Méthodes pour la validation de modèles formels pour la ... - ISAE

More documents

Recommendations

Info

Cette partie a pour vocation d’introduire, de rappeler et/ou de présenter certains concepts d’ordre général autour de la Sûreté de Fonctionnement et de ces études. Nous tenterons par exemple de présenter cette notion de Sûreté de Fonctionnement, ses origines, ses objectifs et ses méthodes. Nous présenterons la notion de défaillance que nous serons amenés à utiliser dans la suite de ce mémoire. Étant donné notre positionnement dans le domaine aéronautique, nous présenterons également le processus classique de développement et d’évaluation de la sécurité d’un système aéronautique. Enfin et avant de préparer la transition vers la section suivante, nous présenterons des méthodes couramment utilisées lors de l’évaluation de la Sûreté de Fonctionnement d’un système : les arbres de défaillance, les graphes de Markov et les Réseaux de Petri. 1.1 Vers la notion de Sûreté de Fonctionnement 1.1.1 Une philosophie : prévoir le pire... Avant de parler de Sûreté de Fonctionnement, un état d’esprit relativement satisfaisant est celui dicté par les lois de Murphy (lois pouvant potentiellement être davantage connues sous le nom de « loi de l’empoisonnement maximum »). Le principe de telles lois est on ne peut plus simple : tout ce qui peut aller mal ira mal, souvent, au moment le plus inopportun et le plus préjudiciable... En particulier : – si plus d’une chose peut aller mal, celle qui ira mal est celle qui peut avoir la conséquence la plus catastrophique ; – un défaut caché se révèlera dans les pires circonstances possibles ; – toute tâche qui peut être accomplie d’une manière incorrecte sera un jour accomplie de cette manière. Prédire le pire est en général ce qu’il y a de mieux... à défaut de plus conservatif. La vision peut sembler assez fataliste mais elle a l’immense avantage d’induire un instinct de prudence vis-à-vis des dangers 1 auxquels toute entité est confrontée. Pour appuyer cette vision des choses, Sun Tse exprimait dans son Art de la guerre que « celui qui, prudent, se prépare à affronter l’ennemi qui n’est pas encore ; celui là même sera victorieux. Tirer prétexte de sa rusticité et ne pas prévoir est le plus grand des crimes ; être prêt et en dehors de toute contingence est la plus grande des vertus ». Ce discours, à l’origine présenté pour des motivations belliqueuses, exprime de manière assez juste le bénéfice que l’on peut tirer à identifier les dangers avant que ceux-ci n’apparaissent. Une attitude naturelle est alors de vouloir identifier ces dangers, d’en prévenir les causes et d’en mitiger les conséquences... Une attitude naturelle est alors de vouloir maîtriser les risques qui nous entourent. 1. Situation, condition ou pratique qui comporte en elle-même un potentiel à causer des dommages.
12 Chapitre 1. Concepts généraux autour de la SdF 1.1.2 Notion de risque Cette section vise à introduire la notion de risque et expliciter pourquoi maîtriser les risques est de nos jours une activité indispensable. Intuitivement tout d’abord, le risque peut être défini comme l’exposition du système considéré à un ou plusieurs dangers. Lorsque le système et le danger se rencontrent, c’est l’accident ! Selon l’ARP 4754 (Aerospace Recommanded Practice) [59] (section 1.4), le risque est « la fréquence (probabilité) d’une occurrence et le niveau de gravité associé ». Le risque peut donc être vu comme une mesure de l’effet d’un aléa sur une entité. . Risque = P robabilité × Gravité Cette notion de risque est donc un concept intrinsèque à tout système. En effet, tout système est susceptible d’être potentiellement soumis à un ou plusieurs aléas entraînant la perte des objectifs fixés préalablement. Les conséquences de l’occurrence d’un aléa peuvent donc être catastrophiques de plusieurs points de vue : matériel, économique, environnemental.... Maîtriser ces risques doit donc être une préoccupation majeure de tous ceux impliqués dans le cycle de développement d’un système. Une autre justification du besoin de maîtriser les risques peut être trouvée dans la notion de confiance à accorder dans le produit utilisé. Cette notion de confiance paraît fondamentale aujourd’hui tant l’utilisation d’un système, d’un produit est dépendante de l’image qu’il