Équipe SyS « Systèmes Sûrs »

Équipe SyS

« Systèmes Sûrs »

Composition de l’équipe

« Systèmes Sûrs » en 09/2012

Groupe CPR Groupe VESPA

Cnam ENSIIE Cnam

M.-V. Aponte (MCF) P. Courtieu (MCF) T. Crolard (PR)

D. Delahaye (MCF HDR) N. Levy (PR)

O. Pons (MCF)

V. Viguié Donzeau-Gouge (PR)

G. Burel (MCF) C. Dubois (PR) J. Forest (MCF) R. Rioboo (PR)

X. Urbain (MCF HDR)

K. Barkaoui (PR)

S. Boumerdassi (MCF HDR) J. Delacroix (MCF)

Y. Pollet (PRCM)

16 permanents (7 PR, 9 MCF)

Évolutions entre 2014 et 2016

02/2014 : V. Viguié Donzeau-Gouge nommée Professeur émérite 09/2015 : D. Delahaye recruté Professeur à l’Univ. de Montpellier 01/2016 : Départ des 5 membres de l’ENSIIE

(pour rejoindre Samovar, à la demande de l’ENSIIE) Suppression de la division en groupes (CPR et VESPA) 09/2016 : X. Urbain recruté Professeur à l’Univ. de Lyon 1

12/2016 : Recrutement de M. Puech (MCF) Recrutement de R. Rebiha (MCF)

Composition de l’équipe en 09/2017

M.-V. Aponte (MCF) K. Barkaoui (PR)

S. Boumerdassi (MCF HDR) P. Courtieu (MCF)

T. Crolard (PR) J. Delacroix (MCF) J. Forest (MCF) N. Levy (PR) O. Pons (MCF) Y. Pollet (PRCM) M. Puech (MCF) R. Rebiha (MCF)

V. Viguié Donzeau-Gouge (PR émérite)

12 permanents (4 PR, 8 MCF) et 1 PR émérite

Quelques chiffres sur la période 2012-1017

• 180 articles scientifiques (dont un tiers en revues internationales)

• 18 thèses dirigées (ou co-encadrées) soutenues, 12 thèses en cours (dont 7 doivent être soutenues avant fin 2017).

• 8 contrats de recherche : 2 projets PHC, 1 contrat ANR (Bware), 1 projet Ile-de-France Digiteo, 1 contrat CIFRE (Siemens) et 4 projets industriels (AdaCore, Thalès, Egidium Technologies et Berger-Levrault)

• Organisation au Cnam de FM 2012 et de ICFEM 2015, plusieurs conférences nationales et les journées du GDR GPL en 2014.

Recrutement des doctorants

• Pas de M1-M2 traditionnel sous statut étudiant au Cnam

• Peu de bourses de l’EDITE : interventions des membres dans un autre Master rattaché nécessaire (UPMC)

• Beaucoup de doctorants en co-tutelle (dossier plus lourd à monter, problèmes de visa, difficile de terminer en 3 ans)

• Ouverture du Master « Systèmes Embarqués Mobiles et Sûrs » en Alternance en 2016 (M1 et M2), en collaboration avec l’équipe MIM.

Objectif : poursuite en thèse des meilleurs élèves du Master, en partenariat avec l’industrie (contrats CIFRE).

Thématiques de recherche

• Un thème fédérateur : les « méthodes formelles »

– Spécifications formelles – Méthodes déductives – Preuve de programme – Model-checking

• Des thèmes connexes :

– Systèmes critiques : embarqués, temps-réel…

– Evaluation des systèmes – Architecture des systèmes – Compilation

Axes actuels

1. Typage, Sémantique et Preuves présenté par Tristan Crolard

2. Vérification et Evaluation de Systèmes Parallèles et Asynchrones présenté par Kamel Barkaoui

3. Architecture Logicielle, Architecture Système et Lignes de produits présenté par Nicole Levy

Équipe Systèmes Sûrs

Axe « Typage, Sémantique et Preuves »

Projet ANR BWare 2012-2016

Collaborations avec l’équipe VALS du LRI, les équipes Gallium et Deducteam de l’Inria Mitsubishi, ClearSy et OcamlPro

L’assistant de preuve Coq

Développé à l’Inria depuis 1984, l’assistant de preuve Coq se démarque aujourd’hui :

• côté théorique : grâce au projet « univalent foundations » lancé par Vladimir Voevodsky en 2009

• côté applications : le projet Expedition 2016 « DeepSpec » de la NSF correspond à un financement de 10 millions de dollars sur 5 ans.

