Méthodes pour la validation de modèles formels pour la ... - ISAE
Méthodes pour la validation de modèles formels pour la ... - ISAE
Méthodes pour la validation de modèles formels pour la ... - ISAE
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
22 Chapitre 1. Concepts généraux autour <strong>de</strong> <strong>la</strong> SdF<br />
1.5 Démarches et métho<strong>de</strong>s traditionnelles en SdF<br />
Le processus d’évaluation <strong>de</strong> <strong>la</strong> sécurité d’un système aéronautique décrit dans l’ARP 4754<br />
[59] nécessite à ses différentes étapes différents types d’analyses. Pour réaliser ces analyses, diverses<br />
approches et métho<strong>de</strong>s sont c<strong>la</strong>ssiquement utilisées. Nous présentons ici certaines d’entre elles.<br />
1.5.1 Analyse fonctionnelle<br />
Selon <strong>la</strong> norme NF X 50-151 [5], une analyse fonctionnelle est « une démarche qui consiste à<br />
rechercher, ordonner, caractériser et hiérarchiser les fonctions du produit attendu par l’utilisateur en<br />
phase <strong>de</strong> conception »... Nous retiendrons, <strong>pour</strong> présenter le <strong>pour</strong>quoi <strong>de</strong> son application en Sûreté<br />
<strong>de</strong> Fonctionnement, que l’analyse fonctionnelle « permet d’i<strong>de</strong>ntifier les fonctions qui réalisent les<br />
services <strong>pour</strong> lesquels un niveau <strong>de</strong> confiance <strong>de</strong>vra être justifié » [41].<br />
Ainsi, une analyse fonctionnelle est généralement réalisée au commencement d’une étu<strong>de</strong> <strong>de</strong><br />
Sûreté <strong>de</strong> Fonctionnement. Elle permet alors :<br />
– <strong>de</strong> systématiser <strong>la</strong> recherche <strong>de</strong>s fonctions primaires (fonctions <strong>pour</strong> lesquelles le produit est<br />
réalisé) du système ;<br />
– <strong>de</strong> systématiser <strong>la</strong> recherche <strong>de</strong>s fonctions contraintes (imposées par l’environnement extérieur<br />
au produit) du système ;<br />
– <strong>de</strong> représenter les dépendances fonctionnelles entre ses fonctions ;<br />
– <strong>de</strong> raffiner une fonction d’un niveau N au niveau N − 1 ;<br />
– d’i<strong>de</strong>ntifier et <strong>de</strong> décrire le périmètre et les limites du système.<br />
Cette i<strong>de</strong>ntification du système, <strong>de</strong> ses fonctions et <strong>de</strong> son environnement est un point<br />
<strong>de</strong> départ satisfaisant <strong>pour</strong> l’i<strong>de</strong>ntification <strong>de</strong>s caractéristiques dysfonctionnelles du système : ses<br />
évènements redoutés, ses mo<strong>de</strong>s <strong>de</strong> défail<strong>la</strong>nce, ses chemins <strong>de</strong> propagation <strong>de</strong> défail<strong>la</strong>nce, ses<br />
barrières <strong>de</strong> sécurité...<br />
1.5.2 Analyse <strong>de</strong>s Mo<strong>de</strong>s <strong>de</strong> Défail<strong>la</strong>nce et <strong>de</strong> leurs Effets - AMDE<br />
L’Analyse <strong>de</strong>s Mo<strong>de</strong>s <strong>de</strong> Défail<strong>la</strong>nce et <strong>de</strong> leurs Effets, ou AMDE, est une métho<strong>de</strong> inductive<br />
(car partant <strong>de</strong>s évènements <strong>de</strong> bas niveau, on en déduit les conséquences sur le système ; par<br />
opposition aux métho<strong>de</strong>s déductives où l’on cherche les évènements élémentaires conduisant à<br />
un évènement redouté donné) d’analyse prévisionnelle <strong>de</strong> <strong>la</strong> fiabilité permettant <strong>de</strong> recenser <strong>de</strong><br />
manière systématique les défail<strong>la</strong>nces potentielles d’un composant d’un système puis d’estimer les<br />
conséquences sur le fonctionnement <strong>de</strong> ce système. Pour ce<strong>la</strong>, l’AMDE s’intéresse à <strong>la</strong> recherche<br />
systématique :<br />
– <strong>de</strong>s mo<strong>de</strong>s <strong>de</strong> défail<strong>la</strong>nce <strong>de</strong> chacun <strong>de</strong>s composants ou <strong>de</strong>s fonctions du système (e.g. perte<br />
<strong>de</strong> <strong>la</strong> fonction, dégradation <strong>de</strong> <strong>la</strong> fonction, réalisation intempestive <strong>de</strong> <strong>la</strong> fonction) ;<br />
– <strong>de</strong>s conséquences <strong>de</strong> chacun <strong>de</strong> ces mo<strong>de</strong>s <strong>de</strong> défail<strong>la</strong>nce sur l’environnement du composant<br />
(<strong>la</strong> fonction) ainsi que sur le système ;<br />
– <strong>de</strong>s moyens <strong>de</strong> détection et <strong>de</strong> mitigation <strong>de</strong> ces mo<strong>de</strong>s <strong>de</strong> défail<strong>la</strong>nce.<br />
Le tableau 1.3 présente le principe général d’une AMDE. L’exemple considéré est celui d’un<br />
système hydraulique composé <strong>de</strong> <strong>de</strong>ux pompes fonctionnant en parallèle.<br />
Si l’AMDE est à coup sûr un outil intéressant <strong>pour</strong> évaluer <strong>la</strong> Sûreté <strong>de</strong> Fonctionnement<br />
d’un système, elle ne permet cependant pas d’obtenir une vision <strong>de</strong>s combinaisons <strong>de</strong> défail<strong>la</strong>nce