Méthodes pour la validation de modèles formels pour la ... - ISAE

More documents

Recommendations

Info

1.4 Processus de développement d’un système aéronautique et démonstration de sa sécurité 17 1.3.1.3 Disponibilité Selon la norme NF X 60-500 [44], la disponibilité est « l’aptitude d’une entité à être en état d’accomplir une fonction requise dans des conditions données, à un instant donné ou pendant un intervalle de temps donné, en supposant que la fourniture des moyens extérieurs nécessaires de maintenance soit assurée ». Notons que par rapport à la fiabilité, cette notion de disponibilité est une notion instantanée : l’entité peut potentiellement avoir été défaillante puis réparée dans l’intervalle ]0, t[. Ce qui importe pour la disponibilité est que l’entité remplisse correctement sa fonction au moment où le besoin est exprimé par l’utilisateur. Mathématiquement, la disponibilité se définit comme la probabilité que l’entité ne soit pas défaillante à l’instant t : D(t) = P (E non défaillante à l’instant t) 1.3.1.4 Sécurité La sécurité est « l’aptitude d’une entité à ne pas causer de dommages dans des conditions données ou à ne pas faire apparaître, dans des conditions données, des évènements critiques ou catastrophiques ». En d’autres termes, la sécurité est l’état dans lequel le risque de dommages corporels ou matériels est limité à un risque acceptable. Remarquons ici et pour fixer les choses que l’emploi de la notion de « sûreté »est parfois très proche de celui de la notion de « sécurité ». Le sens que nous utiliserons est à rapprocher du terme anglais « safety » (au détriment de « security »). Nous utiliserons donc le terme « sécurité » dans le sens de l’innocuité de l’entité E pour son environnement. Pour reprendre [42], un apport essentiel de la Sûreté de Fonctionnement est « d’intégrer la sécurité aux notions de fiabilité, de maintenabilité et de disponibilité dans une approche globale ». 1.3.2 Quelques indicateurs Sont présentés ici quelques indicateurs permettant de mesurer la « performance » (ici, performance est à entendre au sens de la Sûreté de Fonctionnement) de l’entité étudiée. La figure 1.1 a pour vocation de présenter de manière graphique ces différents indicateurs. MTTF (Mean Time to Failure) : Temps moyen de fonctionnement avant la première défaillance ; MTTR (Mean Time to Repair) : Temps moyen de remise en service ; MTBF (Mean Time Between Failure) : Temps moyen entre deux défaillances ; MUT (Mean Up Time) : Temps moyen des durées de disponibilité (après réparation) ; MDT (Mean Down Time) : Temps moyen des durées d’indisponibilité (suite aux défaillances). 1.4 Processus de développement d’un système aéronautique et démonstration de sa sécurité Rappelons ici que le domaine d’application du travail présenté dans ce mémoire est le domaine aéronautique. Nous parlerons donc ici d’évaluation de la Sûreté de Fonctionnement d’un système complexe aéronautique et du processus décrit dans l’ARP (Aerospace Recommended Practice) 4754 [59]. En lien avec cette ARP, l’ARP 4761 [60] fournit un guide de méthodes et de techniques d’évaluation de la sécurité recommandées pour étudier de tels systèmes complexes.
18 Chapitre 1. Concepts généraux autour de la SdF MTTF MTBF MDT MUT MTTR Réparation t t=0 D1 Reprise D2 Figure 1.1 – Indicateurs SdF D i : Défaillance i, Reprise : Reprise du service 1.4.1 Introduction Il est courant et fondamental dans le domaine aéronautique de parler de certification. Nous retiendrons que la certification est la démonstration « légale » devant des autorités dites de certification qu’un produit est sûr pour lui même et pour son environnement. Divers standards aéronautiques (e.g. ARP 4754, ARP 4761 [59, 60]) visent à guider cette phase de certification en indiquant des pratiques communément admises comme conformes pour assurer le fonctionnement sûr d’un système. Ainsi, l’application de l’ARP 4761 [60] est recommandée pour démontrer la sécurité d’un système. Le processus défini dans ce guide décrit une méthodologie composée de plusieurs étapes, de la définition des objectifs à tenir par le système jusqu’aux analyses qualitatives et quantitatives justifiant la tenue de ces objectifs. Concernant les objectifs