Méthodes pour la validation de modèles formels pour la ... - ISAE

157
– Un outil permettant la prise en compte automatique des différents critères de couverture
définis. Grâce à un tel outil, plutôt que d’implémenter de manière manuelle les
différents drapeaux proposés en section 4.6, ceux-ci seraient implémentés automatiquement
dans le modèle AltaRica. Une modification du critère sélectionné entraînerait
alors une modification des drapeaux implémentés.
– Un outil permettant de simuler de manière automatique les différents scénarios de test
issus d’une spécification de référence. Si Cecilia TM OCAS possède déjà un outil capable
de simuler un ensemble de séquences sur le modèle, un tel outil devrait dans l’idéal
être capable de comparer le résultat attendu et celui obtenu, identifier les différents
drapeaux activés durant la simulation ou indiquer à l’utilisateur si un scénario ne devant
pas être exécutable ne l’est effectivement pas.
– la liste n’est sans doute pas exhaustive...
2. En se situant à bas niveau et en s’intéressant à l’abstraction des phénomènes physiques
qu’engendrent les défaillances, la création des bibliothèques AltaRica fournit une importante
base de données capitalisant les connaissances fonctionnelles et dysfonctionnelles sur les
composants des systèmes. Plus qu’un simple support pour les analyses de sécurité, le modèle
AltaRica peut alors être envisagé comme un support pour quiconque veut aborder de manière
graphique et interactive les aspects dysfonctionnels d’un système. Dans ce sens, [51] utilise
un modèle AltaRica dans l’intention d’entraîner un pilote au fonctionnement du système
carburant d’un avion. Le pilote peut alors simuler des actions pouvant être exécutées en vol
et visionner les conséquences de celles-ci sur le modèle.
3. Une autre perspective liée à l’utilisation d’une modélisation à bas niveau se situe dans
la possibilité d’envisager de faire de l’aide à la détection de panne. Imaginons un modèle
AltaRica bas niveau comportant différents voyants présents sur un cockpit d’hélicoptère.
Grâce à un tel modèle, il est possible d’imaginer une génération des scénarios conduisant à
l’allumage de plusieurs de ces voyants. Les scénarios obtenus pourraient alors potentiellement
être un départ intéressant pour identifier la cause de ces allumages...
4. Une autre problématique qui devra sans aucun doute être traitée dans de futurs travaux est
celle de l’intégration entre elles de différentes analyses de sécurité dont certaines d’entreelles
seraient potentiellement formalisées sous forme de modèles AltaRica. Comment intégrer
l’évaluation de la sécurité du moteur dans celle de l’aéronef ? Comment intégrer les analyses
de sécurité des équipements du moteur (réalisés par des fournisseurs extérieur) dans celle
du moteur ?
Différents cas de figure peuvent être observés si l’on s’intéresse à l’intégration de l’analyse
de sécurité d’un système A au sein de l’analyse de sécurité d’un système B (on suppose
connu ici l’intégration d’un arbre de défaillance au sein d’un autre arbre de défaillance).
– Analyse de sécurité de A sous forme de modèle AltaRica / Analyse de sécurité de B
sous forme de modèle AltaRica : il faut s’assurer que les deux modèles puissent être
connectés entre eux (que les interfaces de A et de B permettent cette connexion).
– Analyse de sécurité de A sous forme de modèle AltaRica / Analyse de sécurité de B
sous forme d’arbre de défaillance : ici, une piste à explorer serait de générer des arbres
de défaillance à partir du modèle de A et d’intégrer ces arbres dans ceux de B. Si
la génération d’arbre de défaillance est impossible à partir du modèle AltaRica de A
(modèle bouclé), une autre piste à explorer serait d’évaluer l’occurrence d’évènement
de A puis d’intégrer ces évènements dans les arbres de B sous forme d’évènement
terminaux. Les hypothèses à prendre en compte seraient à étudier.
– Analyse de sécurité de A sous forme d’arbre de défaillance / Analyse de sécurité de B
sous forme de modèle AltaRica : perspectives à étudier...