Méthodes pour la validation de modèles formels pour la ... - ISAE

More documents

Recommendations

Info

1.5 Démarches et méthodes traditionnelles en SdF 25 Définition 1.4 : Coupe Une coupe est « une combinaison d’évènements dont l’existence simultanée conduit à l’occurrence de l’évènement redouté ». On parlera donc et par conséquence de coupe « par rapport » à un évènement redouté. Définition 1.5 : Ordre d’une coupe L’ordre d’une coupe est « le nombre d’évènements qui compose la coupe ». Définition 1.6 : Coupe minimale Une coupe minimale est « une coupe ne contenant aucune autre coupe » (précisons ici qu’on ne parle que de combinaison et qu’en conséquence, l’ordre d’occurrence n’a pas d’importance). Une coupe minimale peut alors être considérée comme une combinaison d’évènements nécessaire et suffisante à l’occurrence de l’évènement considéré. Une fois les coupes minimales obtenues, la question de l’exploitation des résultats est naturelle. L’arbre en lui même nous permet de visualiser comment la défaillance d’un composant élémentaire se propage jusqu’à l’événement redouté. Les coupes minimales permettent ensuite de connaître les événements ou les combinaisons d’évènements les plus critiques pour le système en considération. Cependant, se fonder uniquement sur l’ordre des coupes revient à négliger les probabilités d’occurrence des évènements élémentaires en supposant ceux-ci équiprobables. En effet, une coupe d’ordre 1 peut être moins probable qu’une coupe d’ordre 3 (par exemple). 1.5.3.4 Exploitation de l’arbre - Aspects quantitatifs L’analyse quantitative des arbres de défaillance a pour but d’estimer la probabilité d’occurrence de l’évènement redouté auquel l’arbre se réfère à partir des probabilités d’occurrence de tous les évènements élémentaires présents dans l’arbre. Pour acquérir les probabilités de ces différents évènements élémentaires, on utilisera des bases de données (essais, retour d’expérience...) ainsi que des jugements d’experts. Connaissant l’ensemble de ces probabilités, il est possible de calculer la probabilité de chaque coupe de l’arbre : la probabilité d’une coupe est le produit des probabilités des évènements qui la compose (ces évènements devant alors être indépendants 3 ). En sommant les probabilités de chaque coupe, on majore la probabilité de l’évènement redouté étudié. Cependant, des outils comme l’outil Aralia permettent d’évaluer de manière exacte un arbre de défaillance [56]. 1.5.3.5 Avantages et limites La méthode se voulant analyser la Sûreté de Fonctionnement d’un système à l’aide d’arbres de défaillance a différents avantages et différentes limitations / inconvénients dans son utilisation. Parmi les avantages de la méthode, citons notamment que l’analyse par arbre de défaillance permet : – une représentation graphique et peut ainsi être utilisée comme un outil de communication visuelle ; – d’expliciter clairement les relations logiques liant des évènements élémentaires et les évènements redoutés du système ou de ses sous-systèmes ; 3. Remarquons que cette hypothèse d’indépendance justifie le besoin d’analyse de mode commun présenté section 1.4.
26 Chapitre 1. Concepts généraux autour de la SdF – d’obtenir des équations simples (d’un point de vue combinatoire) pour décrire l’occurrence des évènements redoutés ; – de se focaliser sur un évènement redouté et ne pas prendre en compte les évènements n’intervenant pas dans son occurrence ; – de pouvoir étudier le comportement du système à différents niveaux d’abstraction ; – une validation pas à pas en permettant l’étude de sous-arbres indépendants. Cependant, ces arbres de défaillance présentent également différentes limites d’utilisation. En effet : – leur taille peut devenir grande dans le cas de systèmes particulièrement complexes ; la lisibilité des arbres peut ainsi devenir difficile ; – ils permettent difficilement la représentation de défaillances « transitoires » et font abstraction de l’ordre d’apparition des évènements (cependant, l’état de l’art sait modéliser les stratégies de réparation ou de reconfiguration d’un système) ; – ils ne permettent pas d’une manière générale de modéliser l’évolution d’un système au cours du temps ; – toute modification de l’architecture système doit être suivie d’une revue et de potentielles modifications sur l’ensemble des arbres ; – il est nécessaire de réaliser un arbre de défaillance par évènement redouté ; la validation de l’ensemble des arbres peut se révéler coûteuse en temps et en ressources. L’hypothèse du comportement non évolutif du système peut être en partie levée par l’ajout d’extensions à l’analyse classique par arbres de défaillance (par exemple, l’ajout de porte logique prenant en compte des priorités [63]). On pourra aussi se tourner vers d’autres types d’analyses comme l’analyse par graphes de Markov préconisée par l’ARP 4761 [60] au même titre que l’analyse par arbre de défaillance. 