La chaîne d’outils d’AdaCore pour les langages Ada, SPARK et C désormais qualifiée selon les normes ISO 26262 et IEC 61508
NEW YORK & PARIS, le 18 février 2020 - AdaCore annonce aujourd’hui que trois de ses outils phares de développement et vérification pour Ada, SPARK et C viennent de se qualifier selon les normes de sécurité fonctionnelle ISO 26262 et IEC 61508. AdaCore jouit de plus de vingt ans d'expérience en matière de certification dans des domaines critiques pour la sécurité tels que l'avionique, l'espace et le rail. En menant à bien le processus de qualification pour les normes automobiles et industrielles, l'entreprise a montré que ses technologies de haute intégrité sont capables de répondre aux exigences de garantie de l'industrie automobile à forte intensité logicielle.
Les trois outils de développement/vérification qualifiés pour la conformité sont:
- GNAT Pro, un environnement de développement robuste et flexible comprenant une chaîne d'outils de qualité industrielle prenant en charge les langages de programmation Ada et C, qu'ils soient autonomes ou mélangés en un seul binaire. GNAT Pro est livré avec une gamme d'outils de développement et de vérification, y compris le calcul de la taille de la pile, la vérification du standard de codage et un EDI personnalisable / extensible.
- -Le Générateur de Code Commun (CCG), qui compile à partir d'un sous-ensemble Ada de type SPARK en code C. CCG permet aux projets de réaliser une compilation croisée des applications Ada et SPARK vers n'importe quelle cible matérielle fournissant un compilateur C, y compris les cibles non fournies avec un support Ada standard.
- -SPARK Pro, un ensemble d'outils basé sur un sous-ensemble de langage Ada permettant aux développeurs de garantir formellement les propriétés du code source, telles que l'absence de certaines catégories de vulnérabilités (débordement de tampon, division par zéro, références à des variables non initialisées), et de prouver des affirmations fonctionnelles personnalisées.
Le compilateur GNAT Pro et CCG ont tous deux reçu la qualification TCL3 selon la norme ISO 26262, ainsi que la qualification T3 selon la norme IEC 61508. L'outil de vérification SPARK Pro a reçu les qualifications TCL3 et T2. Les trois produits ont été certifiés par TÜV SÜD, organisme indépendant et mondialement reconnu, qui confirme que les produits sont conformes aux normes nationales et internationales. La marque de certification TÜV SÜD est largement reconnue et respectée comme un symbole fiable de qualité, de sécurité et de durabilité.
“La demande d'outils et de méthodologies rentables a considérablement augmenté dans les domaines automobile et industriel au cours de ces dernières années", a déclaré Quentin Ochem, responsable du développement commercial chez AdaCore. “Les langages Ada et SPARK sont apparus comme des alternatives viables au C pour de nombreux développeurs ayant besoin de logiciels de plus haute intégrité. L'obtention de notre certification de sécurité selon les normes correspondantes démontre notre engagement à soutenir ces projets industriels sur leur propre voie d'adoption.”
A propos des normes ISO 26262 et IEC 61508
ISO 26262 est une norme de sécurité fonctionnelle pour les systèmes automobiles et un dérivé de la norme générique CEI 61508 pour les systèmes électriques/électroniques/électroniques programmables ("E/E/PE"). Elle définit les phases du cycle de vie de la sécurité automobile et leurs activités associées, et utilise une approche basée sur le risque pour déterminer les niveaux d'intégrité de la sécurité automobile (ASIL) et les exigences correspondantes. Une analyse des fonctions du système se concentre sur les dangers potentiels en cas de défaillance et sur les conséquences pour la vie et les biens. L'ASIL calculé va de A (le moins critique) à D (le plus critique) et prend en compte la probabilité estimée que la défaillance soit exposée, la possibilité pour le conducteur d'améliorer le danger en réaction et la gravité de l'occurrence du danger.
La norme ISO 26262 spécifie les exigences relatives à la qualification des outils, reconnaissant les avantages de l'automatisation en termes de productivité et de précision, et définit quatre méthodes de qualification des outils:
- Confiance accrue dans l’utilisation,
- Évaluation du processus de développement de l'outil,
- Validation de l'outil logiciel, et
- Développement selon une norme de sécurité.
