Méthodes pour la validation de modèles formels pour la ... - ISAE

More documents

Recommendations

Info

1.5 Démarches et méthodes traditionnelles en SdF 27 Repos Maint. Prod. Figure 1.3 – Exemple de graphe de Markov Permettant de prendre en compte et de modéliser des actions de maintenance (i.e. de réparation), les graphes de Markov sont adaptés lorsque le but de l’étude est l’évaluation de la disponibilité du système. Pour les études plutôt orienté sécurité, il est souvent préféré les arbres de défaillance. Ainsi, les analyses par graphe de Markov présentent plusieurs avantages. Ils autorisent la modélisation d’un certain nombre de comportements ne pouvant pas être décrits par les arbres de défaillance. Par exemple, ils permettent de décrire des reconfigurations ou des réparations du système étudié. Cependant, une des limitations majeures d’une telle approche vient du problème classique d’explosion combinatoire (i.e. explosion du nombre d’états du graphe de Markov). En effet, imaginons un système S contenant N composants ayant tous un comportement booléen. Le graphe de Markov modélisant le système S pourra contenir jusqu’à 2 N états. Les outils de calculs actuels ne peuvent alors traiter plus d’une vingtaine de composants (environ 1 million d’états) ce qui limite l’utilisation des graphes de Markov à de petits systèmes. 1.5.5 Réseaux de Petri Un réseau de Petri (RdP) [64] est un modèle mathématique permettant de représenter le comportement de systèmes dynamiques. Un RdP se représente de manière graphique par un graphe orienté reliant des places (représentées par des cercles) et des transitions (représentées par des traits) par l’intermédiaire d’arcs (représentés par des flèches). Ces arcs relient alors une place à une transition ou une transition à une place (deux places ne peuvent être reliées entre elles, deux transitions ne peuvent être reliées entre elles). Chaque place peut contenir un ou plusieurs jetons qui définissent, à un instant t, l’état (le marquage) du RdP. Si le poids des arcs d’entrée et sortie des transitions est unitaire, il n’est pas indiqué sur les arcs, comme représenté sur la figure 1.4. Dans ce cas, lorsque toutes les places p i en amont d’une transition T contiennent au moins un jeton, la transition peut être franchie. Dès ce franchissement, on retire alors un jeton des places p i amont et on ajoute un jeton aux places q j situées en aval de la transition T 4 . La figure 1.4 présente un RdP avant puis après le franchissement d’une transition. Les RdP stochastiques sont une extension des RdP où des durées de sensibilisation définies par des distributions géométriques ou exponentielles sont associées aux transitions. Il est alors possible de construire un processus markovien équivalent. Grâce à une telle représentation, les réseaux de Petri permettent l’obtention d’un modèle du comportement du système considéré. L’exploitation d’un modèle se fait alors soit de façon analytique à partir du processus de Markov équivalent, soit grâce à la simulation de Monte-Carlo et permettent de calculer ([62]) par exemple la disponibilité d’un système, sa fiabilité ou encore certains indicateurs comme le MTTF ou le MTBF (section 1.3.2). 4. Si le poids d’un arc en amont est w(p i , t) = k i , k i ∈ N, on retire k i de p i ; si le poids des arcs en aval est w(t, q j ) = k j , k j ∈ N, on rajoute k j jetons à la place q j ).
28 Chapitre 1. Concepts généraux autour de la SdF • T T • • Figure 1.4 – Exemple de Réseau de Petri Marquage avant puis après le franchissement de la transition T Remarque : Sans rentrer dans les détails ici, la simulation de Monte-Carlo [62] se veut remplacer le calcul analytique exact par un calcul statistique. Pour cela, la méthode est fondée sur la réalisation d’un grand nombre de simulations d’un modèle stochastique. Le principe est ainsi de simuler un grand nombre de fois le modèle en générant aléatoirement à chaque simulation les évènements se produisant (ces évènements devant alors être dotés de loi de probabilités). Les différentes simulations nous permettent alors d’évaluer la probabilité de se trouver dans tel ou tel état du modèle (on peut par exemple calculer la probabilité d’occurrence d’un évènement redouté). Le résultat est alors une approximation du résultat exact. Plus le nombre de simulations est grand, plus l’approximation est bonne. 