Méthodes pour la validation de modèles formels pour la ... - ISAE

Méthodes pour la validation de modèles formels pour la sûreté de fonctionnement
et extension aux problèmes multi-physiques
Pour certifier un système aéronautique, des études de Sûreté de Fonctionnement (SdF) visent à démontrer
qu’il répond à des exigences de sécurité de haut niveau. La complexité des systèmes étudiés ayant évolué,
les exigences à démontrer devenant toujours plus nombreuses, les analyses actuelles (e.g. arbre de
défaillance) peuvent aujourd’hui présenter des limites d’utilisation.
Pour aller à l’encontre de ces limites, l’Ingénierie Dirigée par les Modèles s’est développée et s’intéresse aux
études de SdF. L’objectif est alors de 1) modéliser dans un langage adapté (le langage AltaRica a ici été
utilisé) les comportements fonctionnels et dysfonctionnels d’un système et de ses composants en présence
de défaillances, 2) s’assurer que le modèle est une abstraction valide du système réel et 3) vérifier la tenue
des exigences du système par le modèle.
Les travaux effectués dans cette thèse se sont intéressés aux deux premiers points. Une méthodologie a été
proposée pour spécifier l’abstraction du comportement de composants de systèmes multi physiques. Des
bibliothèques AltaRica ont été réalisées pour modéliser des sous-systèmes d’un turbomoteur
d’hélicoptère. Les résultats obtenus via le modèle ont été comparés avec ceux des analyses existantes de
SdF. Pour les projets futurs où celles-ci ne seraient plus disponibles, un processus de validation a été
proposé pour caractériser le degré de revue atteint lors de la simulation d'un jeu de tests sur le modèle.
Inspiré du « génie logiciel », ce processus s’étend sur trois niveaux de validation (unitaire ; intégration des
composants ; modèle complet) et propose des critères de couvertures applicables et mesurables sur un
modèle AltaRica.
Mots clés : Sûreté de fonctionnement – Modèles formels – Langage AltaRica – Modélisation – Validation –
Couverture de modèles AltaRica – Critère de couverture de modèle AltaRica – Modélisation multi-physique
Methods for the validation of formal models for safety analysis
and extension to multi-physical concerns
To certify an aeronautical system, safety studies aim to demonstrate several requirements on this system.
Because of the increasing complexity of systems and of the growing number of requirements, classical
studies (such as Fault Tree Analysis) have shown limits.
To overcome these limits, Model-Driven Engineering, initially developed for software systems, deals
nowadays with the achievement of safety analyses. The development process of a model can be divided into
three main parts: 1) Modelling activities: system components and their behaviours are described in an
adapted formal language (in the thesis, AltaRica has been used); 2) Validation of the model: ensuring the
model is a valid abstraction of the real system; 3) Verification of the model: checking if the system
requirements are satisfied by the model.
The two first points have been addressed during this thesis. A methodology (for different kinds of physical
systems) has been proposed to specify AltaRica libraries. Some sub-systems of a turboshaft engine have
been modelled. The results given by the models were compared with the results extracted from classical
safety analyses. For future projects, where these analyses won’t be available anymore, a validation process
aims at giving a coverage measure of a test set simulated on the model. Inspired from several works about
software testing, this validation process is divided in three levels (unit testing to validate the AltaRica library,
integration testing to validate the I/O of components, system testing to validate the global model) and gives
some coverage criteria which can be used and measured on the AltaRica model.
Keywords : Dependability – Safety – Formal models – Formal Modelling – AltaRica Language – Models
validation – Coverage of AltaRica models – Coverage criteria for AltaRica models – Multiphysical
modelling