Méthodes pour la validation de modèles formels pour la ... - ISAE

More documents

Recommendations

Info

3.8 Formalisation des données extraites 93 3.8.1 Pourquoi formaliser On précise ici un ensemble, sans doute non exhaustif, de raisons, de justifications ou d’avantages nous poussant à nous intéresser à la formalisation des données extraites aux sections précédentes. – améliorer la traçabilité entre le système réel et le modèle ; – faciliter la communication au sein d’un projet grâce à un formalisme commun aux différents acteurs ; – faciliter la mise à jour des études de Sûreté de Fonctionnement lors, par exemple, de l’intégration au sein du système de nouveaux équipements ; – faciliter la création de nouvelles études de Sûreté de Fonctionnement pour de nouvelles configurations du système ; – gérer simultanément plusieurs configurations de systèmes ; – décrire de manière identique les dysfonctionnements d’un même composant réalisant les mêmes fonctions dans le même environnement ; – standardiser les termes utilisés dans les analyses de Sûreté de Fonctionnement (e.g. codification des modes de défaillance) : → assurer la cohérence à l’intérieur d’une analyse de Sûreté de Fonctionnement et entre des analyses différentes, → éviter la multiplication des données identiques (i.e. éviter d’avoir à plusieurs endroits la même information) ; – réduire le nombre d’interprétation possible des informations présentes dans une analyse de sécurité ; – faciliter la revue des modèles réalisés par les experts et / ou ingénieurs ; – capitaliser le travail effectué... ... pour reprendre ce dernier point, nous pensons que cette spécification est plus qu’une simple aide à la modélisation, qu’une simple « préparation » du modèle AltaRica. En effet, elle sera un moyen performant de « capitaliser » les informations identifiées et présentées auparavant. Elle devra pour cela décrire de manière aussi formelle que possible le comportement du composant en incluant la description de ses interfaces avec son environnement et la description des différentes variables utilisées. Par exemple, cette spécification devra contenir une description détaillée de l’ensemble des variables utilisées en incluant leurs justifications (pourquoi avoir choisi ces variables, pourquoi avoir choisi ce domaine de définition) et leurs significations (à quoi correspond telle valeur de telle variable ?). Avant de s’intéresser plus amplement à la forme de cette nécessaire (nous en sommes désormais convaincus) formalisation, nous donnons ici quelques contraintes qui guideront (qui devront guider) sa mise en place. 3.8.2 Des contraintes sur cette formalisation Premièrement, si on ne demande pas à la spécification de représenter obligatoirement la totalité des comportements du système étudié, ceux représentés devront l’être de manière correcte. Second point, à mettre en relation avec le premier, la forme de cette spécification se devra d’être compréhensible et comprise des experts et des ingénieurs. En effet, cette spécification (et les informations contenues à l’intérieur) servira de fondement au modèle AltaRica devant être construit. Une information incorrecte à l’intérieur de cette spécification aura donc des chances
94 Chapitre 3. Vers une méthodologie unifiée de modélisation AltaRica de systèmes physiques non négligeables de conduire à un modèle AltaRica incorrect. Ainsi, cette spécification devra être validée avant son utilisation par les experts et / ou les ingénieurs. Remarque : Au sujet de cette validation et en prenant de l’avance sur le prochain chapitre, nous sommes d’accord que valider cette spécification par une « simple » relecture peut sembler étrange... Cependant, nous croyons que posséder une représentation du comportement du composant étudié est un pré-requis dans la construction d’un nœud AltaRica. De plus, une telle spécification pourra, comme nous l’observerons au chapitre 4, être utile pour la validation des nœuds modélisés. Enfin, la spécification et l’implémentation du modèle peuvent être réalisés par des personnes différentes. On introduit ainsi deux analyses indépendantes, ce qui augmente les chances de détecter des erreurs potentielles. Toujours dans l’optique de conserver cette spécification compréhensible par les experts et ingénieurs, on se limitera souvent