Des membres de l’équipe contribuent au développement de Coq depuis sa création.

L’assistant de preuve Coq

Coq peut être utilisé, par exemple, pour :

• Prouver des théorèmes mathématiques difficiles

Exemple : en 2012, le théorème de Feit-Thompson (1963)

• Prouver la correction de programmes ou d’algorithmes

• Prouver des résultats d’impossibilité

• Formaliser la meta-théorie d’un langage de programmation (son système de types, sa sémantique, …)

• Prouver la correction d’un compilateur

CompCert : premier compilateur C prouvé correct (2009)

L’assistant de preuve Coq

Coq peut être utilisé, par exemple, pour :

• Prouver des théorèmes mathématiques difficiles

Exemple : en 2012, le théorème de Feit-Thompson (1963)

• Prouver la correction de programmes ou d’algorithmes

• Prouver des résultats d’impossibilité

• Formaliser la meta-théorie d’un langage de programmation (son système de types, sa sémantique, …)

• Prouver la correction d’un compilateur

CompCert : premier compilateur C certifié correct (2009)

Algorithmes répartis pour les robots autonomes

Collaborations avec

l’équipe NPA du LIP6 et l’équipe Drim du LIRIS (Université Lyon 1)

Première preuve formelle mécanisée d'impossibilité de regroupement d'un ensemble de robots autonomes.

Sémantique de SPARK Ada

Collaborations avec l’équipe Whisper du

LIP6, la société AdaCore, le laboratoire SAnToS (Kansa State University)

Vers un compilateur certifié pour SPARK Ada

procedure Sort(V : in out Vector) is procedure Swap(I, J : Index) is

Aux: Integer;

begin

Aux := V(I); V(I) := V(J); V(J) := Aux;

end Swap;

begin

− − some code using Swap end Sort;

• Compilateur basé sur le compilateur C certifié CompCert

• Première difficulté par rapport au C : les procédures imbriquées

Implantation des procédures imbriquées

Plusieurs implantations connues :

• dans les langages fonctionnels ou objets :

– clôtures allouées dans le tas

– mécanisme plus général que les procédures imbriquées

• dans les langages qui respectent une discipline de pile, les implantations sont plutôt techniques :

– « displays » de [Dijkstra 1961]

– « static links » utilisés dans la P-machine [Wirth 1966]

Preuve de correction de la P-machine

• Définition d’une sémantique de haut niveau.

• Spécification de la pile sous forme d’un ADT.

• Deux implantations de l’ADT : une simple, une optimisée.

• 3000 lignes de Coq (juste pour la P-machine)

Première preuve formelle mécanisée d’un résultat non- trivial d’indépendance de représentation :

• utilisant une propriété générale de paramétricité [Reynolds 1983]

• implantée sous forme d’un plugin Coq [Keller & Lasson 2012]

• se généralise automatiquement à d’autres langages impératifs.

Nouvelles thématiques

Thèses en cours :

• Preuve de programmes Scala concurrents et applications au paradigme Map-Reduce

• Approche machine virtuelle pour micro-contrôleurs et preuve de programme synchrone

Nouvelle thèse CIFRE (sous reserve accord ANRT)

Equipe Systèmes Sûrs Axe VESPA

Spécification et Vérification de Systèmes

Distribués Concurrents Reconfigurables et Temps Réel Membres permanents 2012-2017

K. Barkaoui (PU) , S. Boumerdassi (MdC HDR)

19

VESPA au sein du CEDRIC

• Effectif largement insuffisant

– Au regard de son potentiel de recherche

– Difficulté de se rapprocher du monde industriel

• Pas de vivier local de doctorant

– Formation professionnelle supérieure des adultes

• « Université de la deuxième chance »

• Charge pédagogique importante

– aux dépens de la recherche et de l’encadrement Pour autant ….

VESPA

Visibilité nationale

• Intégration dans la communauté « Modélisation des Systèmes Réactifs (MSR) »

• Informatique & Automatique (CNU Sections 27 & 61)

• Pérennité de la Conférence internationale VECoS

• 12ème édition VECoS 2018 UJF Verimag

• Appui de Formal Methods Europe (FME)

• Collaborations avec le Groupe francilien Mefosyloma

• Séminaire bimestriel animé conjointement avec des équipes du

• LIP6, LIPN, LSV, LTCI, IBISC, LACL

• Organisation au Cnam de

• Formal Methods 2012 (250 participants), CONCUR 2020 ?

