Méthodes pour la validation de modèles formels pour la ... - ISAE

More documents

Recommendations

Info

5.2 Bilan de l’activité de validation des modèles 147 En suivant ces recommandations, on parvient à retrouver dans Cecilia TM Arbor les probabilités des évènements élémentaires présents dans les arbres et la probabilité de l’évènement redouté de haut niveau. Par contre et étant donné que l’arbre est sous-forme de « râteau », on perd la représentation et la probabilité des évènements intermédiaires présents dans les arbres de défaillance. Remarque : L’arbre représentant les séquences générées par le modèle peut être vu d’une certaine manière comme une « mise à plat » de l’arbre de défaillance disponible dans les analyses de sécurité actuelles. 5.2.3 Vers l’utilisation du processus de validation proposé Nous avons proposé au chapitre 4 un processus visant à valider le comportement du modèle AltaRica et plus particulièrement des nœuds d’une bibliothèque. Nous rappelons qu’il est composé de trois étapes principales : la validation unitaire (i.e. la validation de la bibliothèque de nœud AltaRica), la validation de l’intégration et la validation globale (figure 4.2). Ce processus concerne surtout la validation unitaire. Nous avons alors vu que potentiellement, la validation d’un nœud peut nécessiter l’introduction d’un nombre important de modifications (section 4.6) dans le code AltaRica implémentant le nœud. N’ayant alors pas d’outil supportant l’écriture automatique de ces modifications (section 4.7.3), celui-ci n’a pas été au cours de ces travaux déployé à une échelle importante. Ainsi, seul le principe général de l’approche a été étudié en l’appliquant à un nœud AltaRica unitaire. L’intégration des nœuds entre eux ainsi que le modèle global n’ont pas été validé de la sorte. Nous montrons ici l’application du processus au composant Valve dont le code est présenté figure 2.6. Une spécification typique du comportement d’une telle valve est présentée figure 2.1. De ce schéma, on tire sans grande difficulté et en suivant le principe de l’exemple page 116 un ensemble de tests T composé de plusieurs scénarios de test : – des scénarios permettant de s’assurer que les comportements spécifiés sont correctement implémentés : {∅}, {Blocage}, {Fermeture}, {Fermeture, Ouverture}, {Fermeture, Blocage} ; – des scénarios permettant de s’assurer que les comportements non spécifiés ne sont pas implémentés : {Ouverture}, {Blocage, Ouverture}, {Blocage, Fermeture}, {Blocage, Blocage}, {Fermeture, Fermeture}, {Fermeture, Blocage, Fermeture}, {Fermeture, Blocage, Ouverture} et {Fermeture, Blocage, Blocage}. Pour rappel, les transitions implémentant ce comportement sont les suivantes : trans bloque=false |- Blocage -> bloque :=true ; etat=ouverte and bloque=false |- Fermeture -> etat :=fermee ; etat=fermee and bloque=false |- Ouverture -> etat :=ouverte ; Imaginons pour présenter le principe de l’approche que l’analyste en charge de l’implémentation fasse une erreur et implémente de la façon suivante (la fermeture et l’ouverture peuvent alors avoir lieu même après blocage de la valve) :
148 Chapitre 5. Cas d’étude et retour sur l’approche trans bloque=false |- Blocage -> bloque :=true ; etat=ouverte |- Fermeture -> etat :=fermee ; % Erreur etat=fermee |- Ouverture -> etat :=ouverte ; % Erreur Les gardes des transitions étant de simples conditions (en particulier elles sont donc déjà sous forme normale disjonctive), les critères définis en section 4.5.3.4 sont équivalents à franchir la transition en évaluant la condition à la valeur vrai. En insérant les drapeaux (tous initialisés à la valeur « false ») conformément au chapitre 4, les transitions deviennent : trans bloque=false |- Bloquage -> bloque :=true, flag_t_1:=true ; etat=ouverte |- Fermeture -> etat :=fermee, flag_t_2:=true ; etat=fermee |- Ouverture -> etat :=ouverte, flag_t_3:=true ; La simulation des scénarios de test de T permet d’activer l’ensemble des drapeaux définis (l’état initial est etat=ouverte et bloque=false) : – {Blocage} active le drapeau 1 ; – {Fermeture} active le