à la représentation du comportement d’un composant élémentaire (comme l’engrenage ou le clapet étudiés dans les sections précédentes). En effet, représenter un trop grand nombre de comportement pourra souvent devenir problématique non seulement au niveau de la validation de cette spécification (celle-ci peut potentiellement devenir illisible) mais aussi au niveau de sa construction. Nous prendrons donc comme hypothèse qu’une spécification représentera les comportements d’un nœud élémentaire AltaRica. On aura donc autant de spécifications que de nœuds présents dans la bibliothèque (i.e. une spécification du comportement du clapet, une spécification du comportement de l’engrenage...). Enfin et en prenant de l’avance sur le prochain chapitre, cette spécification devra permettre la génération automatique de scénarios de tests (que nous simulerons ensuite sur le modèle AltaRica). Pour cela, le formalisme choisi devra permettre cette génération. Sans davantage de détails pour l’instant et sans imposer de méthode particulière, nous présentons dans la suite de cette section différents formalismes utilisés dans la littérature pour mettre en forme et formaliser (ou au moins semi-formaliser) les informations à inclure dans le modèle. 3.8.3 AMDE formelle La proposition serait ici de formaliser les informations présentes dans les actuelles analyses de pannes (i.e. dans les AMDE). Plutôt que de décrire les effets en langage naturel, on introduirait, dès la construction de cette analyse de panne, la notion d’état du système. On pourrait également introduire dans l’analyse de panne, d’une façon similaire à [49], les effets d’une déviation d’entrée sur les états et les sorties des composants. [49] parle alors de IF-FMEA pour « Interface Focused » FMEA, i.e. AMDE orientée sur les interfaces que le composant possède avec son environnement. Le tout peut alors être présenté sous une forme tabulaire comme le montre le tableau 3.7. Mode de défaillance sur la sortie OUT = Nul OUT = low Description Déviation entrée Mode de défaillance composant Taux ... IN = Nulle - - ... - E 1 1.5e −6 ... - E 2 2e −6 ... IN = low E 3 1e −5 ... IN = low - - ... - E 3 1.5e −6 ... ... ... ... ... Tableau 3.7 – Proposition du principe d’une AMDE formelle
Page 1 and 2:
THÈSE En vue de l'obtention du DOC
Page 4 and 5:
Table des matières Liste des abré
Page 6 and 7:
Table des figures 1.1 Indicateurs S
Page 8:
Liste des tableaux 1.1 Critère de
Page 12 and 13:
Remerciements Fin de l’étape. ..
Page 14 and 15:
3 que du jus de carotte, même si j
Page 16 and 17:
Introduction L’objectif de cette
Page 18 and 19:
7 l’efficacité de ces activités
Page 20:
Chapitre 1 Concepts généraux auto
Page 23 and 24:
12 Chapitre 1. Concepts généraux
Page 25 and 26:
Page 27 and 28:
Page 29 and 30:
Page 31 and 32:
Page 33 and 34:
Page 35 and 36:
Page 37 and 38:
Page 39 and 40:
Page 42 and 43:
Bien que les arbres de défaillance
Page 44 and 45:
2.2 Syntaxe du langage AltaRica OCA
Page 46 and 47:
Page 48 and 49:
Page 50 and 51:
Page 52 and 53:
2.3 Sémantique du langage AltaRica
Page 54 and 55: 2.3 Sémantique du langage AltaRica
Page 60 and 61: 2.4 Outils pour la construction et
Page 62 and 63: 2.5 Autres langages pour la réalis
Page 64 and 65: 2.5 Autres langages pour la réalis
Page 66: Chapitre 3 Vers une méthodologie u
Page 69 and 70: 58 Chapitre 3. Vers une méthodolog
Page 103: 92 Chapitre 3. Vers une méthodolog
Page 112: Chapitre 4 Processus pour la valida
Page 115 and 116: 104 Chapitre 4. Processus pour la v
Page 150 and 151: « Plutôt que de répéter sans ce
Page 152 and 153: 5.1 Bilan de l’activité de modé
Page 154 and 155:
5.1 Bilan de l’activité de modé
Page 156 and 157:
5.2 Bilan de l’activité de valid
Page 158 and 159:
5.2 Bilan de l’activité de valid
Page 160 and 161:
5.3 Accent sur quelques avantages d
Page 162 and 163:
5.4 Quelques bonnes pratiques recom
Page 164:
5.5 Retours sur quelques difficult
Page 167 and 168:
156 Conclusion Cette représentatio
Page 170:
Index AltaRica Assertion, 37 Évèn
Page 173 and 174:
162 Bibliographie [14] Matthias Bie
Page 175 and 176:
164 Bibliographie [47] Jeff Offutt,
Page 177:
Résumé Pour certifier un système
show all

Méthodes pour la validation de modèles formels pour la ... - ISAE

Create successful ePaper yourself

Delete template?

Save as template?