Méthodes pour la validation de modèles formels pour la ... - ISAE

More documents

Recommendations

Info

1.4 Processus de développement d’un système aéronautique et démonstration de sa sécurité 21 1.4.3 Évaluation préliminaire de la sécurité du système - PSSA L’évaluation préliminaire de la sécurité d’un système accompagne la phase de conception du système et a pour objectif de vérifier le plus tôt possible si l’architecture système proposée peut prétendre satisfaire les exigences issues de la FHA. Ainsi, la PSSA est un processus itératif en cela qu’il commence relativement tôt dans le processus de développement de l’architecture système. Ensuite et dans l’idéal, une nouvelle PSSA doit être réalisée à chaque nouvelle architecture et ceci jusqu’à l’obtention de l’architecture finale. Ainsi, le couplage PSSA - FHA tend à nous assurer que l’ensemble des modes de défaillance a été correctement identifié, les exigences correctement déclinées et démontre que le système parviendra à tenir ses exigences. La PSSA nous fournit alors un bon indicateur concernant le niveau de sécurité de l’architecture système et nous fournit les indications nécessaires à sa modification en vue de satisfaire les exigences nouvellement déclinées de celle de haut niveau. Ces exigences sont obtenues grâce à des analyses de type « top-down ». Classiquement, les ARP 4754 et 4761 [59, 60] préconisent l’utilisation des arbres de défaillance. Une fois l’architecture préliminaire de notre système figée et les exigences de plus bas niveau déclinées, la conception détaillée du système est en mesure d’être réalisée. La prochaine étape vise à s’assurer que la conception détaillée conçue est conforme aux exigences issues de la FHA, de la PSSA et de la CCA. 1.4.4 Analyse des causes communes - CCA L’analyse des causes communes (ou CCA pour Common Causes Analysis) a pour objectif d’identifier les défaillances ayant des conséquences sur plusieurs parties du système. En effet, beaucoup d’analyses et d’outils utilisés dans les activités de Sûreté de Fonctionnement supposent l’indépendance des différents évènements (des différentes défaillances) considérés. L’analyse des causes communes permet alors de s’assurer que cette hypothèse d’indépendance est vérifiée et, dans le cas contraire, de modifier l’architecture afin de la vérifier. Pour cela, une CCA est composée de trois analyses principales : – une analyse de sécurité de zone (ZSA pour Zonal Safety Analysis) effectuée dans chaque zone de l’avion vise à limiter les effets d’une défaillance sur les autres composants ; – une analyse des risques particuliers (PRA pour Particular Risks Analysis) détermine les risques dus aux éléments externes du système (feu, oiseaux, foudre...) ; – une analyse des modes communs (CMA pour Common Modes Analysis) vérifie l’indépendance des évènements élémentaires présents dans les analyses de Sûreté de Fonctionnement. De cette analyse peuvent résulter différentes exigences d’indépendance et / ou de ségrégation. 1.4.5 Évaluation de la sécurité du système - SSA L’évaluation de la sécurité du système (la SSA) est la phase suivante du processus décrit dans l’ARP 4754 [59]. Si la forme de la SSA est quelque peu similaire à celle de la PSSA, les deux analyses diffèrent dans leurs objets. En effet, là où la PSSA évalue une architecture et permet, grâce à la FHA, de décliner des exigences, la SSA montre que ces exigences qualitatives et quantitatives sont tenues par l’architecture et par la conception détaillée de notre système.
22 Chapitre 1. Concepts généraux autour de la SdF 1.5 Démarches et méthodes traditionnelles en SdF Le processus d’évaluation de la sécurité d’un système aéronautique décrit dans l’ARP 4754 [59] nécessite à ses différentes étapes différents types d’analyses. Pour réaliser ces analyses, diverses approches et méthodes sont classiquement utilisées. Nous présentons ici certaines d’entre elles. 