• Participation aux GDR MACS, GT AFSEC

21

VESPA

Visibilité internationale

• Projets de recherche communs & Co-encadrements doctoral

•VERIFORM (Polytechnique Montréal ), LIRE (Univ Constantine 2)

–Vérification formelle de systèmes concurrents

•SCG (Xidian University), LDES (NJIT Newark)

–Synthèse de contrôle de systèmes à événements discrets

•LAMOS (Univ. Bejaia) , SysCom ( ENIT Tunis)

–Evaluation de la performabilité de systèmes de communications

• Co-organisation de conférences internationales du domaine:

• WODES 2015 (Xian), PETRI NETS & ACSD 2014 (Tunis)

• VECoS 2017 (Montréal), 2016 (Tunis), VECoS 2015 (Bucarest)

• VECoS 2014 (Bejaia), 2013 (Florence), 2012 (Paris)

• Participation à de nombreux comités de programme de conférences d'audience

Contributions majeures

« Vérification formelle de systèmes concurrents temps réél »

• Extension et adaptation des méthodes d’ordre partiel aux réseaux de Petri temporels:

• Réduction et optimisation graphe d'accessibilité généré par les méthodes des classes d’états (abstractions)

• Publications communes avec Veriform

• Stubborn Sets for Time Petri Nets : In ACM Trans. in Embedded Computing Systems vol.

14(1), pp. 11-25, 2015.

• Partial Order Reduction for Checking Soundness of Time Workflow Nets: In Information Sciences, vol. 282, pp. 261-276, 2014.

• Reducing Interleaving Semantics Redundancy in Reachability Analysis of Time Petri Nets : In ACM Trans. in Embedded Computing Systems vol. 12(1), pp. 1-24, 2013.

23

Contributions majeures

« Vérification formelle de systèmes concurrents reconfigurables »

• Spécification et vérification de processus métiers reconfigurables basées sur notre formalisme des Recatnets

• Etablissement d’une sémantique précise et complète à la notation BPMN

• Spécification et vérification des architectures des systèmes multi-agents (SMA) et leur reconfiguration basée sur les systèmes réactifs bigraphiques (BRS)

• Représentation concise et modulaire de la structure et des comportements dynamiques des SMA (Coll. avec LIRE)

• Publications

• Formal Verification of Complex Business Processes Based on High-Level Petri Nets: In Information Sciences, vol. 385-386(385), pp. 39-54, 2017.

• Specification and Verification of Reconfigurable Multi-Agent System Architectures: In Multiagent and Grid Systems Journal, vol. 12(2), pp. 105-124, 2016.

• Specification and verification of complex business processes: A High-level Petri net-based

Contributions majeures

« Synthèse de contrôle de systèmes à événements discrets»

• Extension des techniques de synthèse de contrôleurs optimaux pour les systèmes de production flexible

– Contrôleurs modulaires, paramétrés et maximal permissifs basés sur la théorie structurelle des réseaux de Petri

• Publications communes avec SCG & LDES

• Compact Supervisory Control of Discrete Event Systems by Petri Nets with Data Inhibitor Arcs: IEEE Trans. Systems, Man, and Cybernetics, Vol. 47(2), pp. 364-379, 2017.

• Maximally Permissive Liveness-Enforcing Supervisor with Lowest Implementation Cost for Flexible Manufacturing Systems: Information Sciences, vol. 256, pp. 74-90, 2014.

• Necessary and Sufficient Liveness Condition of GS3PR Petri nets: International Journal of Systems Science, pp. 1-14, 2013.

• A survey of Siphons in Petri nets: Information Sciences, vol. 363, pp. 198- 220, 2016.

25

Bilan VESPA (2012-2017)

• Encadrement doctoral

• 12 thèses soutenues (14 avant fin 2017), 2 en cours.

