Méthodes pour la validation de modèles formels pour la ... - ISAE

More documents

Recommendations

Info

Conclusion Synthèse des travaux Le domaine des travaux explicités dans ce mémoire est celui de l’évaluation de la sécurité d’un système complexe aéronautique. La problématique abordée s’intéresse à l’utilisation d’une modélisation formelle des propagations de défaillance dans un système multi-physique pour en évaluer sa sécurité. Le changement culturel induit par une telle approche est important : représenter les chemins de propagation de défaillance non plus de manière explicite à l’aide d’arbres de défaillance mais de manière implicite grâce à une approche compositionnelle (modulaire) où les chemins globaux émergent de l’interconnexion entre différentes entités élémentaires. Le changement culturel est important et l’investissement lourd en temps et en ressources : il est par conséquent hors de propos, en particulier dans un contexte industriel, de changer de façon de travailler (de raisonner) sans une réflexion préalable sur les modalités à mettre en oeuvre pour gérer un tel changement. Les travaux décrits ici se veulent être une partie des réflexions déjà existantes concernant l’introduction de modèles formels de propagation de défaillance dans le processus d’évaluation de la sécurité d’un système. Un notion fondamentale est alors celle de la confiance à accorder dans les modèles construits. Usuellement, cette confiance se gagne en se dotant d’un processus rigoureux de construction du modèle et/ou en pratiquant des activités de revues et de test sur les modèles réalisés pour s’assurer qu’ils sont une abstraction valide des systèmes qu’ils représentent. Les travaux décrits dans ce mémoire adressent les deux problématiques. Synthèse sur l’activité de réalisation de modèles Concernant la construction d’un modèle formel des propagations de défaillance au sein d’un système, le langage AltaRica a été utilisé et la méthodologie proposée dans [34] étendue pour s’intéresser à la construction d’un modèle AltaRica multi-systèmes et multi-physiques (système contenant différents sous-systèmes de natures physiques hétérogènes). Les principales étapes proposées dans cette méthodologie sont ainsi décrites ci-dessous. – La décomposition du système global en différents sous-systèmes physiquement homogènes. Ainsi, les hétérogénéités présentent dans le système sont limitées dans les sous-systèmes et gérées au niveau des interfaces entre ces sous-systèmes : on parlera de sous-systèmes fortement cohérents (nombreuses interactions entre les composants d’un sous-système) et faiblement couplés (peu d’interactions entre les composants de deux sous-systèmes différents). – L’abstraction du comportement fonctionnel et dysfonctionnel de chaque composant de chaque sous-système. De nouvelles abstractions sont définies pour la construction de modèles de systèmes de transmission mécanique et de systèmes hydromécaniques. – De manière préliminaire à l’implémentation en langage AltaRica de cette abstraction, la construction d’une représentation préliminaire du comportement de chaque composant.
156 Conclusion Cette représentation est nommée « spécification » et est un support facilitant la compréhension des informations qui seront codées. Cette spécification pourra également être un efficace support de discussion lors de revues du modèle par quiconque ne connaît pas le langage AltaRica. Concernant l’application pratique de la méthodologie proposée, des bibliothèques ont été construites en langage AltaRica et permettent la modélisation des propagations de défaillance au sein de et entre les différents sous-systèmes d’un turbomoteur d’hélicoptère. Cinq bibliothèques de noeuds AltaRica ont été construites et permettent de modéliser la majeure partie d’un turbomoteur d’hélicoptère (circuit carburant, circuit de transmission mécanique, circuit de lubrification, circuit d’air principal et système de surveillance moteur). Trois évènements redoutés (sur les seize que comporte une analyse actuelle de sécurité) ont été évalués sur ces modèles AltaRica et les résultats obtenus comparés avec ceux des analyses de sécurité actuelles (de type arbre de défaillance). À périmètre modèle - arbres équivalent, les résultats qualitatifs (coupes minimales) et quantitatifs (probabilités d’occurrence d’un évènement redouté) ont été retrouvés. Synthèse sur l’activité de validation de modèles Si la comparaison entre les résultats fournis par le modèle AltaRica et ceux issus des