1.5.1 Analyse fonctionnelle Selon la norme NF X 50-151 [5], une analyse fonctionnelle est « une démarche qui consiste à rechercher, ordonner, caractériser et hiérarchiser les fonctions du produit attendu par l’utilisateur en phase de conception »... Nous retiendrons, pour présenter le pourquoi de son application en Sûreté de Fonctionnement, que l’analyse fonctionnelle « permet d’identifier les fonctions qui réalisent les services pour lesquels un niveau de confiance devra être justifié » [41]. Ainsi, une analyse fonctionnelle est généralement réalisée au commencement d’une étude de Sûreté de Fonctionnement. Elle permet alors : – de systématiser la recherche des fonctions primaires (fonctions pour lesquelles le produit est réalisé) du système ; – de systématiser la recherche des fonctions contraintes (imposées par l’environnement extérieur au produit) du système ; – de représenter les dépendances fonctionnelles entre ses fonctions ; – de raffiner une fonction d’un niveau N au niveau N − 1 ; – d’identifier et de décrire le périmètre et les limites du système. Cette identification du système, de ses fonctions et de son environnement est un point de départ satisfaisant pour l’identification des caractéristiques dysfonctionnelles du système : ses évènements redoutés, ses modes de défaillance, ses chemins de propagation de défaillance, ses barrières de sécurité... 1.5.2 Analyse des Modes de Défaillance et de leurs Effets - AMDE L’Analyse des Modes de Défaillance et de leurs Effets, ou AMDE, est une méthode inductive (car partant des évènements de bas niveau, on en déduit les conséquences sur le système ; par opposition aux méthodes déductives où l’on cherche les évènements élémentaires conduisant à un évènement redouté donné) d’analyse prévisionnelle de la fiabilité permettant de recenser de manière systématique les défaillances potentielles d’un composant d’un système puis d’estimer les conséquences sur le fonctionnement de ce système. Pour cela, l’AMDE s’intéresse à la recherche systématique : – des modes de défaillance de chacun des composants ou des fonctions du système (e.g. perte de la fonction, dégradation de la fonction, réalisation intempestive de la fonction) ; – des conséquences de chacun de ces modes de défaillance sur l’environnement du composant (la fonction) ainsi que sur le système ; – des moyens de détection et de mitigation de ces modes de défaillance. Le tableau 1.3 présente le principe général d’une AMDE. L’exemple considéré est celui d’un système hydraulique composé de deux pompes fonctionnant en parallèle. Si l’AMDE est à coup sûr un outil intéressant pour évaluer la Sûreté de Fonctionnement d’un système, elle ne permet cependant pas d’obtenir une vision des combinaisons de défaillance
Page 1 and 2: THÈSE En vue de l'obtention du DOC
Page 4 and 5: Table des matières Liste des abré
Page 6 and 7: Table des figures 1.1 Indicateurs S
Page 8: Liste des tableaux 1.1 Critère de
Page 12 and 13: Remerciements Fin de l’étape. ..
Page 14 and 15: 3 que du jus de carotte, même si j
Page 16 and 17: Introduction L’objectif de cette
Page 18 and 19: 7 l’efficacité de ces activités
Page 20: Chapitre 1 Concepts généraux auto
Page 23 and 24: 12 Chapitre 1. Concepts généraux
Page 31: 20 Chapitre 1. Concepts généraux
Page 42 and 43: Bien que les arbres de défaillance
Page 44 and 45: 2.2 Syntaxe du langage AltaRica OCA
Page 52 and 53: 2.3 Sémantique du langage AltaRica
Page 60 and 61: 2.4 Outils pour la construction et
Page 62 and 63: 2.5 Autres langages pour la réalis
Page 64 and 65: 2.5 Autres langages pour la réalis
Page 66: Chapitre 3 Vers une méthodologie u
Page 69 and 70: 58 Chapitre 3. Vers une méthodolog
Page 83 and 84:
72 Chapitre 3. Vers une méthodolog
Page 85 and 86:
Page 87 and 88:
Page 89 and 90:
Page 91 and 92:
Page 93 and 94:
Page 95 and 96:
Page 97 and 98:
Page 99 and 100:
Page 101 and 102:
Page 103 and 104:
Page 105 and 106:
Page 107 and 108:
Page 109 and 110:
Page 112:
Chapitre 4 Processus pour la valida
Page 115 and 116:
104 Chapitre 4. Processus pour la v
Page 117 and 118:
Page 119 and 120:
Page 121 and 122:
Page 123 and 124:
Page 125 and 126:
Page 127 and 128:
Page 129 and 130:
Page 131 and 132:
Page 133 and 134:
Page 135 and 136:
Page 137 and 138:
Page 139 and 140:
Page 141 and 142:
Page 143 and 144:
Page 145 and 146:
Page 147 and 148:
Page 150 and 151:
« Plutôt que de répéter sans ce
Page 152 and 153:
5.1 Bilan de l’activité de modé
Page 154 and 155:
5.1 Bilan de l’activité de modé
Page 156 and 157:
5.2 Bilan de l’activité de valid
Page 158 and 159:
5.2 Bilan de l’activité de valid
Page 160 and 161:
5.3 Accent sur quelques avantages d
Page 162 and 163:
5.4 Quelques bonnes pratiques recom
Page 164:
5.5 Retours sur quelques difficult
Page 167 and 168:
156 Conclusion Cette représentatio
Page 170:
Index AltaRica Assertion, 37 Évèn
Page 173 and 174:
162 Bibliographie [14] Matthias Bie
Page 175 and 176:
164 Bibliographie [47] Jeff Offutt,
Page 177:
Résumé Pour certifier un système
show all

Méthodes pour la validation de modèles formels pour la ... - ISAE

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?