Méthodes pour la validation de modèles formels pour la ... - ISAE

More documents

Recommendations

Info

5.3 Accent sur quelques avantages de l’approche « Model Based Safety Analysis » et de la méthodologie de modélisation proposée 149 – Garantir la cohérence de différents arbres de défaillance sur un même système. – Garantir la cohérence des analyses de sécurité entre différents systèmes. – Assurer une meilleure traçabilité entre les analyses fonctionnelles et dysfonctionnelles d’un système. – Capitaliser la connaissance fonctionnelle et dysfonctionnelle des composants au sein de modèles génériques de bas niveau. – Mieux expliciter l’effet physique d’une défaillance sur le comportement du système. – Outiller l’élaboration d’un modèle avec une bibliothèque de nœuds génériques. – Avoir une représentation fonctionnelle du comportement du système considéré. – Avoir une représentation graphique moins abstraite, pour un non-connaisseur, que les arbres de défaillance. 5.3.1 Capitalisation des connaissances Un avantage de l’approche à base de modèles est de permettre une capitalisation de la connaissance des composants dans des nœuds AltaRica génériques. En effet et puisque la sémantique formelle d’un nœud AltaRica est fondée sur la notion d’automate de mode (section 2.3), on modélise au sein d’un élément de la bibliothèque diverses informations concernant le comportement fonctionnel et dysfonctionnel du ou des composants qu’il représente telle que : – les données influençant son comportement (ses entrées) ; – ses évènements fonctionnels et dysfonctionnels (ses reconfigurations, ses modes de défaillance...) ; – l’influence de ces évènements sur son état (sa logique interne) ; – ses fonctions de transfert et son effet sur l’environnement (ses sorties et leurs modes de calcul). Ainsi, plus qu’un simple modèle des propagations de défaillance dans un système, le modèle AltaRica inclut diverses informations concernant le comportement de ses composants. Il inclut et capitalise le savoir de l’analyste et des experts concernant les aspects fonctionnels et dysfonctionnels des composants. Remarque : Attention. Cette capitalisation doit être accompagnée d’une phase de documentation rigoureuse des modèles réalisés. En effet, notre expérience nous a montré que la description d’un composant peut rarement se targuer d’être totalement générique : souvent doit être pris en compte le domaine et le cas d’utilisation du ou des composants modélisés. Par exemple et selon les cas d’utilisation d’un composant, les modes de défaillance ou leurs taux d’occurrence peuvent varier. Dans un tel cas et même si la référence est identique dans le système réel, le nœud AltaRica utilisé devra être différent. 5.3.2 Traçabilité et cohérence des analyses Comme annoncé en début de section, la méthodologie proposée dans ce mémoire et plus généralement l’approche « Model Based Safety Analysis » permet d’améliorer la traçabilité et la cohérence entre : – les modèles métiers et les modèles de Sûreté de Fonctionnement ;
150 Chapitre 5. Cas d’étude et retour sur l’approche – l’analyse de l’occurrence de plusieurs évènements redoutés sur un même système ; – les analyses de sécurité réalisées sur des systèmes différents. Concernant le premier point, les modèles réalisés ont été choisis de bas niveau afin d’être en mesure de retrouver les résultats issus des analyses actuelles de sécurité. Descendant dans une telle analyse au niveau du composant, les modèles AltaRica réalisés sont donc très proches des architectures réelles des systèmes modélisés (systèmes mécaniques, hydromécaniques, informatiques...). Concernant les deux autres points et en partie grâce à la présence de bibliothèques de bas niveau, la cohérence est améliorée entre les analyses de sécurité d’un même système et entre les analyses de sécurité de différents systèmes. En effet actuellement, il est courant de trouver un même mode de défaillance nommé de façon différente entre deux analyses de sécurité d’un même système. Par exemple si on analyse deux systèmes différents A et B, la perte de la fonction d’une vis pourra être intitulée « rupture » sur le système A et « cassure » sur le système B (cela n’est qu’un exemple !). En utilisant un unique nœud de la bibliothèque pour la modélisation de la vis au sein des systèmes A et B, le même terme sera utilisé dans les deux analyses. La cohérence des analyses est également améliorée