Méthodes pour la validation de modèles formels pour la ... - ISAE

More documents

Recommendations

Info

3.2 Processus de modélisation 59 Nous expliciterons dans la suite de ce chapitre les différentes étapes du processus de modélisation présenté sur la figure 3.2. Diverses illustrations montreront ensuite son application à des systèmes appartenant à des domaines physiques différents. 3.2 Processus de modélisation 3.2.1 Analyse préliminaire : Composition et objectifs du modèle 3.2.1.1 Caractérisation des objectifs du modèle haut niveau Commençons par rappeler la définition donnée section 2.1.2 selon laquelle la modélisation est un processus technique qui permet de représenter un objet dans un but de connaissance [25]. Cette définition étant prise en compte, il serait sans doute déraisonnable et hasardeux de commencer notre approche sans préciser les objectifs du modèle souhaitant être construit. De manière simple, on exprimera dans un premier temps ces objectifs en précisant que le modèle devra permettre l’étude des évènements redoutés considérés et que pour cela, son périmètre devra couvrir le système d’étude (en prenant en compte l’ensemble des comportements ayant un impact sur l’occurrence des évènements redoutés considérés). Il faut donc tout d’abord s’intéresser à l’identification de ces objectifs, et se poser la question des évènements redoutés qui devront être évalués (qualitativement et quantitativement) par le modèle du système (on se place dans un premier temps au plus haut niveau). Ici, pas de miracle ! Une liste des évènements redoutés pourra en général être fournie par les réglementations en vigueur dans le domaine considéré (réglementations aéronautiques, ferroviaires, automobiles...). Des évènements redoutés spécifiques pourront également provenir, via des analyses fonctionnelles des dangers (section 1.4), d’exigences clients ou d’exigences internes au concepteur du produit. Parmi l’ensemble de ces exigences, nous en choisirons un sous-ensemble (ou la totalité) que devra évaluer le modèle du système. Une fois obtenu l’ensemble des évènements redoutés (qualitatifs et quantitatifs) à considérer, nous proposons de nous intéresser à l’identification du périmètre du modèle et de son architecture. Nous supposerons dans la section suivante que le système est suffisamment complexe pour admettre et mériter un découpage en sous-systèmes d’étude. 3.2.1.2 Caractérisation de l’architecture globale du modèle haut niveau Déterminer l’architecture d’un modèle AltaRica (i.e. le choix des composants à modéliser dans le modèle) est crucial dans le sens où cette étape détermine le périmètre et la granularité (i.e. le niveau de détail) de ce modèle. Dans cette optique, nous souhaitons commencer par décrire 1) le système haut niveau comme une hiérarchie de sous-systèmes et 2) les dépendances fonctionnelles et physiques entre ces sous-systèmes. Pour cela, la démarche débute par une analyse fonctionnelle (de philosophie typiquement similaire à SADT [40]). Pour guider le découpage du système en sous-systèmes d’étude, diverses « bonnes pratiques » peuvent être fournies à l’analyste. À ce stade, lorsque le système peut être décrit comme une hiérarchie de sous-systèmes et/ou de composants, la structure du modèle reflètera autant que possible la structure du système. A contrario, lorsque le système ne présente que peu ou pas de hiérarchie, une option intéressante à ce stade est d’identifier des sous-systèmes d’étude physiquement homogènes, i.e. de regrouper différents composants d’un même domaine physique (comme le sera présenté dans de prochaines sections, la propagation de défaillance entre composants d’un même domaine physique peut se faire en propageant un ensemble de grandeurs spécifiques au domaine).
60 Chapitre 3. Vers une méthodologie unifiée de modélisation AltaRica de systèmes physiques Une fois le système de haut niveau « découpé » en sous-systèmes d’étude, l’analyse fonctionnelle autorise la description des interfaces fonctionnelles et physiques entre ces sous-systèmes. Ces interfaces permettront d’expliciter les chemins de propagation de panne globaux. 3.2.1.3 Déclinaison des objectifs des modèles Nous supposons ici que l’étape précédente (ou plusieurs itérations de l’étape précédente) a permis l’identification de sous-systèmes d’étude n’admettant pas à leur tour de hiérarchie. Avant de s’intéresser à la représentation des composants élémentaires 1 , il nous est nécessaire de décliner les évènements redoutés du système de haut niveau jusqu’à ces sous-systèmes. Ici, pas de bonne pratique particulière. Il s’agira en général de l’expertise de l’ingénieur permettant d’identifier les sous-causes immédiates d’un évènement redouté de haut niveau. La prochaine étape traite de la caractérisation de l’architecture du modèle du sous-système obtenue. 