Menu — Cortex ORIGIN™

Cortex ORIGIN™ — Application verticale spatiale

Space AI & Autonomie Gouvernée

L’espace impose des contraintes sans équivalent terrestre : latences extrêmes, communications intermittentes, budgets énergétiques serrés, environnements radiatifs hostiles. L’enjeu n’est pas d’augmenter l’autonomie, mais de gouverner chaque décision — même en situation dégradée, déconnectée ou partiellement compromise.

seL4 certifié EAL7 Trajectoire EAL6+ TRL 6 535+ théorèmes · 0 sorry

CFVL — Preuves formelles → Journal R&D →

535+

THÉORÈMES PROUVÉS

SORRY / ADMITTED

COMPOSANTS TCB

77%

COUVERTURE SAR EAL7

160K+

TESTS PASS

29s

BUILD ISABELLE

01 — Contraintes du milieu spatial

Un environnement sans équivalent terrestre

Chaque contrainte spatiale est mappée vers un composant CORTEX ORIGIN™ spécifique. L’architecture ne « gère » pas les contraintes de manière abstraite — elle les adresse par des mécanismes formellement vérifiés.

⏱

Latences extrêmes

1,3s Terre–Lune, 4–24 min Terre–Mars. Toute décision doit être autonome ou différée.

OMEGA™ · CERBÈRE™

◌

Communications intermittentes

Silence radio prolongé (LEO : passages ~10 min/90 min). Décisions sans contact sol.

OMEGA™ · PRISM™ · Offline™

⚡

Budgets énergétiques

Panneaux solaires limités, éclipses, batteries vieillissantes. Chaque calcul a un coût.

EcoFlux™

☢

Environnement radiatif

SEU, latch-up, dégradation cumulative. Dérives matérielles non déterministes.

SENTINEL™ · CircuitBreaker™

02 — Périmètre

Ce que Cortex fait & ne fait pas

Cette distinction est structurelle et non négociable. CORTEX ORIGIN™ est une couche de gouvernance décisionnelle — pas un logiciel de vol.

Cortex ORIGIN™ agit comme

Couche d’autorité décisionnelle gouvernée

Couche de gouvernance embarquée (OMEGA™)

Couche de preuve opposable (PRISM™)

Complémentaire des chaînes avioniques existantes

Module de sûreté cyber embarquée (SENTINEL™)

Cortex ORIGIN™ ne fait pas

Ne remplace aucun logiciel de vol, FDIR ou GNC

N’est pas un composant avionique

N’exécute aucune action opérationnelle de vol

Ne revendique aucune certification avionique (DO-178C)

Ne prétend pas à une certification CC délivrée

03 — Assurance & certification

Trajectoire EAL6+ — socle seL4 certifié EAL7

L’architecture repose sur le micro-noyau seL4, seul au monde avec preuve formelle complète (~480 000 lignes de preuve Isabelle/HOL, certifié EAL7). La couche politique/audit CORTEX (M00, OMEGA, PRISM) est conçue selon une trajectoire de haute assurance EAL6+, avec 535+ théorèmes prouvés et 0 sorry/admitted.

« proof-grade EAL6/EAL7 » signifie que l’architecture, les preuves formelles et la traçabilité sont alignées sur les exigences CC EAL6–EAL7. La certification Critères Communs n’a pas encore été réalisée en laboratoire (CESTI/CB). La preuve seL4 est héritée de seL4 Foundation — CORTEX ne la reprouve pas.

DIMENSION	NIVEAU	PREUVE
Isolation logicielle	seL4 EAL7 (hérité)	~480K lignes Isabelle, raffinement complet
Gouvernance décisionnelle	Trajectoire EAL6+	NBC-1→NBC-8, non-contournabilité prouvée
Journal d’audit	Trajectoire EAL6+	Append-only prouvé (I5, I6, I7, I8)
Refus & figement	Natifs, opposables	Fail-closed gate M00, I4 prouvé
Non-interférence	Prouvée formellement	NBC-8 : O.NONINTERFERENCE (Isabelle/HOL)
Traçabilité	Programme-grade	PRISM™ append-only + chaîne SHA-256
Frugalité énergétique	Structurelle	EcoFlux™ — gouvernance par budget

04 — Compatibilité normative

Mapping ECSS / CNES

CORTEX ORIGIN™ est conçu pour s’intégrer dans les cadres normatifs du spatial européen. Chaque exigence normative est adressée par un composant spécifique.

NORME ECSS	DOMAINE	COMPOSANT CORTEX	MÉCANISME
ECSS-E-ST-40C	Ingénierie logicielle	seL4 + M00 + PRISM™	Isolation formelle, TCB minimal, traçabilité
ECSS-Q-ST-30C	Sûreté de fonctionnement	OMEGA™ + CircuitBreaker™	Fail-closed, escalade automatique, dégradation contrôlée
ECSS-Q-ST-80C	Assurance produit logiciel	CFVL + PRISM™	Vérification formelle indépendante, 0 sorry
ECSS-E-ST-70-11C	Autonomie spatiale	OMEGA™ + CERBÈRE™	Niveaux E1→E4, décision bornée, anti-escalade
ECSS-E-ST-70-41C	Opérations sol/bord	PRISM™	Relecture post-mission, reconstruction décisionnelle
ECSS-U-ST-00-13C	Cybersécurité spatiale	SENTINEL™ + WALL-DOME™	Détection cyber/physique, confinement seL4

Note : la compatibilité normative indique que l’architecture est conçue pour répondre aux exigences de ces normes. La conformité formelle sera établie dans le cadre d’un programme qualifié avec le maître d’ouvrage.