au niveau de la description des effets des modes de défaillance des composants. En effet et comme présenté au chapitre 3, la méthodologie de modélisation propose la définition de modes de défaillance génériques. Un analyste, lorsqu’il sera confronté à la représentation d’un mode de défaillance dans un nouveau modèle, pourra aller puiser dans les documentations existantes des modèles AltaRica pour coder son modèle AltaRica. Grâce à une cohérence et une telle traçabilité, la prise en charge d’un modèle par un analyste ne l’ayant pas réalisé sera aussi largement améliorée. Celui-ci, lors de la lecture du modèle, retrouvera en effet des termes connus et une logique déjà validée indépendamment du nœud. 5.4 Quelques bonnes pratiques recommandées lors de la modélisation Cette section a pour vocation d’exhiber certaines bonnes pratiques qui faciliteront selon nous certains aspects de la modélisation. Si quelques unes de ses bonnes pratiques ont déjà été évoquées au chapitre 3, cette section les regroupent, les développent et les complètent. 5.4.1 Analyse préliminaire - Identification des besoins Comme nous avons vu dans le chapitre 2, un modèle est réalisé avec l’objectif de répondre à une ou plusieurs questions que l’on se pose sur un système. Il n’a donc pas pour vocation de reprendre l’ensemble des caractéristiques du système qu’il représente [40]. L’analyse en charge de la réalisation d’un modèle cherchera ainsi à construire un modèle pertinent vis-à-vis de la question à laquelle il doit répondre... L’analyse en charge de la réalisation d’un modèle cherchera ainsi à construire un modèle mettant en évidence les caractéristiques du système qui l’intéressent. Exemple : Il n’est pas nécessaire de modéliser le déplacement des électrons dans le silicium à l’aide de la théorie des gaz de Fermi pour faire comprendre le fonctionnement de son système informatique à un utilisateur. [40] Il est donc indispensable pour l’analyste d’identifier les objectifs de la modélisation. Identifier l’ensemble des objectifs de la modélisation permettra leurs prises en compte dès le commencement
Page 1 and 2:
THÈSE En vue de l'obtention du DOC
Page 4 and 5:
Table des matières Liste des abré
Page 6 and 7:
Table des figures 1.1 Indicateurs S
Page 8:
Liste des tableaux 1.1 Critère de
Page 12 and 13:
Remerciements Fin de l’étape. ..
Page 14 and 15:
3 que du jus de carotte, même si j
Page 16 and 17:
Introduction L’objectif de cette
Page 18 and 19:
7 l’efficacité de ces activités
Page 20:
Chapitre 1 Concepts généraux auto
Page 23 and 24:
12 Chapitre 1. Concepts généraux
Page 25 and 26:
Page 27 and 28:
Page 29 and 30:
Page 31 and 32:
Page 33 and 34:
Page 35 and 36:
Page 37 and 38:
Page 39 and 40:
Page 42 and 43:
Bien que les arbres de défaillance
Page 44 and 45:
2.2 Syntaxe du langage AltaRica OCA
Page 46 and 47:
Page 48 and 49:
Page 50 and 51:
Page 52 and 53:
2.3 Sémantique du langage AltaRica
Page 54 and 55:
Page 56 and 57:
Page 58 and 59:
Page 60 and 61:
2.4 Outils pour la construction et
Page 62 and 63:
2.5 Autres langages pour la réalis
Page 64 and 65:
2.5 Autres langages pour la réalis
Page 66:
Chapitre 3 Vers une méthodologie u
Page 69 and 70:
58 Chapitre 3. Vers une méthodolog
Page 71 and 72:
Page 73 and 74:
Page 75 and 76:
Page 77 and 78:
Page 79 and 80:
Page 81 and 82:
Page 83 and 84:
Page 85 and 86:
Page 87 and 88:
Page 89 and 90:
Page 91 and 92:
Page 93 and 94:
Page 95 and 96:
Page 97 and 98:
Page 99 and 100:
Page 101 and 102:
Page 103 and 104:
Page 105 and 106:
Page 107 and 108:
Page 109 and 110: 98 Chapitre 3. Vers une méthodolog
Page 112: Chapitre 4 Processus pour la valida
Page 115 and 116: 104 Chapitre 4. Processus pour la v
Page 150 and 151: « Plutôt que de répéter sans ce
Page 152 and 153: 5.1 Bilan de l’activité de modé
Page 154 and 155: 5.1 Bilan de l’activité de modé
Page 156 and 157: 5.2 Bilan de l’activité de valid
Page 158 and 159: 5.2 Bilan de l’activité de valid
Page 162 and 163: 5.4 Quelques bonnes pratiques recom
Page 164: 5.5 Retours sur quelques difficult
Page 167 and 168: 156 Conclusion Cette représentatio
Page 170: Index AltaRica Assertion, 37 Évèn
Page 173 and 174: 162 Bibliographie [14] Matthias Bie
Page 175 and 176: 164 Bibliographie [47] Jeff Offutt,
Page 177: Résumé Pour certifier un système
show all

Méthodes pour la validation de modèles formels pour la ... - ISAE

Create successful ePaper yourself

Delete template?

Save as template?