Un système critique est un système dont une panne peut avoir des conséquences dramatiques, tels des morts ou des blessés graves, des dommages matériels importants, ou des conséquences graves pour l'environnement.

Domaines critiques

Sont par exemple critiques les logiciels intervenant dans :

• les systèmes de transport : pilotage des avions, des trains, logiciels embarqués automobiles ;
• la production d'énergie : contrôle (Le mot contrôle peut avoir plusieurs sens. Il peut être employé comme synonyme d'examen, de vérification et de maîtrise.) des centrales nucléaires ;
• la santé : chaînes de production de médicaments, appareil médicaux (à rayonnement (Le rayonnement, synonyme de radiation en physique, désigne le processus d'émission ou de transmission d'énergie impliquant une particule porteuse.) ou contrôle de dosages) ;
• le système financier : paiement électronique ;
• les applications militaires.

En fait, de part la diffusion (Dans le langage courant, le terme diffusion fait référence à une notion de « distribution », de « mise à disposition » (diffusion d'un produit,...) inexorable et généralisée des technologies logicielles et donc de l'impact plus massif (Le mot massif peut être employé comme :) d'un défaut quelconque, la notion de criticité tend à se diffuser même s'il s'agit plus souvent d'un risque de désorganisation sur le plan économique, social ou financier.

Niveaux de criticité

Evaluation

Il existe différents niveaux de criticité d'un système, suivant l'impact possible des dysfonctionnements. On apprécie ainsi différemment, par exemple, un dysfonctionnement provoquant des pertes coûteuses, mais sans mort (La mort est l'état définitif d'un organisme biologique qui cesse de vivre (même si on a pu parler de la mort dans un sens cosmique plus général, incluant par exemple la mort des étoiles). Chez les organismes vivants,...) d'homme (Un homme est un individu de sexe masculin adulte de l'espèce appelée Homme moderne (Homo sapiens) ou plus simplement « Homme ». Par distinction, l'homme prépubère est...) (cas des missions spatiales non habitées) et un dysfonctionnement provoquant des morts dans le grand public (cas des vols commerciaux). De même, on apprécie différemment des dysfonctionnements faisant courir un danger de mort ou de blessure (Une blessure est une lésion, physique ou psychique, faite involontairement ou dans l'intention de nuire.) à des humains, ou des dysfonctionnement augmentant la charge (La charge utile (payload en anglais ; la charge payante) représente ce qui est effectivement transporté par un moyen de transport donné, et qui donne lieu à un paiement ou un bénéfice non pécuniaire pour être transporté.) de travail et les risques d'erreur de pilotage (Une erreur de pilotage désigne, lors d'une catastrophe aérienne, le fait que le pilote est considéré comme essentiellement ou partiellement responsable de celle-ci.) des opérateurs humains.

Cas particulier de l'aviation (L'aviation est une activité aérienne définie par l'ensemble des acteurs, technologies et règlements qui permettent d'utiliser un aéronef dans un but particulier. Ces diverses activités peuvent être...)

En aviation, la norme (Une norme, du latin norma (« équerre, règle ») désigne un état habituellement répandu ou moyen considéré le plus souvent...) DO-178B sépare les logiciels avioniques en 5 catégories :

• niveau A : un dysfonctionnement du logiciel (En informatique, un logiciel est un ensemble d'informations relatives à des traitements effectués automatiquement par un appareil informatique. Y sont...) provoquerait ou contribuerait à une condition de perte catastrophique de l'appareil ;
• niveau B : un dysfonctionnement du logiciel provoquerait ou contribuerait à une condition dangereuse ou un dysfonctionnement sévère et majeur de l'appareil ;
• niveau C : un dysfonctionnement du logiciel provoquerait ou contribuerait à un dysfonctionnement majeur de l'appareil ;
• niveau D : un dysfonctionnement du logiciel provoquerait ou contribuerait à un dysfonctionnement mineur de l'appareil ;
• niveau E : aucun impact sur le fonctionnement de l'appareil ou la charge de travail du pilote.

Conséquences sur la sécurité

La criticité du système définit un niveau d'exigence par rapport à la tolérance aux pannes. Elle aura des conséquences sur l'évaluation des niveaux d'assurance pour la sécurité.

Logiciel critique (Un système critique est un système dont une panne peut avoir des conséquences dramatiques, tels des morts ou des blessés graves, des dommages matériels importants, ou des...)

Définition (Une définition est un discours qui dit ce qu'est une chose ou ce que signifie un nom. D'où la division entre les définitions réelles et les définitions nominales.), enjeux

Un logiciel critique est un logiciel dont le mauvais fonctionnement aurait un impact important sur la sécurité ou la vie (La vie est le nom donné :) des personnes, des entreprises ou des biens.

L'ingénierie (L'ingénierie désigne l'ensemble des fonctions allant de la conception et des études à la responsabilité de la construction et au contrôle des équipements...) logicielle pour les systèmes critiques est particulièrement difficile, dès lors que les systèmes sont complexes, mais l'industrie aéronautique (L'aéronautique inclut les sciences et les technologies ayant pour but de construire et de faire évoluer un aéronef dans l'atmosphère terrestre.), ou plus généralement l'industrie du transport de passagers, a réussi à définir des méthodes pour réaliser des logiciels critiques. Des méthodes formelles peuvent servir à améliorer la qualité du logiciel des systèmes critiques. Le coût de réalisation d'un logiciel de " système critique " est beaucoup plus élevé que celui d'un logiciel ordinaire.

Contraintes particulières de développement

Les précautions à prendre dans le développement d'un logiciel critique sont généralement fixées par une norme, et dépendent du domaine d'application et surtout de la criticité du logiciel. Généralement, on trouve des impératifs :

• de documentation : tous les composants doivent être documentés, notamment dans l'interface (Une interface est une zone, réelle ou virtuelle qui sépare deux éléments. L’interface désigne ainsi ce que chaque élément a besoin de connaître de l’autre pour pouvoir fonctionner correctement.) qu'ils présentent aux autres composants ;
• de traçabilité : le système doit répondre à chaque spécification, soit dans sa mise en œuvre, soit dans des spécifications intermédiaires (auquel il faudra aussi répondre) ; on doit donc avoir une chaîne (Le mot chaîne peut avoir plusieurs significations :) complète de traçabilité entre les spécifications fonctionnelles et la mise en œuvre du système ;
• de limitation des pratiques dangereuses : certaines techniques de programmations, sources possibles de problèmes, sont interdites, ou du moins leur usage (L’usage est l'action de se servir de quelque chose.) doit être justifié par des raisons impératives (ex: allocation dynamique (Le mot dynamique est souvent employé désigner ou qualifier ce qui est relatif au mouvement. Il peut être employé comme :) de mémoire (D'une manière générale, la mémoire est le stockage de l'information. C'est aussi le souvenir d'une information.), procédures récursives) ;
• de test : on devra essayer le logiciel dans un grand nombre (La notion de nombre en linguistique est traitée à l’article « Nombre grammatical ».) de configurations, qui couvrent tous les points et un maximum des chemins de fonctionnement du programme ;
• d'utilisation d'outils de développement et de vérification eux-mêmes sûrs.

Certification

Les systèmes les plus critiques sont généralement soumis à des autorités de certification, qui vérifient que les impératifs prévus par la norme ont été remplis.

L'usage de méthodes formelles pourra, à l'avenir, être encouragé, voire imposé.