3. La surcouche permettant d’assurer des propriétés de sécurité-innocuité des communications (« safety layer ») appelée « Fail Safe over EtherCAT » préconise que les trames de données standards et les trames de données critiques sont transférées via le même canal de communication. Mais, les trames des données critiques contiennent les données utiles critiques et un champ de contrôle applicatif (généré par un code détecteur applicatif). Plus précisément, la séquence de données critiques à protéger est découpée en fragment de deux octets et à chaque fragment est appliqué un CRC applicatif de 16 bits. Pour en savoir plus, il est possible de se reporter à une

description3 et une présentation4 disponibles sur le site de EtherCAT.

L’article [Liu & Song 2012] est une petite illustration de l’utilisation de la solution FSoE au cas du contrôle d’un servomoteur.

II.3.4 openSAFETY

openSAFETY5 est un protocole de communication certifié par l’IEC 61508 et selon les exigences SIL 3. openSAFETY peut être adopté pour tous les protocoles de communication sous-jacents. openSAFETY est indépendant des technologies sous-jacentes, matérielles, logicielles et réseaux ; il est totalement ouvert, d’un point de vue technique et légal. Pour l’intégrité des communications, la séquence de données utiles de chaque trame est dupliquée, chaque dupliqua est protégé par un CRC. openSAFETY met aussi en place une surveillance temporelle des données (voir la structure de la trame6 sur le site de openSAFETY).

L’article [Soury et al. 2015] présente, pour un système de levage, le cas de la transition d’une solution à base de composants électromécaniques vers un système de commande/contrôle en réseau. Les auteurs utilisent la solution openSafety au niveau du réseau pour être compatible avec les exigences SIL3 de la norme IEC 61508. Il s’agit de travaux développés dans le cadre du projet ADN4SE (Atelier de Développement et Noyau Pour Système Embarqué) financé dans le cadre du programme BGLE (Briques Génériques du Logiciel Embarqué) des investissements d’avenir.

Ces différentes solutions de surcouches visant à assurer l’intégrité des communications indépendamment des couches basses profitent des divers avantages du concept du canal noir. Ce sont des solutions appropriées aux systèmes embarqués critiques où la certification est un enjeu crucial et où prouver la sûreté de fonctionnement de tous les composants de toutes les couches est une tâche très complexe. Dans ces travaux de thèse, nous allons alors nous inspirer de ces solutions et nous allons proposer une approche d’intégrité bout en bout basée sur le concept canal noir.

2 https://www.ethercat.org/ 3 _{https://www.ethercat.org/download/documents/pcc0107_safety_over_ethercat_e.pdf} 4 http://www.ethercat.org/pdf/english/Safety_over_EtherCAT_Overview.pdf 5 http://www.open-safety.org/ 6 http://www.open-safety.org/index.php?id=23&L=olrvrriytb

II.4 Travaux académiques sur l’intégrité des communications 37