3.2.1.4 Caractérisation de l’architecture du modèle du sous-système Pour chaque sous-système identifié dans la section 3.2.1.2, il nous faut caractériser son architecture. Cette section nous ayant permis d’identifier le périmètre d’un sous-système, la section 3.2.1.3 nous ayant permis d’identifier les objectifs (i.e. les évènements redoutés) du modèle à concevoir, il nous faut désormais identifier les composants de ce sous-système influençant l’occurrence des évènements redoutés considérés. Ici encore, peu de bonnes pratiques particulières pour identifier l’ensemble de ces composants. La charge de l’identification pourra souvent revenir à l’ingénieur ou à l’expert connaissant le soussystème. Le principe général de l’identification est cependant simple : pour chacun des composants du système réel, il faut se demander si une des défaillances de ce composant a un impact sur l’occurrence d’un ou plusieurs des évènements redoutés considérés. Pour cela, notons deux voies possibles permettant de supporter cette identification. – L’utilisation d’une analyse fonctionnelle descendante (type SADT) qui nous permettra de décliner les fonctions du niveau sous-système jusqu’aux composants élémentaires réalisant cette fonction. – Si disponible, l’utilisation d’une analyse de panne (type AMDE) pour identifier un ensemble de composant ayant une influence sur au moins un des évènements redoutés considérés. Remarque : Remarquons que l’analyse fonctionnelle peut être également utilisée pour identifier les interfaces entre les différents composants du système. D’une manière générale, il est conseillé de combiner l’utilisation d’une analyse fonctionnelle et d’une analyse de panne pour identifier l’ensemble des composants à modéliser. Concernant l’architecture du modèle du sous-système, une attention particulière devra également être donnée à l’identification des mécanismes de détection et de tolérance aux défaillances (ces mécanismes devant ensuite être inclus dans le modèle). À noter cependant la possibilité d’utiliser un des avantages forts du langage AltaRica à savoir permettre la réutilisation des nœuds présents dans la bibliothèque AltaRica. En effet, si des composants du système réels ont des comportements proches ou similaires, il peut être avantageux de modéliser un unique nœud AltaRica qui sera plus tard instancié dans le modèle AltaRica autant de fois que nécessaire (chacune des instanciations du nœud AltaRica se comportant alors de manière autonome). 1. La notion de « élémentaire » est bien entendue totalement subjective et dénote en fait une entité que l’on ne souhaite pas davantage décomposer.
Page 1 and 2:
THÈSE En vue de l'obtention du DOC
Page 4 and 5:
Table des matières Liste des abré
Page 6 and 7:
Table des figures 1.1 Indicateurs S
Page 8:
Liste des tableaux 1.1 Critère de
Page 12 and 13:
Remerciements Fin de l’étape. ..
Page 14 and 15:
3 que du jus de carotte, même si j
Page 16 and 17:
Introduction L’objectif de cette
Page 18 and 19:
7 l’efficacité de ces activités
Page 20: Chapitre 1 Concepts généraux auto
Page 23 and 24: 12 Chapitre 1. Concepts généraux
Page 42 and 43: Bien que les arbres de défaillance
Page 44 and 45: 2.2 Syntaxe du langage AltaRica OCA
Page 52 and 53: 2.3 Sémantique du langage AltaRica
Page 60 and 61: 2.4 Outils pour la construction et
Page 62 and 63: 2.5 Autres langages pour la réalis
Page 64 and 65: 2.5 Autres langages pour la réalis
Page 66: Chapitre 3 Vers une méthodologie u
Page 69: 58 Chapitre 3. Vers une méthodolog
Page 73 and 74: 62 Chapitre 3. Vers une méthodolog
Page 112: Chapitre 4 Processus pour la valida
Page 115 and 116: 104 Chapitre 4. Processus pour la v
Page 121 and 122:
110 Chapitre 4. Processus pour la v
Page 123 and 124:
Page 125 and 126:
Page 127 and 128:
Page 129 and 130:
Page 131 and 132:
Page 133 and 134:
Page 135 and 136:
Page 137 and 138:
Page 139 and 140:
Page 141 and 142:
Page 143 and 144:
Page 145 and 146:
Page 147 and 148:
Page 150 and 151:
« Plutôt que de répéter sans ce
Page 152 and 153:
5.1 Bilan de l’activité de modé
Page 154 and 155:
5.1 Bilan de l’activité de modé
Page 156 and 157:
5.2 Bilan de l’activité de valid
Page 158 and 159:
5.2 Bilan de l’activité de valid
Page 160 and 161:
5.3 Accent sur quelques avantages d
Page 162 and 163:
5.4 Quelques bonnes pratiques recom
Page 164:
5.5 Retours sur quelques difficult
Page 167 and 168:
156 Conclusion Cette représentatio
Page 170:
Index AltaRica Assertion, 37 Évèn
Page 173 and 174:
162 Bibliographie [14] Matthias Bie
Page 175 and 176:
164 Bibliographie [47] Jeff Offutt,
Page 177:
Résumé Pour certifier un système
show all

Méthodes pour la validation de modèles formels pour la ... - ISAE

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?