drapeau 2 ; – {Fermeture, Ouverture} active les drapeaux 2 puis 3 ; – {Fermeture, Blocage} active les drapeaux 2 puis 1. En poursuivant la simulation de scénarios de test, on obtient : – les scénarios {Ouverture}, {Blocage, Blocage}, {Fermeture, Fermeture}, {Fermeture, Blocage, Fermeture} et {Fermeture, Blocage, Blocage} sont impossibles à réaliser conformément au comportement spécifié ; – les scénarios {Blocage, Ouverture}, {Blocage, Fermeture} et {Fermeture, Blocage, Ouverture} peuvent par contre être simulés sur le modèle AltaRica alors qu’il s’agit de comportements non spécifiés. Deux solutions sont alors possibles : soit la spécification du nœud est fausse ou incomplète et ne fournit pas un ensemble satisfaisant de scénarios de test, soit le nœud est implémenté de manière incorrecte. Dans l’un ou l’autre des cas, le résultat impose à l’analyste d’approfondir la question. Ici, l’analyste se rendra compte que les scénarios sont erronés et pourra corriger l’implémentation en conséquence. Le principe est identique concernant la validation des assertions. En imposant une réflexion sur à la fois la spécification et le nœud AltaRica, le processus permet de détecter de potentielles erreurs dans ces deux documents. Ainsi on pourra détecter des comportements admis par le nœud mais non spécifiés. On pourra également détecter des comportements spécifiés mais non permis par le nœud (i.e. scénarios non réalisables sur le nœud). 5.3 Accent sur quelques avantages de l’approche « Model Based Safety Analysis » et de la méthodologie de modélisation proposée La méthodologie présentée au chapitre 3 s’appuie sur l’approche « Model Based Safety Analysis ». En tant que telle, différents de ces avantages peuvent être explicités ici :
Page 1 and 2:
THÈSE En vue de l'obtention du DOC
Page 4 and 5:
Table des matières Liste des abré
Page 6 and 7:
Table des figures 1.1 Indicateurs S
Page 8:
Liste des tableaux 1.1 Critère de
Page 12 and 13:
Remerciements Fin de l’étape. ..
Page 14 and 15:
3 que du jus de carotte, même si j
Page 16 and 17:
Introduction L’objectif de cette
Page 18 and 19:
7 l’efficacité de ces activités
Page 20:
Chapitre 1 Concepts généraux auto
Page 23 and 24:
12 Chapitre 1. Concepts généraux
Page 25 and 26:
Page 27 and 28:
Page 29 and 30:
Page 31 and 32:
Page 33 and 34:
Page 35 and 36:
Page 37 and 38:
Page 39 and 40:
Page 42 and 43:
Bien que les arbres de défaillance
Page 44 and 45:
2.2 Syntaxe du langage AltaRica OCA
Page 46 and 47:
Page 48 and 49:
Page 50 and 51:
Page 52 and 53:
2.3 Sémantique du langage AltaRica
Page 54 and 55:
Page 56 and 57:
Page 58 and 59:
Page 60 and 61:
2.4 Outils pour la construction et
Page 62 and 63:
2.5 Autres langages pour la réalis
Page 64 and 65:
2.5 Autres langages pour la réalis
Page 66:
Chapitre 3 Vers une méthodologie u
Page 69 and 70:
58 Chapitre 3. Vers une méthodolog
Page 71 and 72:
Page 73 and 74:
Page 75 and 76:
Page 77 and 78:
Page 79 and 80:
Page 81 and 82:
Page 83 and 84:
Page 85 and 86:
Page 87 and 88:
Page 89 and 90:
Page 91 and 92:
Page 93 and 94:
Page 95 and 96:
Page 97 and 98:
Page 99 and 100:
Page 101 and 102:
Page 103 and 104:
Page 105 and 106:
Page 107 and 108: 96 Chapitre 3. Vers une méthodolog
Page 109 and 110: 98 Chapitre 3. Vers une méthodolog
Page 112: Chapitre 4 Processus pour la valida
Page 115 and 116: 104 Chapitre 4. Processus pour la v
Page 150 and 151: « Plutôt que de répéter sans ce
Page 152 and 153: 5.1 Bilan de l’activité de modé
Page 154 and 155: 5.1 Bilan de l’activité de modé
Page 156 and 157: 5.2 Bilan de l’activité de valid
Page 160 and 161: 5.3 Accent sur quelques avantages d
Page 162 and 163: 5.4 Quelques bonnes pratiques recom
Page 164: 5.5 Retours sur quelques difficult
Page 167 and 168: 156 Conclusion Cette représentatio
Page 170: Index AltaRica Assertion, 37 Évèn
Page 173 and 174: 162 Bibliographie [14] Matthias Bie
Page 175 and 176: 164 Bibliographie [47] Jeff Offutt,
Page 177: Résumé Pour certifier un système
show all

Méthodes pour la validation de modèles formels pour la ... - ISAE

Create successful ePaper yourself

Delete template?

Save as template?