• Devenir : 8 MCF, 4 Industrie (R&D)

• Publications

• 25 dans revues internationales

• 45 dans conférences internationales avec comité de lecture

• 2 chapitres d’ouvrage & 10 éditions d’actes de congrès

• Animation

• Co-responsable du séminaire parisien « Mefosyloma »

• VECoS Steering Committee Chair

• General Chair de FM2012, ICATPN & ACSD 2014

• Participation des membres à de nombreux PC

• Editeur associé de IJCCBS

• Activités d’évaluation

• K. Barkaoui rapporteur pour 22 thèses et 3 HDR

• S. Boumerdassi rapporteur pour 3 thèses

• Evaluation d’articles soumis à plusieurs revues internationales

Perspectives

• Poursuivre nos travaux sur la vérification formelle et automatique de systèmes distribués concurrents reconfigurables et temps réel:

• Méthode de génération du graphe d’accessibilité combinant techniques d’ordre partiel et sémantique de vraie concurrence (Coll. Veriform)

• Vérification compositionnelle pour des classes de réseaux de Petri

• Systèmes de production flexible (Coll. avec SCG)

• Synthèse de contrôleurs optimaux pour :

• DES avec transitions non contrôlables et non observables et ressources non fiables (Coll. avec SCG & LDES)

• Systèmes hybrides (Coll. avec SCG & LAETITIA / SdF )

• Modélisation stochastique (Stochastic Reward Nets)

• Evaluation du compromis performabilité -efficacité énergétique des infrastructures virtualisées déployées dans le cloud

(Coll. avec LAMOS & SYSCOM) ²⁷

Perspectives

• 2 nouveaux sujets orientés « Data Science & Méthodes formelles »

• Tirer avantage des concepts et techniques issus de la théorie structurelle des réseaux de Petri

• Pour améliorer les techniques de Process mining (extraction des connaissances à partir de très grands fichiers Logs)

• Découverte et vérification de la conformité des processus

• Applications aux domaines de : Industry 4.0 et Healthcare (Coll. avec SCG)

• Tirer avantage des approches Big Data et des infrastructures du cloud computing

• Pour mieux combattre l’explosion de l’espace des états des systèmes temps réel (Coll. avec LAMOS & SYSCOM)

Équipe Systèmes Sûrs

Axe « Architecture Logicielle, Architecture Système et Lignes de produits »

1 - Développement de lignes de produits corrects par construction

Thi-Kim-Dung Pham (doctorante), Catherine Dubois et Nicole Levy

• Offrir des techniques de réutilisation en mettant l’accent sur la gestion de la variabilité et de la réutilisation.

• Proposer une approche garantissant la correction des produits issus d’une ligne de produits.

• Proposer le langage FFML (Formal Feature Module

Language), inspiré de FoCaLiZe incorporant des mécanismes d’expression de la variabilité.

• Utiliser les outils de FoCaLiZe : prouveur et générateur de code

Vue du développeur

Vue de l’utilisateur

Résultats et perspectives

vSoutenance de la thèse de Zung Pham le 16/11/2017 v3 publications et une soumission

vRéalisation du compilateur FFML et du générateur de produits

vApplication à la ligne de produits à l’étude de cas Poker àDémonstration de la faisabilité de l’approche

• A venir :

vMonter une coopération avec l’équipe Méthodes du

laboratoire Samovar (avec Catherine Dubois et Paul Gibson) vEnrichir FFML avec d’autres opérateurs de variabilité et

appliquer l’approche à d’autre études de cas

2 - Développement de lignes de produits à partir des systèmes existants

• Nicole Levy et Yann Pollet

• en collaboration avec

• Jean-Michel Douin (équipe MIM) et Francisca Losavio (prof invitée de l’Université Centrale du Venezuela)

A. Proposition d’un mécanisme de fusion de produits existants pour en tirer une ligne de produits

– Convention de recherche avec la société Egidium

B. Proposition d’une méthode de développement d’une ligne de produits à partir d’un seul système existant

– Convention de recherche avec la société Berger Levrault

Développement d’une ligne de produits

• Dans un domaine donné, on trouve souvent de nombreux systèmes assurant des missions très similaires

– Ensembles de fonctionnalités très proches voire identiques

– Mais avec exigences non fonctionnelles et contraintes différentes – Et en final des systèmes différents, voire très différents !

