Méthodes pour la validation de modèles formels pour la ... - ISAE
Méthodes pour la validation de modèles formels pour la ... - ISAE
Méthodes pour la validation de modèles formels pour la ... - ISAE
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
156 Conclusion<br />
Cette représentation est nommée « spécification » et est un support facilitant <strong>la</strong> compréhension<br />
<strong>de</strong>s informations qui seront codées. Cette spécification <strong>pour</strong>ra également être un<br />
efficace support <strong>de</strong> discussion lors <strong>de</strong> revues du modèle par quiconque ne connaît pas le<br />
<strong>la</strong>ngage AltaRica.<br />
Concernant l’application pratique <strong>de</strong> <strong>la</strong> méthodologie proposée, <strong>de</strong>s bibliothèques ont été<br />
construites en <strong>la</strong>ngage AltaRica et permettent <strong>la</strong> modélisation <strong>de</strong>s propagations <strong>de</strong> défail<strong>la</strong>nce au<br />
sein <strong>de</strong> et entre les différents sous-systèmes d’un turbomoteur d’hélicoptère. Cinq bibliothèques <strong>de</strong><br />
noeuds AltaRica ont été construites et permettent <strong>de</strong> modéliser <strong>la</strong> majeure partie d’un turbomoteur<br />
d’hélicoptère (circuit carburant, circuit <strong>de</strong> transmission mécanique, circuit <strong>de</strong> lubrification, circuit<br />
d’air principal et système <strong>de</strong> surveil<strong>la</strong>nce moteur). Trois évènements redoutés (sur les seize que<br />
comporte une analyse actuelle <strong>de</strong> sécurité) ont été évalués sur ces <strong>modèles</strong> AltaRica et les résultats<br />
obtenus comparés avec ceux <strong>de</strong>s analyses <strong>de</strong> sécurité actuelles (<strong>de</strong> type arbre <strong>de</strong> défail<strong>la</strong>nce). À<br />
périmètre modèle - arbres équivalent, les résultats qualitatifs (coupes minimales) et quantitatifs<br />
(probabilités d’occurrence d’un évènement redouté) ont été retrouvés.<br />
Synthèse sur l’activité <strong>de</strong> <strong>validation</strong> <strong>de</strong> <strong>modèles</strong><br />
Si <strong>la</strong> comparaison entre les résultats fournis par le modèle AltaRica et ceux issus <strong>de</strong>s analyses<br />
<strong>de</strong> sécurité actuelle est sans aucun doute pertinente <strong>pour</strong> s’assurer qu’il est possible <strong>de</strong> retrouver<br />
les résultats <strong>de</strong>s arbres <strong>de</strong> défail<strong>la</strong>nce grâce aux <strong>modèles</strong> AltaRica, elle ne suffit pas <strong>pour</strong> s’assurer<br />
que l’implémentation du modèle soit vali<strong>de</strong>. Il faut en effet s’assurer que le comportement interne<br />
du modèle décrive correctement le système que le modèle est censé décrire. Dans cette optique,<br />
nous avons proposé un processus <strong>de</strong> <strong>validation</strong> <strong>de</strong> <strong>modèles</strong> AltaRica fondé sur <strong>la</strong> simu<strong>la</strong>tion d’un<br />
jeu <strong>de</strong> tests et sur l’observation <strong>de</strong>s parties du modèle éprouvées par ce jeu <strong>de</strong> tests. Des critères<br />
<strong>de</strong> couverture, inspirés du génie logiciel, ont été définis et une implémentation <strong>de</strong> ces critères est<br />
proposé <strong>de</strong> façon à observer leur satisfaction directement sur le modèle AltaRica considéré.<br />
En pratique, l’accent est mis sur <strong>la</strong> <strong>validation</strong> d’un composant AltaRica unitaire. La philosophie<br />
est <strong>de</strong> modifier le co<strong>de</strong> AltaRica du composant à vali<strong>de</strong>r en y insérant <strong>de</strong>s variables d’état<br />
booléennes supplémentaires appelées « drapeaux » et représentant <strong>pour</strong> chacune d’entre elle une<br />
portion du co<strong>de</strong> AltaRica implémentant le comportement du composant. Ces variables d’état sont<br />
initialisées à <strong>la</strong> valeur fausse et <strong>de</strong>viendront vraies au fur à mesure que les scénarios <strong>de</strong> test simulés<br />
éprouveront <strong>de</strong>s portions du modèle. En visionnant, à <strong>la</strong> fin <strong>de</strong> <strong>la</strong> simu<strong>la</strong>tion, <strong>la</strong> valeur <strong>de</strong>s<br />
drapeaux, nous serons en mesure <strong>de</strong> connaître les parties éprouvées du modèle et celles ne l’étant<br />
pas.<br />
Discussion / perspectives<br />
La démarche décrite dans ce mémoire permet ainsi à <strong>la</strong> fois <strong>de</strong> couvrir <strong>la</strong> mise en p<strong>la</strong>ce<br />
d’un processus rigoureux <strong>de</strong> modélisation en <strong>la</strong>ngage AltaRica et d’assister les activités <strong>de</strong> test sur<br />
le modèle <strong>pour</strong> évaluer l’efficacité <strong>de</strong> celles-ci. Les perspectives <strong>de</strong> ces travaux sont nombreuses.<br />
Certaines sont décrites ci-<strong>de</strong>ssous.<br />
1. La première perspective et selon nous une <strong>de</strong>s plus importantes concerne l’outil<strong>la</strong>ge du<br />
processus <strong>de</strong> <strong>validation</strong> proposé au chapitre 4. En effet et aujourd’hui, le processus décrit<br />
est réalisé <strong>de</strong> manière manuelle. Une utilisation <strong>de</strong> l’approche à l’échelle industrielle est ainsi<br />
à l’heure actuelle hors <strong>de</strong> propos. Différents outils supportant l’approche peuvent et selon<br />
nous doivent être mis en p<strong>la</strong>ce.