Abstract FR:

La sécurité et la disponibilité sont deux attributs de la sûreté de fonctionnement auxquels l'on doit apporter des solutions viables dans les systèmes de controle-commande critiques. Assurer simultanément la disponibilité et la sécurité est parfois difficile. En effet, l'introduction de redondances pour accroître la disponibilité peut être à l'origine de problèmes de sécurité qui n'auraient pas existé dans un système sans redondance. Les travaux présentés dans ce mémoire portent sur la gestion des redondances dans un système critique afin d'accroître sa disponibilité sans compromettre la sécurité. Il s'agit principalement de la gestion des redondances de façon transparente aux modules d'application tout en assurant la conservation des propriétés de sécurité de ces derniers. Après avoir montre que l'incohérence des contextes des éléments répliqués peut être à l'origine de la non-conservation des propriétés de sécurité, nous proposons une technique visant à tolérer les incohérences de contexte afin de garantir les propriétés de sécurité. Cette technique consiste à détecter les incohérences potentielles afin de mettre le système dans une configuration ou il ne compromet pas la sécurité en cas d'incohérence réelle. En nous appuyant sur le modèle asynchrone temporise, nous proposons deux mécanismes de gestion de redondance mettant en œuvre cette technique, respectivement pour les redondances duplex et les redondances n-plex (n > 3). A titre d'illustration, nous appliquons ces deux mécanismes au pilotage de lignes de métro automatisées. En particulier, nous montrons que ces deux mécanismes permettent de décharger les programmeurs du niveau application de la gestion de la répartition et des redondances. De cette façon, ils induisent une réduction substantielle des coûts associes au développement et à la validation des systèmes critiques.