Méthodes pour la validation de modèles formels pour la ... - ISAE

More documents

Recommendations

Info

2.5 Autres langages pour la réalisation d’étude de Sûreté de Fonctionnement 53 Ce contre-exemple est alors en fait une séquence conduisant le système dans la configuration non souhaitée. 2.5.2 Langages dédiés Sûreté de Fonctionnement 2.5.2.1 Le langage Figaro Le langage Figaro [16] a été développé par EDF (Électricité De France) dans les années 1990 pour modéliser la propagation des défaillances au sein d’un système. L’article [17] compare les langages AltaRica et Figaro et explicite le fait que, s’il est entendu que les objectifs des deux langages sont similaires, ils différent profondément dans leurs philosophies. Tout d’abord, Figaro est un langage orienté objet : une base de connaissance décrit des classes de composant ; chacune de ces classes inclut le comportement nominal et dysfonctionnel du composant qu’elle représente ; le système global est ensuite construit par instanciation de composant. À noter que les composants ne sont pas organisés hiérarchiquement, ni encapsulés (il n’y a pas d’emboîtement entre objets) contrairement au langage AltaRica qui, comme nous l’avons vu, est fondé sur la notion de compositionnalité : des objets sont définis puis instanciés pour créer des objets de niveau supérieur (le plus haut niveau représentant alors le modèle global). Figaro est supporté par l’outil KB3, aussi développé par EDF. KB3 contient un éditeur graphique de modèles ainsi que différents algorithmes permettant d’évaluer quantitativement et qualitativement le modèle réalisé. À ce sujet, notons une différence entre Figaro et AltaRica. La simulation (et donc la sémantique) de modèles Figaro est réalisée en intriquant des caractéristiques qualitatives (gardes des transitions) et quantitatives (loi suivie par la probabilité d’occurrence d’un évènement) des évènements. En AltaRica, la simulation dépend des gardes des transitions mais les relations entre évènements sont définies en terme de priorités. Les lois peuvent être ajoutées ensuite pour par exemple réaliser des simulations stochastiques. En résumé, l’approche Figaro consiste à écrire des modèles quantitatifs à partir desquels on réalise ensuite des analyses qualitatives ; l’approche AltaRica consiste à écrire des modèles qualitatifs pouvant être complétés par des analyses quantitatives. Enfin, une dernière différence entre AltaRica et Figaro provient de leurs utilisations. La syntaxe de Figaro permet d’écrire des expressions plus proches du langage naturel. Ainsi et en accord avec [17], le langage Figaro est plus adapté à qui veut concevoir des outils de modélisation « clef en main » (une fois la base de connaissance créée, la réalisation de modèle n’imposera l’écriture d’aucune ligne de code Figaro). Le langage AltaRica quant à lui possède une syntaxe plus formelle et moins accessible aux non-initiés. Cependant, une fois cet « obstacle » franchi, le langage AltaRica est plus facilement utilisable pour les ingénieurs étant de manière directe en charge des études de systèmes. 2.5.2.2 HIP-HOPS HiP-HOPS (Hierarchically Performed Hazard Origin and Propagation Studies) [49] est une méthode se proposant de supporter les analyses de Sûreté de Fonctionnement en autorisant la génération automatique d’arbres de défaillance ou d’AMDE. Pour cela, un modèle hiérarchique du système est construit à partir d’une décomposition de ce système sous forme de schémas blocs successifs. Les modes de défaillance de chaque « bloc » identifiés sont étudiés et introduit dans un tableau décrivant, pour chaque composant, l’effet système de ces modes de défaillance. Un algorithme est ensuite appliqué pour générer l’arbre de défaillance correspondant à un évènement redouté et calculer ses coupes minimales. HIP-HOPS est supporté par un outil réalisant des analyses qualitatives et quantitatives de systèmes. Le travail présenté dans [14] propose une approche permettant d’insérer la méthode HiP- HOPS dans un processus de développement de systèmes automobiles fondé sur EAST-ADL2.