• Objectif : valoriser la connaissance implicite pour spécifier et concevoir de nouveaux systèmes d’un même domaine

fonctionnel

– Identifier des invariants fonctionnels et architecturaux – Gérer la variabilité des exigences et des architectures

A - Développement d’une ligne de produits par fusion de produits existants b

1. Génération du « Noyau Architectural »

– Configuration architecturale de base commune aux N systèmes S_i de départ

– « Socle commun » d’exigences de base

2. Re expression des architectures de départ comme un ensemble d’adaptations

– Sous-graphes ajoutés

– Avec liens de traçabilité vers les exigences

3. Synthèse d’une architecture de variabilité

– Obtention d’une architecture générique présentant des dimensions de variabilité

– Contient comme cas particuliers les architectures de départ – Mais aussi de nouvelles combinaisons valides

Architecture S_N

Architecture S_i

Noyau Architectural

Génération Noyau

Réexpression

S_i

S₁ S_N

Synthèse Architecture

S₁

B - Développement d’une ligne de produits à partir d’un seul système existant

• Convention de recherche avec la société Berger Levrault

• Domaine des collectivités locales : les ressources humaines

• Caractéristique des systèmes de société Berger-Levrault :

• la conformité avec la législation en vigueur

• Objectif : valoriser la connaissance implicite pour

spécifier et concevoir de nouveaux systèmes d’un même domaine fonctionnel

– Identifier des invariants fonctionnels et non fonctionnels ainsi qu’architecturaux

– Gérer la variabilité des exigences et des architectures

Gestion de la variabilité

Analyse fonctionnelle du système de

départ (BPMN)

Architecture abstraite

avec composants fonctionnels et

non- fonctionnels

(UML)

Architecture de variabilité:

Identification des composants

non- fonctionnels

variables (UML) Construction

systématique

Implantation de la variabilité (Java + Spring

+ mécanisme d’injection par La législation

évolue sans cesse

Transformation en un réseau

sémantique enrichi (Ontologie) Construction systématique

Comportement variable : Cas général +

plusieurs cas particuliers qui ne s’appliquent

pas toujours

Résultats et Perspectives

v3 Mémoires de Master

v3 publications et 2 soumissions

v2 collaborations industrielles : Egidium et Berger-Levrault (en cours)

• A venir :

Gestion de la variabilité d’un système en mariant les approches

Descendantes (en partant des besoins fonctionnels et non fonctionnels) et

Ascendante (en partant d’un produit concret à réutiliser) Et en prenant en compte différents types de variabilité

Question HCERES : devenir des doctorants

Robert Abo 2011 Ingénieur R&D Industrie France.

Herve Costantini 2012 MCF associé à Paris 13.

Ofaina Taofifenua 2012 Ingénieur sécurité fonctionnelle, JTEKT, Lyon, France.

Ridha Benosman 2013 Ingénieur R&D Industrie France Maryam Eslamichalandar 2013 Ass. Professsor à Univ. Téhéran, Iran Mélanie Jacquel 2013 Ingénieur R&D Industrie France Pierre-Nicolas Tollitte 2013 Ingénieur R&D Industrie France Vincent Benayoun 2014 Ingénieur R&D Industrie Israel

Driss Sadoun 2014 Chercheur postdoctoral (INALCO)

Borhen Marzougui 2014 Ass. Professsor Univ. Gabés, Tunisie Gaiyun Liu 2014 Ass. Professor à Xidian Universty, Chine Ding Liu 2015 Ass. Professor à Xidian Universty, Chine Yufeng Chen 2015 Ass. Professor à Xidian Universty, Chine.

Amira Methni 2016 Ing-chercheur à l'IRT SystemX Saclay, France.

Aymen Louati 2016 Ass. Professsor à l’ISI, Uni. Jendouba, Tunisie.

Raphaël Cauderlier 2016 Post-doctorat.

Jérôme Dantan 2016 Post-doctorat.

Houda Zaidi 2017 Post-doctorat.

Questions HCERES

• Y a-t-il des collaborations entre les 2 (bientôt les 3) axes ? Pas actuellement, mais encouragées comme toutes les

collaborations (inter-équipes, nationales, internationales)

• Positionnement des enseignants-chercheurs listés comme membres de l’équipe mais dont l’activité semble hors

des axes.

A considérer au cas par cas, selon les activités de ces enseignants-chercheurs et de leurs projets.

Questions HCERES

• Y a-t-il un ou des séminaires réguliers ? Un séminaire d’équipe 1 ou 2 fois par mois (un orateur exterieur par mois en moyenne)

• Des informations sur l’organisation et la vie de l’équipe.

Une demi-journée par semaine réservée (réunion ou GT) Organisation « collaborative »

– une liste de diffusion interne

– un répertoire partagé et un intranet

(budget de l’équipe, programme du séminaire, recrutements, …)