La qualification est basée sur le niveau de confiance de l'outil (TCL) calculé, allant de 1 (le plus bas) à 3 (le plus élevé). Le TCL d'un outil est à son tour déterminé par le fait de savoir si / comment une erreur dans l'outil ou dans son résultat peut entraîner un risque pour la sécurité ("l’impact de l'outil"), et la probabilité de prévenir / détecter de telles erreurs ("détection d'erreurs dans l'outil"). Un outil à TCL1 ne requiert pas de qualification. Les outils de TCL2 et TCL3 nécessitent une qualification, le niveau d'intégrité de la sécurité automobile du système déterminant les méthodes de qualification les plus recommandées. Les artefacts de qualification des outils comprennent un plan de qualification des outils logiciels, une documentation sur les outils logiciels, une analyse de classification des outils logiciels (qui établit la LTC pertinente) et un rapport de qualification des outils logiciels.
La CEI 61508 est une norme internationale pour la sécurité fonctionnelle des systèmes E/E/PE et sert de "parapluie" pour les normes spécifiques à un domaine, telles que la norme ISO 26262. La norme est basée sur les concepts de cycle de vie de la sécurité (les processus d'ingénierie nécessaires à la sécurité fonctionnelle) et de niveau d'intégrité de la sécurité, ou SIL (le niveau de réduction des risques). Les SIL vont de SIL1 (le niveau le plus bas de réduction des risques) à SIL4 (le niveau le plus élevé). Les SIL sont définis en termes de probabilité de défaillance sur demande ; par exemple, pour le SIL4, la probabilité d'une défaillance dangereuse par heure de fonctionnement continu est comprise entre 10-9 et 10-8.
Les exigences relatives aux logiciels sont définies dans la partie 3 de la norme CEI 61508, avec l'identification des techniques et des mesures pour le développement / la vérification des logiciels ; les exigences spécifiques sont basées sur le SIL. La norme spécifie trois catégories de qualification des outils:
- T1 : l'outil n'est pas utilisé pour vérifier le code ou pour produire des réalisations faisant partie de l'exécutable (par exemple, un éditeur de texte),
- T2 : les outils peuvent ne pas détecter une erreur mais ne génèrent pas de code faisant partie de l'exécutable (c'est-à-dire un outil de vérification tel qu'un vérificateur de normes de codage), et
- T3 : l'outil peut produire des résultats qui font partie de l'exécutable (par exemple, un compilateur).
Les outils classés au niveau T2 ou T3 doivent être accompagnés de la documentation appropriée, le niveau T3 exigeant une justification supplémentaire (basée sur l'expérience de l'utilisateur ou des cas d'essai) selon laquelle l'outil est conforme à sa documentation.
A propos d’AdaCore
Fondée en 1994, AdaCore conçoit et fournit des outils de développement et de vérification de logiciels destinés à des applications pour lesquelles la sûreté, la sécurité et la fiabilité sont des éléments critiques. Quatre produits phares composent l’offre de la société :
- GNAT Pro, l’environnement de développement pour Ada, une boîte à outils complète pour concevoir, mettre en œuvre et gérer des applications requérant un niveau élevé de fiabilité et de maintenabilité. GNAT Pro est disponible pour Ada ainsi que pour C et C++,
- L’outil d’analyses statistiques avancées compatible avec CWE CodePeer, un réviseur et validateur automatique de code Ada capable de détecter et d’éliminer les erreurs aussi bien au cours du développement que rétrospectivement sur des logiciels existants. CodePeer peut détecter certaines des "25 erreurs logicielles les plus dangereuses" listées par le référentiel Common Weakness Enumeration (CWE) de MITRE Corporation,
- L’environnement de développement SPARK Pro, un ensemble d’outils basés sur des méthodes formelles et orientés systèmes à niveau d’assurance élevé, et
- L’outil de développement basé sur les modèles QGen, un générateur et vérificateur de code qualifiable et personnalisable pour les modèles Simulink® and Stateflow® destiné aux systèmes de contrôle critiques.
L'utilisation des produits AdaCore connaît une croissance continue dans des applications critiques telles que les systèmes spatiaux, l’avionique commerciale, les systèmes militaires, le contrôle aérien, les systèmes ferroviaires, les appareils médicaux ou les services financiers. AdaCore jouit d’une base fournie de clients internationaux en croissance constante; visitez le site www.adacore.com/industries/ pour de plus amples informations.
Les produits AdaCore sont libres et accompagnés d’un support expert en ligne fourni par les développeurs eux-mêmes. La société possède un siège nord-américain basé à New York et un siège européen basé à Paris. www.adacore.com.
Contacts Presse
AdaCore US AdaCore EU AdaCore UK
Jessie Glockner Juliana Silva Singleton PR E: glockner@adacore.com E: silva@adacore.com E: abigail@singletonpr.com
T: +1-646-532-2723 T: +33 1 49 70 87 82 T: +44 (0)1252 448 169