Méthodes pour la validation de modèles formels pour la ... - ISAE
Méthodes pour la validation de modèles formels pour la ... - ISAE
Méthodes pour la validation de modèles formels pour la ... - ISAE
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
Résumé<br />
Pour certifier un système aéronautique, <strong>de</strong>s étu<strong>de</strong>s <strong>de</strong> Sûreté <strong>de</strong> Fonctionnement (SdF) visent<br />
à démontrer qu’il répond à <strong>de</strong>s exigences <strong>de</strong> sécurité <strong>de</strong> haut niveau. La complexité <strong>de</strong>s systèmes<br />
étudiés ayant évolué, les exigences à démontrer <strong>de</strong>venant toujours plus nombreuses, les analyses<br />
actuelles (e.g. arbre <strong>de</strong> défail<strong>la</strong>nce) peuvent aujourd’hui présenter <strong>de</strong>s limites d’utilisation.<br />
Pour aller à l’encontre <strong>de</strong> ces limites, l’Ingénierie Dirigée par les Modèles s’est développée<br />
et s’intéresse aux étu<strong>de</strong>s <strong>de</strong> SdF. L’objectif est alors <strong>de</strong> 1) modéliser dans un <strong>la</strong>ngage adapté (le<br />
<strong>la</strong>ngage AltaRica a ici été utilisé) les comportements fonctionnels et dysfonctionnels d’un système<br />
et <strong>de</strong> ses composants en présence <strong>de</strong> défail<strong>la</strong>nces, 2) s’assurer que le modèle est une abstraction<br />
vali<strong>de</strong> du système réel et 3) vérifier <strong>la</strong> tenue <strong>de</strong>s exigences du système par le modèle.<br />
Les travaux effectués dans cette thèse se sont intéressés aux <strong>de</strong>ux premiers points. Une<br />
méthodologie a été proposée <strong>pour</strong> spécifier l’abstraction du comportement <strong>de</strong> composants <strong>de</strong><br />
systèmes multi physiques. Des bibliothèques AltaRica ont été réalisées <strong>pour</strong> modéliser <strong>de</strong>s soussystèmes<br />
d’un turbomoteur d’hélicoptère. Les résultats obtenus via le modèle ont été comparés<br />
avec ceux <strong>de</strong>s analyses existantes <strong>de</strong> SdF. Pour les projets futurs où celles-ci ne seraient plus<br />
disponibles, un processus <strong>de</strong> <strong>validation</strong> a été proposé <strong>pour</strong> caractériser le <strong>de</strong>gré <strong>de</strong> revue atteint<br />
lors <strong>de</strong> <strong>la</strong> simu<strong>la</strong>tion d’un jeu <strong>de</strong> tests sur le modèle. Inspiré du « génie logiciel », ce processus<br />
s’étend sur trois niveaux <strong>de</strong> <strong>validation</strong> (unitaire ; intégration <strong>de</strong>s composants ; modèle complet) et<br />
propose <strong>de</strong>s critères <strong>de</strong> couvertures applicables et mesurables sur un modèle AltaRica.<br />
Abstract<br />
To certify an aeronautical system, safety studies aim to <strong>de</strong>monstrate several requirements<br />
on this system. Because of the increasing complexity of systems and of the growing number of<br />
requirements, c<strong>la</strong>ssical studies (such as Fault Tree Analysis) have shown limits.<br />
To overcome these limits, Mo<strong>de</strong>l-Driven Engineering, initially <strong>de</strong>veloped for software systems,<br />
<strong>de</strong>als nowadays with the achievement of safety analyses. The <strong>de</strong>velopment process of a mo<strong>de</strong>l can<br />
be divi<strong>de</strong>d into three main parts : 1) Mo<strong>de</strong>lling activities : system components and their behaviours<br />
are <strong>de</strong>scribed in an adapted formal <strong>la</strong>nguage (in the thesis, AltaRica has been used) ; 2) Validation<br />
of the mo<strong>de</strong>l : ensuring the mo<strong>de</strong>l is a valid abstraction of the real system ; 3) Verification of the<br />
mo<strong>de</strong>l : checking if the system requirements are satisfied by the mo<strong>de</strong>l.<br />
The two first points have been addressed during this thesis. A methodology (for different<br />
kinds of physical systems) has been proposed to specify AltaRica libraries. Some sub-systems of a<br />
turboshaft engine have been mo<strong>de</strong>lled. The results given by the mo<strong>de</strong>ls were compared with the<br />
results extracted from c<strong>la</strong>ssical safety analyses. For future projects, where these analyses won’t be<br />
avai<strong>la</strong>ble anymore, a <strong>validation</strong> process aims at giving a coverage measure of a test set simu<strong>la</strong>ted<br />
on the mo<strong>de</strong>l. Inspired from several works about software testing, this <strong>validation</strong> process is divi<strong>de</strong>d<br />
in three levels (unit testing to validate the AltaRica library, integration testing to validate the<br />
I/O of components, system testing to validate the global mo<strong>de</strong>l) and gives some coverage criteria<br />
which can be used and measured on the AltaRica mo<strong>de</strong>l.