54 Chapitre 2. Modélisation formelle de systèmes Pour ce faire, les auteurs proposent d’utiliser différentes transformations de modèles permettant de traduire les informations pertinentes présentes dans les documents de conception (modèle EAST-ADL2) en informations pertinentes pour les analyses de Sûreté de Fonctionnement (en modèle HIP-HOPS). 2.6 Conclusion du chapitre : Pourquoi AltaRica ? Pour rappel, nous nous intéressons au support et à la réalisation d’analyse de sécurité de type arbre de défaillance. D’après la section précédente, ces analyses peuvent avoir deux philosophies : – soit la modélisation est réalisée dans une logique d’injection des défaillances au sein d’un modèle de conception (e.g. de type Matlab Simulink ou SCADE) déjà existant ; – soit cette modélisation est réalisée en prenant en compte et en modélisant directement la logique de propagation de défaillance au sein du système considéré. Concernant la première philosophie tout d’abord, ce type de modélisation est utilisé dans la littérature principalement pour la représentation de systèmes informatiques, électriques ou électroniques là où nous nous intéressons à la représentation de systèmes mécaniques ou hydromécaniques. De plus et pour de tels systèmes, nous n’avions pas au début des travaux et n’avons pas plus aujourd’hui à disposition des modèles de conception. Nous nous sommes ainsi intéressé pour répondre à notre problématique à l’utilisation de modèles de propagation de défaillance. Le langage AltaRica s’inscrit alors dans la seconde philosophie. Par rapport aux langages Figaro et HiP-HOPS, le langage AltaRica est doté d’une sémantique formelle permettant à la fois d’obtenir du langage AltaRica à partir d’autres formalismes (e.g. SysML [23]) et de générer à partir d’AltaRica des modèles du type arbres de défaillance ou analyse de Markov. Enfin, les travaux et expériences passés [33, 9, 12, 20, 38, 37] ont déjà montré la pertinence de l’utilisation du langage AltaRica pour réaliser l’étude de sécurité d’un système aéronautique. Nous nous inscrivons ainsi directement dans leur continuité et approfondissons l’approche à l’étude de systèmes multi-physiques.
Page 1 and 2:
THÈSE En vue de l'obtention du DOC
Page 4 and 5:
Table des matières Liste des abré
Page 6 and 7:
Table des figures 1.1 Indicateurs S
Page 8:
Liste des tableaux 1.1 Critère de
Page 12 and 13:
Remerciements Fin de l’étape. ..
Page 14 and 15: 3 que du jus de carotte, même si j
Page 16 and 17: Introduction L’objectif de cette
Page 18 and 19: 7 l’efficacité de ces activités
Page 20: Chapitre 1 Concepts généraux auto
Page 23 and 24: 12 Chapitre 1. Concepts généraux
Page 42 and 43: Bien que les arbres de défaillance
Page 44 and 45: 2.2 Syntaxe du langage AltaRica OCA
Page 52 and 53: 2.3 Sémantique du langage AltaRica
Page 60 and 61: 2.4 Outils pour la construction et
Page 62 and 63: 2.5 Autres langages pour la réalis
Page 66: Chapitre 3 Vers une méthodologie u
Page 69 and 70: 58 Chapitre 3. Vers une méthodolog
Page 112: Chapitre 4 Processus pour la valida
Page 115 and 116:
104 Chapitre 4. Processus pour la v
Page 117 and 118:
Page 119 and 120:
Page 121 and 122:
Page 123 and 124:
Page 125 and 126:
Page 127 and 128:
Page 129 and 130:
Page 131 and 132:
Page 133 and 134:
Page 135 and 136:
Page 137 and 138:
Page 139 and 140:
Page 141 and 142:
Page 143 and 144:
Page 145 and 146:
Page 147 and 148:
Page 150 and 151:
« Plutôt que de répéter sans ce
Page 152 and 153:
5.1 Bilan de l’activité de modé
Page 154 and 155:
5.1 Bilan de l’activité de modé
Page 156 and 157:
5.2 Bilan de l’activité de valid
Page 158 and 159:
5.2 Bilan de l’activité de valid
Page 160 and 161:
5.3 Accent sur quelques avantages d
Page 162 and 163:
5.4 Quelques bonnes pratiques recom
Page 164:
5.5 Retours sur quelques difficult
Page 167 and 168:
156 Conclusion Cette représentatio
Page 170:
Index AltaRica Assertion, 37 Évèn
Page 173 and 174:
162 Bibliographie [14] Matthias Bie
Page 175 and 176:
164 Bibliographie [47] Jeff Offutt,
Page 177:
Résumé Pour certifier un système
show all

Méthodes pour la validation de modèles formels pour la ... - ISAE

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?