1.5.4 Graphe de Markov En deux mots, un graphe de Markov est un processus stochastique (i.e. aléatoire), sans mémoire (i.e. le futur ne dépend que de l’état présent), portant sur un nombre fini d’états reliés entre eux par des probabilités de transition (éventuellement nulle). Un graphe de Markov permet de modéliser le comportement de systèmes évoluant dans le temps. De manière plus détaillée maintenant, un graphe de Markov représente le comportement d’un système à l’aide d’un automate : les états du système sont représentés par les états de l’automate ; les défaillances ou les évènements fonctionnels (e.g. reconfiguration...) modifiant l’état du système sont décrits dans l’automate par des transitions. À l’aide de probabilités attachées à chaque transition et connaissant l’état initial du système, la probabilité d’être dans chaque état peut être calculée à tout moment. Pour plus de détails, le lecteur intéressé pourra consulter [65]. Si l’ensemble des transitions du graphe de Markov suit une loi exponentielle, des calculs exacts peuvent être réalisés de manière relativement aisée. Par exemple, on peut calculer (on trouvera davantage de détails dans [61]) : – la probabilité d’être dans un état (ou un ensemble d’état) à un instant i donné ; – le temps moyen de bon fonctionnement avant première défaillance (MTTF) ; – pour un système réparable, le temps moyen entre deux défaillances (MTBF) ; – la disponibilité d’un système...
Page 1 and 2: THÈSE En vue de l'obtention du DOC
Page 4 and 5: Table des matières Liste des abré
Page 6 and 7: Table des figures 1.1 Indicateurs S
Page 8: Liste des tableaux 1.1 Critère de
Page 12 and 13: Remerciements Fin de l’étape. ..
Page 14 and 15: 3 que du jus de carotte, même si j
Page 16 and 17: Introduction L’objectif de cette
Page 18 and 19: 7 l’efficacité de ces activités
Page 20: Chapitre 1 Concepts généraux auto
Page 23 and 24: 12 Chapitre 1. Concepts généraux
Page 35: 24 Chapitre 1. Concepts généraux
Page 42 and 43: Bien que les arbres de défaillance
Page 44 and 45: 2.2 Syntaxe du langage AltaRica OCA
Page 52 and 53: 2.3 Sémantique du langage AltaRica
Page 60 and 61: 2.4 Outils pour la construction et
Page 62 and 63: 2.5 Autres langages pour la réalis
Page 64 and 65: 2.5 Autres langages pour la réalis
Page 66: Chapitre 3 Vers une méthodologie u
Page 69 and 70: 58 Chapitre 3. Vers une méthodolog
Page 87 and 88:
76 Chapitre 3. Vers une méthodolog
Page 89 and 90:
Page 91 and 92:
Page 93 and 94:
Page 95 and 96:
Page 97 and 98:
Page 99 and 100:
Page 101 and 102:
Page 103 and 104:
Page 105 and 106:
Page 107 and 108:
Page 109 and 110:
Page 112:
Chapitre 4 Processus pour la valida
Page 115 and 116:
104 Chapitre 4. Processus pour la v
Page 117 and 118:
Page 119 and 120:
Page 121 and 122:
Page 123 and 124:
Page 125 and 126:
Page 127 and 128:
Page 129 and 130:
Page 131 and 132:
Page 133 and 134:
Page 135 and 136:
Page 137 and 138:
Page 139 and 140:
Page 141 and 142:
Page 143 and 144:
Page 145 and 146:
Page 147 and 148:
Page 150 and 151:
« Plutôt que de répéter sans ce
Page 152 and 153:
5.1 Bilan de l’activité de modé
Page 154 and 155:
5.1 Bilan de l’activité de modé
Page 156 and 157:
5.2 Bilan de l’activité de valid
Page 158 and 159:
5.2 Bilan de l’activité de valid
Page 160 and 161:
5.3 Accent sur quelques avantages d
Page 162 and 163:
5.4 Quelques bonnes pratiques recom
Page 164:
5.5 Retours sur quelques difficult
Page 167 and 168:
156 Conclusion Cette représentatio
Page 170:
Index AltaRica Assertion, 37 Évèn
Page 173 and 174:
162 Bibliographie [14] Matthias Bie
Page 175 and 176:
164 Bibliographie [47] Jeff Offutt,
Page 177:
Résumé Pour certifier un système
show all

Méthodes pour la validation de modèles formels pour la ... - ISAE

Create successful ePaper yourself

Delete template?

Save as template?