renvoie. Au cours du temps, la recherche de la sécurité a évolué mais est restée une attitude naturelle de l’homme. [7] montre que si pendant longtemps, la notion de risque fut considérée comme une fatalité divine, on préfère aujourd’hui considérer un risque maîtrisé et ainsi revendiquer et profiter du droit à la sécurité. La notion de risque est donc fatalement liée à la notion de confiance, indispensable de nos jours pour convaincre de l’utilisation sûre d’un système. Les concepts de risque et de maîtrise des risques sont donc sujets à plusieurs interprétations selon le domaine dans lequel on se place. On pourra citer notamment et de manière non exhaustive les risques financiers, les risques environnementaux ou les risques industriels. Dans chacun de ces domaines les enjeux et les problématiques liés à la maîtrise des risques différent profondément. Nous nous focaliserons ici sur les risques d’un système aéronautique de transport. Dans un tel système et selon le document CS-25 1309 [28], les critères d’évaluation du risque d’une occurrence sont : – le degré de réduction des marges de sécurité de l’aéronef ; – le degré d’augmentation de la charge de travail de l’équipage (en particulier du ou des pilotes) suite à l’occurrence ; – la possibilité de subir des dommages matériels plus ou moins importants ; – la possibilité d’avoir des blessures plus ou moins graves pouvant aller jusqu’au décès. Nous utiliserons ces différents critères d’évaluation de risque lors de l’identification des exigences de sécurité dans la section 1.4.2. 1.1.3 Sûreté de Fonctionnement ... Prédire le pire est en général ce qu’il y a de mieux... L’objectif ultime de la Sûreté de Fonctionnement pourrait donc être de tout prévoir, tout imaginer des dysfonctionnements potentiels d’une entité. Ambitieux... Pour préciser le terme de Sûreté de Fonctionnement donnons différentes définitions complémentaires.
Page 1 and 2: THÈSE En vue de l'obtention du DOC
Page 4 and 5: Table des matières Liste des abré
Page 6 and 7: Table des figures 1.1 Indicateurs S
Page 8: Liste des tableaux 1.1 Critère de
Page 12 and 13: Remerciements Fin de l’étape. ..
Page 14 and 15: 3 que du jus de carotte, même si j
Page 16 and 17: Introduction L’objectif de cette
Page 18 and 19: 7 l’efficacité de ces activités
Page 20: Chapitre 1 Concepts généraux auto
Page 25 and 26: 14 Chapitre 1. Concepts généraux
Page 42 and 43: Bien que les arbres de défaillance
Page 44 and 45: 2.2 Syntaxe du langage AltaRica OCA
Page 52 and 53: 2.3 Sémantique du langage AltaRica
Page 60 and 61: 2.4 Outils pour la construction et
Page 62 and 63: 2.5 Autres langages pour la réalis
Page 64 and 65: 2.5 Autres langages pour la réalis
Page 66: Chapitre 3 Vers une méthodologie u
Page 69 and 70: 58 Chapitre 3. Vers une méthodolog
Page 71 and 72:
60 Chapitre 3. Vers une méthodolog
Page 73 and 74:
Page 75 and 76:
Page 77 and 78:
Page 79 and 80:
Page 81 and 82:
Page 83 and 84:
Page 85 and 86:
Page 87 and 88:
Page 89 and 90:
Page 91 and 92:
Page 93 and 94:
Page 95 and 96:
Page 97 and 98:
Page 99 and 100:
Page 101 and 102:
Page 103 and 104:
Page 105 and 106:
Page 107 and 108:
Page 109 and 110:
Page 112:
Chapitre 4 Processus pour la valida
Page 115 and 116:
104 Chapitre 4. Processus pour la v
Page 117 and 118:
Page 119 and 120:
Page 121 and 122:
Page 123 and 124:
Page 125 and 126:
Page 127 and 128:
Page 129 and 130:
Page 131 and 132:
Page 133 and 134:
Page 135 and 136:
Page 137 and 138:
Page 139 and 140:
Page 141 and 142:
Page 143 and 144:
Page 145 and 146:
Page 147 and 148:
Page 150 and 151:
« Plutôt que de répéter sans ce
Page 152 and 153:
5.1 Bilan de l’activité de modé
Page 154 and 155:
5.1 Bilan de l’activité de modé
Page 156 and 157:
5.2 Bilan de l’activité de valid
Page 158 and 159:
5.2 Bilan de l’activité de valid
Page 160 and 161:
5.3 Accent sur quelques avantages d
Page 162 and 163:
5.4 Quelques bonnes pratiques recom
Page 164:
5.5 Retours sur quelques difficult
Page 167 and 168:
156 Conclusion Cette représentatio
Page 170:
Index AltaRica Assertion, 37 Évèn
Page 173 and 174:
162 Bibliographie [14] Matthias Bie
Page 175 and 176:
164 Bibliographie [47] Jeff Offutt,
Page 177:
Résumé Pour certifier un système
show all

Méthodes pour la validation de modèles formels pour la ... - ISAE

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?