à tenir par le système, ceux-ci sont de deux types : des exigences de sécurité pour lutter contre les potentielles défaillances du système (pendant sa phase d’exploitation) ; des exigences concernant la rigueur à adopter pendant le développement du système pour prévenir d’éventuelles erreurs de conception. Pour adresser ce type d’exigences, le processus d’analyse de la sécurité d’un système commence par une analyse fonctionnelle des dangers (FHA pour Functional Hazard Assessment) auxquels le système est susceptible d’être soumis. Cette analyse permet de fixer les objectifs de sécurité que le système et ses sous-systèmes se devront d’atteindre. Pour cela, l’approche consiste à décliner, à chaque niveau de détail, les objectifs de sécurité du niveau N au niveau N − 1. Parallèlement à cette FHA, des exigences sont allouées aux fonctions réalisées par le système pour limiter les erreurs potentiellement introduites lors de la phase de conception de ces fonctions. Ensuite, une évaluation préliminaire de la sécurité du système (PSSA pour Preliminary System Safety Assessment) permet, en fixant des hypothèses sur le système, d’évaluer sa sécurité et de s’assurer que son architecture puisse remplir les objectifs identifiés par la FHA. Enfin et une fois l’architecture figée, une évaluation de la sécurité du système (SSA pour System Safety Assessment) vérifie si les objectifs sont tenus par l’architecture. La suite de cette section a pour vocation de présenter plus en détails les différentes étapes de ce processus. 1.4.2 Identification des exigences de sécurité 1.4.2.1 Analyse fonctionnelle des dangers L’analyse fonctionnelle des dangers (i.e. la FHA) consiste à identifier les conditions de défaillance affectant la sécurité de l’aéronef et à les classifier en fonction de la gravité de leurs effets.
Page 1 and 2: THÈSE En vue de l'obtention du DOC
Page 4 and 5: Table des matières Liste des abré
Page 6 and 7: Table des figures 1.1 Indicateurs S
Page 8: Liste des tableaux 1.1 Critère de
Page 12 and 13: Remerciements Fin de l’étape. ..
Page 14 and 15: 3 que du jus de carotte, même si j
Page 16 and 17: Introduction L’objectif de cette
Page 18 and 19: 7 l’efficacité de ces activités
Page 20: Chapitre 1 Concepts généraux auto
Page 23 and 24: 12 Chapitre 1. Concepts généraux
Page 27: 16 Chapitre 1. Concepts généraux
Page 42 and 43: Bien que les arbres de défaillance
Page 44 and 45: 2.2 Syntaxe du langage AltaRica OCA
Page 52 and 53: 2.3 Sémantique du langage AltaRica
Page 60 and 61: 2.4 Outils pour la construction et
Page 62 and 63: 2.5 Autres langages pour la réalis
Page 64 and 65: 2.5 Autres langages pour la réalis
Page 66: Chapitre 3 Vers une méthodologie u
Page 69 and 70: 58 Chapitre 3. Vers une méthodolog
Page 79 and 80:
68 Chapitre 3. Vers une méthodolog
Page 81 and 82:
Page 83 and 84:
Page 85 and 86:
Page 87 and 88:
Page 89 and 90:
Page 91 and 92:
Page 93 and 94:
Page 95 and 96:
Page 97 and 98:
Page 99 and 100:
Page 101 and 102:
Page 103 and 104:
Page 105 and 106:
Page 107 and 108:
Page 109 and 110:
Page 112:
Chapitre 4 Processus pour la valida
Page 115 and 116:
104 Chapitre 4. Processus pour la v
Page 117 and 118:
Page 119 and 120:
Page 121 and 122:
Page 123 and 124:
Page 125 and 126:
Page 127 and 128:
Page 129 and 130:
Page 131 and 132:
Page 133 and 134:
Page 135 and 136:
Page 137 and 138:
Page 139 and 140:
Page 141 and 142:
Page 143 and 144:
Page 145 and 146:
Page 147 and 148:
Page 150 and 151:
« Plutôt que de répéter sans ce
Page 152 and 153:
5.1 Bilan de l’activité de modé
Page 154 and 155:
5.1 Bilan de l’activité de modé
Page 156 and 157:
5.2 Bilan de l’activité de valid
Page 158 and 159:
5.2 Bilan de l’activité de valid
Page 160 and 161:
5.3 Accent sur quelques avantages d
Page 162 and 163:
5.4 Quelques bonnes pratiques recom
Page 164:
5.5 Retours sur quelques difficult
Page 167 and 168:
156 Conclusion Cette représentatio
Page 170:
Index AltaRica Assertion, 37 Évèn
Page 173 and 174:
162 Bibliographie [14] Matthias Bie
Page 175 and 176:
164 Bibliographie [47] Jeff Offutt,
Page 177:
Résumé Pour certifier un système
show all

Méthodes pour la validation de modèles formels pour la ... - ISAE

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?