Méthodes pour la validation de modèles formels pour la ... - ISAE
Méthodes pour la validation de modèles formels pour la ... - ISAE
Méthodes pour la validation de modèles formels pour la ... - ISAE
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
18 Chapitre 1. Concepts généraux autour <strong>de</strong> <strong>la</strong> SdF<br />
MTTF<br />
MTBF<br />
MDT<br />
MUT<br />
MTTR<br />
Réparation<br />
t<br />
t=0 D1 Reprise<br />
D2<br />
Figure 1.1 – Indicateurs SdF<br />
D i : Défail<strong>la</strong>nce i, Reprise : Reprise du service<br />
1.4.1 Introduction<br />
Il est courant et fondamental dans le domaine aéronautique <strong>de</strong> parler <strong>de</strong> certification. Nous<br />
retiendrons que <strong>la</strong> certification est <strong>la</strong> démonstration « légale » <strong>de</strong>vant <strong>de</strong>s autorités dites <strong>de</strong> certification<br />
qu’un produit est sûr <strong>pour</strong> lui même et <strong>pour</strong> son environnement. Divers standards aéronautiques<br />
(e.g. ARP 4754, ARP 4761 [59, 60]) visent à gui<strong>de</strong>r cette phase <strong>de</strong> certification en<br />
indiquant <strong>de</strong>s pratiques communément admises comme conformes <strong>pour</strong> assurer le fonctionnement<br />
sûr d’un système.<br />
Ainsi, l’application <strong>de</strong> l’ARP 4761 [60] est recommandée <strong>pour</strong> démontrer <strong>la</strong> sécurité d’un<br />
système. Le processus défini dans ce gui<strong>de</strong> décrit une méthodologie composée <strong>de</strong> plusieurs étapes,<br />
<strong>de</strong> <strong>la</strong> définition <strong>de</strong>s objectifs à tenir par le système jusqu’aux analyses qualitatives et quantitatives<br />
justifiant <strong>la</strong> tenue <strong>de</strong> ces objectifs. Concernant les objectifs à tenir par le système, ceux-ci sont <strong>de</strong><br />
<strong>de</strong>ux types : <strong>de</strong>s exigences <strong>de</strong> sécurité <strong>pour</strong> lutter contre les potentielles défail<strong>la</strong>nces du système<br />
(pendant sa phase d’exploitation) ; <strong>de</strong>s exigences concernant <strong>la</strong> rigueur à adopter pendant le<br />
développement du système <strong>pour</strong> prévenir d’éventuelles erreurs <strong>de</strong> conception.<br />
Pour adresser ce type d’exigences, le processus d’analyse <strong>de</strong> <strong>la</strong> sécurité d’un système commence<br />
par une analyse fonctionnelle <strong>de</strong>s dangers (FHA <strong>pour</strong> Functional Hazard Assessment)<br />
auxquels le système est susceptible d’être soumis. Cette analyse permet <strong>de</strong> fixer les objectifs <strong>de</strong><br />
sécurité que le système et ses sous-systèmes se <strong>de</strong>vront d’atteindre. Pour ce<strong>la</strong>, l’approche consiste<br />
à décliner, à chaque niveau <strong>de</strong> détail, les objectifs <strong>de</strong> sécurité du niveau N au niveau N − 1.<br />
Parallèlement à cette FHA, <strong>de</strong>s exigences sont allouées aux fonctions réalisées par le système <strong>pour</strong><br />
limiter les erreurs potentiellement introduites lors <strong>de</strong> <strong>la</strong> phase <strong>de</strong> conception <strong>de</strong> ces fonctions. Ensuite,<br />
une évaluation préliminaire <strong>de</strong> <strong>la</strong> sécurité du système (PSSA <strong>pour</strong> Preliminary System Safety<br />
Assessment) permet, en fixant <strong>de</strong>s hypothèses sur le système, d’évaluer sa sécurité et <strong>de</strong> s’assurer<br />
que son architecture puisse remplir les objectifs i<strong>de</strong>ntifiés par <strong>la</strong> FHA. Enfin et une fois l’architecture<br />
figée, une évaluation <strong>de</strong> <strong>la</strong> sécurité du système (SSA <strong>pour</strong> System Safety Assessment) vérifie<br />
si les objectifs sont tenus par l’architecture.<br />
La suite <strong>de</strong> cette section a <strong>pour</strong> vocation <strong>de</strong> présenter plus en détails les différentes étapes<br />
<strong>de</strong> ce processus.<br />
1.4.2 I<strong>de</strong>ntification <strong>de</strong>s exigences <strong>de</strong> sécurité<br />
1.4.2.1 Analyse fonctionnelle <strong>de</strong>s dangers<br />
L’analyse fonctionnelle <strong>de</strong>s dangers (i.e. <strong>la</strong> FHA) consiste à i<strong>de</strong>ntifier les conditions <strong>de</strong> défail<strong>la</strong>nce<br />
affectant <strong>la</strong> sécurité <strong>de</strong> l’aéronef et à les c<strong>la</strong>ssifier en fonction <strong>de</strong> <strong>la</strong> gravité <strong>de</strong> leurs effets.