analyses de sécurité actuelle est sans aucun doute pertinente pour s’assurer qu’il est possible de retrouver les résultats des arbres de défaillance grâce aux modèles AltaRica, elle ne suffit pas pour s’assurer que l’implémentation du modèle soit valide. Il faut en effet s’assurer que le comportement interne du modèle décrive correctement le système que le modèle est censé décrire. Dans cette optique, nous avons proposé un processus de validation de modèles AltaRica fondé sur la simulation d’un jeu de tests et sur l’observation des parties du modèle éprouvées par ce jeu de tests. Des critères de couverture, inspirés du génie logiciel, ont été définis et une implémentation de ces critères est proposé de façon à observer leur satisfaction directement sur le modèle AltaRica considéré. En pratique, l’accent est mis sur la validation d’un composant AltaRica unitaire. La philosophie est de modifier le code AltaRica du composant à valider en y insérant des variables d’état booléennes supplémentaires appelées « drapeaux » et représentant pour chacune d’entre elle une portion du code AltaRica implémentant le comportement du composant. Ces variables d’état sont initialisées à la valeur fausse et deviendront vraies au fur à mesure que les scénarios de test simulés éprouveront des portions du modèle. En visionnant, à la fin de la simulation, la valeur des drapeaux, nous serons en mesure de connaître les parties éprouvées du modèle et celles ne l’étant pas. Discussion / perspectives La démarche décrite dans ce mémoire permet ainsi à la fois de couvrir la mise en place d’un processus rigoureux de modélisation en langage AltaRica et d’assister les activités de test sur le modèle pour évaluer l’efficacité de celles-ci. Les perspectives de ces travaux sont nombreuses. Certaines sont décrites ci-dessous. 1. La première perspective et selon nous une des plus importantes concerne l’outillage du processus de validation proposé au chapitre 4. En effet et aujourd’hui, le processus décrit est réalisé de manière manuelle. Une utilisation de l’approche à l’échelle industrielle est ainsi à l’heure actuelle hors de propos. Différents outils supportant l’approche peuvent et selon nous doivent être mis en place.
Page 1 and 2:
THÈSE En vue de l'obtention du DOC
Page 4 and 5:
Table des matières Liste des abré
Page 6 and 7:
Table des figures 1.1 Indicateurs S
Page 8:
Liste des tableaux 1.1 Critère de
Page 12 and 13:
Remerciements Fin de l’étape. ..
Page 14 and 15:
3 que du jus de carotte, même si j
Page 16 and 17:
Introduction L’objectif de cette
Page 18 and 19:
7 l’efficacité de ces activités
Page 20:
Chapitre 1 Concepts généraux auto
Page 23 and 24:
12 Chapitre 1. Concepts généraux
Page 25 and 26:
Page 27 and 28:
Page 29 and 30:
Page 31 and 32:
Page 33 and 34:
Page 35 and 36:
Page 37 and 38:
Page 39 and 40:
Page 42 and 43:
Bien que les arbres de défaillance
Page 44 and 45:
2.2 Syntaxe du langage AltaRica OCA
Page 46 and 47:
Page 48 and 49:
Page 50 and 51:
Page 52 and 53:
2.3 Sémantique du langage AltaRica
Page 54 and 55:
Page 56 and 57:
Page 58 and 59:
Page 60 and 61:
2.4 Outils pour la construction et
Page 62 and 63:
2.5 Autres langages pour la réalis
Page 64 and 65:
2.5 Autres langages pour la réalis
Page 66:
Chapitre 3 Vers une méthodologie u
Page 69 and 70:
58 Chapitre 3. Vers une méthodolog
Page 71 and 72:
Page 73 and 74:
Page 75 and 76:
Page 77 and 78:
Page 79 and 80:
Page 81 and 82:
Page 83 and 84:
Page 85 and 86:
Page 87 and 88:
Page 89 and 90:
Page 91 and 92:
Page 93 and 94:
Page 95 and 96:
Page 97 and 98:
Page 99 and 100:
Page 101 and 102:
Page 103 and 104:
Page 105 and 106:
Page 107 and 108:
Page 109 and 110:
Page 112:
Chapitre 4 Processus pour la valida
Page 115 and 116: 104 Chapitre 4. Processus pour la v
Page 150 and 151: « Plutôt que de répéter sans ce
Page 152 and 153: 5.1 Bilan de l’activité de modé
Page 154 and 155: 5.1 Bilan de l’activité de modé
Page 156 and 157: 5.2 Bilan de l’activité de valid
Page 158 and 159: 5.2 Bilan de l’activité de valid
Page 160 and 161: 5.3 Accent sur quelques avantages d
Page 162 and 163: 5.4 Quelques bonnes pratiques recom
Page 164: 5.5 Retours sur quelques difficult
Page 170: Index AltaRica Assertion, 37 Évèn
Page 173 and 174: 162 Bibliographie [14] Matthias Bie
Page 175 and 176: 164 Bibliographie [47] Jeff Offutt,
Page 177: Résumé Pour certifier un système
show all

Méthodes pour la validation de modèles formels pour la ... - ISAE

Create successful ePaper yourself

Delete template?

Save as template?