1.6 Positionnement des travaux de thèse par rapport à la problématique SdF : vers une modélisation formelle de système Comme nous le verrons par la suite, les systèmes moteurs étudiés contribuent à la génération et à la distribution d’énergie mécanique au rotor de l’hélicoptère. Pour accomplir ces fonctions, ils sont structurés en différents systèmes (circuit d’air, circuit carburant, circuit d’huile, système de contrôle moteur...) constitués de composants de natures physiques différentes (mécanique, hydromécanique, électronique, logiciel...). On s’intéresse à l’évaluation des exigences de sécurité que ces systèmes doivent satisfaire (FHA, PSSA, SSA du processus décrits dans l’ARP 4754). Pour l’évaluation de ces exigences, différentes méthodes couramment utilisées pour évaluer la Sûreté de Fonctionnement d’un système complexe aéronautique ont ainsi été présentées. Si les graphes de Markov sont sans doute moins répandus de part la limitation concernant la taille des systèmes pouvant être étudiés, les arbres de défaillance sont aujourd’hui toujours l’approche la plus utilisée pour les industries mettant en œuvre des systèmes critiques complexes (sinon, une identification des pannes simples grâce à l’AMDE suffit). Cependant et de part les limitations déjà évoquées section 1.5.3.5, ces arbres de défaillance présentent des difficultés lors de la représentation de systèmes possédant des défaillances transitoires, lors de la représentation de systèmes sujets à réparation ou reconfiguration ou lors de la représentation de systèmes à l’intérieur desquels l’ordre des évènements influe sur l’état final du système. Nous présenterons dans le chapitre 2 le langage formel AltaRica qui supporte les analyses de sécurité qualitatives et quantitatives de systèmes critiques complexes.
Page 1 and 2: THÈSE En vue de l'obtention du DOC
Page 4 and 5: Table des matières Liste des abré
Page 6 and 7: Table des figures 1.1 Indicateurs S
Page 8: Liste des tableaux 1.1 Critère de
Page 12 and 13: Remerciements Fin de l’étape. ..
Page 14 and 15: 3 que du jus de carotte, même si j
Page 16 and 17: Introduction L’objectif de cette
Page 18 and 19: 7 l’efficacité de ces activités
Page 20: Chapitre 1 Concepts généraux auto
Page 23 and 24: 12 Chapitre 1. Concepts généraux
Page 37: 26 Chapitre 1. Concepts généraux
Page 42 and 43: Bien que les arbres de défaillance
Page 44 and 45: 2.2 Syntaxe du langage AltaRica OCA
Page 52 and 53: 2.3 Sémantique du langage AltaRica
Page 60 and 61: 2.4 Outils pour la construction et
Page 62 and 63: 2.5 Autres langages pour la réalis
Page 64 and 65: 2.5 Autres langages pour la réalis
Page 66: Chapitre 3 Vers une méthodologie u
Page 69 and 70: 58 Chapitre 3. Vers une méthodolog
Page 89 and 90:
78 Chapitre 3. Vers une méthodolog
Page 91 and 92:
Page 93 and 94:
Page 95 and 96:
Page 97 and 98:
Page 99 and 100:
Page 101 and 102:
Page 103 and 104:
Page 105 and 106:
Page 107 and 108:
Page 109 and 110:
Page 112:
Chapitre 4 Processus pour la valida
Page 115 and 116:
104 Chapitre 4. Processus pour la v
Page 117 and 118:
Page 119 and 120:
Page 121 and 122:
Page 123 and 124:
Page 125 and 126:
Page 127 and 128:
Page 129 and 130:
Page 131 and 132:
Page 133 and 134:
Page 135 and 136:
Page 137 and 138:
Page 139 and 140:
Page 141 and 142:
Page 143 and 144:
Page 145 and 146:
Page 147 and 148:
Page 150 and 151:
« Plutôt que de répéter sans ce
Page 152 and 153:
5.1 Bilan de l’activité de modé
Page 154 and 155:
5.1 Bilan de l’activité de modé
Page 156 and 157:
5.2 Bilan de l’activité de valid
Page 158 and 159:
5.2 Bilan de l’activité de valid
Page 160 and 161:
5.3 Accent sur quelques avantages d
Page 162 and 163:
5.4 Quelques bonnes pratiques recom
Page 164:
5.5 Retours sur quelques difficult
Page 167 and 168:
156 Conclusion Cette représentatio
Page 170:
Index AltaRica Assertion, 37 Évèn
Page 173 and 174:
162 Bibliographie [14] Matthias Bie
Page 175 and 176:
164 Bibliographie [47] Jeff Offutt,
Page 177:
Résumé Pour certifier un système
show all

Méthodes pour la validation de modèles formels pour la ... - ISAE

Create successful ePaper yourself

Delete template?

Save as template?