05 — Scénario d’emploi

Satellite LEO — autonomie sous silence radio

Un satellite d’observation LEO perd le contact sol pendant une phase critique. Une reconfiguration de la charge utile est requise. Voici comment l’architecture CORTEX gouverne cette situation.

Scénario S1 — Observation LEO · Orbite 550 km · 97 min

Reconfiguration charge utile sous silence radio de 80 minutes

Perte de contact sol

Le satellite entre en zone d’ombre communications (pas de station relais). Passage en mode autonome.

SENTINEL™ détecte · OMEGA™ acte

Demande de reconfiguration

Le sous-système d’observation demande un changement de mode imagerie. OMEGA évalue : la demande est dans le cadre mission autorisé.

OMEGA™ évalue · CERBÈRE™ valide le cadre

Décision autorisée — journalisée

OMEGA autorise la reconfiguration. PRISM journalise la décision avec timestamp, contexte, justification. Entrée append-only, non modifiable.

PRISM™ journalise · append-only prouvé (I5-I7)

Demande hors cadre — refusée

Un sous-système demande une manœuvre orbitale non prévue au plan de vol. CERBÈRE bloque : action irréversible hors cadre mission. PRISM journalise le refus.

CERBÈRE™ bloque · OMEGA™ refuse · PRISM™ trace

Retour contact sol — relecture

Le sol récupère le journal PRISM complet. Reconstruction intégrale de la chaîne décisionnelle : 2 décisions, 1 autorisée, 1 refusée. Traçabilité programme-grade.

PRISM™ relecture · chaîne SHA-256 vérifiable

Dans ce scénario, aucune décision irréversible n’est prise sans cadre mission explicite. Le sol peut auditer a posteriori chaque décision prise en autonomie — c’est la différence entre une IA autonome et une IA gouvernée.

06 — Modules spatiaux

Composants appliqués au spatial

Chaque module CORTEX adresse une contrainte spatiale spécifique. Le TCB (4 composants) est prouvé formellement. Les modules hors-TCB sont confinés par seL4 et testés rigoureusement.

TCB · Preuve formelle

PRISM™ — Boîte noire orbitale

Journal cryptographique immuable. Reconstruction complète de la chaîne décisionnelle sol–orbite.

Append-only prouvé formellement (I5, I6, I7)

Chaîne SHA-256, non falsifiable a posteriori

Relecture post-mission pour assurance programme

TCB · Preuve formelle

OMEGA™ — Gouvernance décisionnelle

Point de passage unique. Aucune décision ne s’exécute sans OMEGA. NBC-1→NBC-8 prouvés.

Non-contournabilité prouvée (8 lemmes Qed)

Politique préservée à chaque transition (I11)

Niveaux d’autonomie E1→E4 configurables

Hors-TCB · Confiné seL4

SENTINEL™ — Sûreté spatiale

Détection conjointe cyber, physique et radiative. Déclenchement autonome de modes sûrs.

Détection SEU, latch-up, dérives lentes

Si compromis → mode dégradé, pas mode compromis

NBC-1 : ne peut pas appeler les interfaces TCB

Hors-TCB · Confiné seL4

CERBÈRE™ — Anti-escalade orbitale

Interdiction absolue des actions irréversibles hors cadre mission.

Gestion stricte des règles d’engagement embarquées

L’inaction est une décision valide

Gel constitutionnel irréversible

Hors-TCB · Confiné seL4

EcoFlux™ — Continuité de mission

Gouvernance énergétique de dernier recours. Arbitrage par budget, pas par priorité.

Extinction contrôlée de sous-systèmes non essentiels

Maintien du noyau décisionnel minimal en quasi-panne

Réduction du calcul par gouvernance

Hors-TCB · Confiné seL4

CircuitBreaker™ — Arrêt d’urgence

Mécanisme safety : escalade automatique, dégradation contrôlée, isolation de sous-systèmes.

QEMU PASS (cortex-killswitch)

Safety, pas security — complémentaire du TCB

Activation autonome sans dépendance sol

07 — Évolutions en cours

Axes d’amélioration Space AI

Autonomie bornée sous silence radio

Décision différée, refusée ou dégradée selon criticité. Interdiction de toute décision irréversible hors cadre. Niveaux E1→E4 selon ECSS-E-ST-70-11C.

Raisonnement tolérant à la latence

Élimination des dépendances temporelles fragiles. Rejet systématique des plans non robustes dans le temps. Validation formelle des bornes temporelles.

Résilience environnements radiatifs

Détection SEU/latch-up par SENTINEL. Dégradation contrôlée par CircuitBreaker. Prise en compte du vieillissement des composants.

Gouvernance constellations & flottes

Isolation automatique de nœuds compromis par seL4. Reconfiguration sans cascade ni escalade globale. Chaque satellite autonome en gouvernance.

CORTEX ORIGIN™ met en œuvre une Space AI gouvernée, conçue pour ne pas dériver fonctionnellement, ne pas escalader décisionnellement, ne jamais agir hors cadre — même en situation autonome, dégradée ou partiellement déconnectée.

CFVL — Vérification formelle → Publications & évaluations →

Souveraineté orbitale · Gouvernance · Preuve formelle · ECSS / CNES · Défense

Intelligence artificielle souveraine
Space AI & Autonomie Gouvernée
58 Rue de Monceau — 75008 Paris

Architecture

CORTEX ORIGIN™ Cortex Core™ OMEGA™ Quantum-Ready™

Vérification

CFVL — Laboratoire Journal R&D Publications Méthodologie

Investisseurs & partenaires Industriels & intégrateurs Décideurs publics & autorités