Méthodes pour la validation de modèles formels pour la ... - ISAE

More documents

Recommendations

Info

3.2 Processus de modélisation 61 Toujours au niveau du choix des composants à inclure dans le modèle, ce choix peut être raffiné dans le but de rendre explicite certaines fonctions réalisées par un composant. Ainsi, si un composant réel a deux fonctions, il est possible de modéliser chaque fonction par un nœud AltaRica. Au contraire et pour limiter la taille du modèle, il peut être parfois bénéfique de grouper un ensemble de composants réels en un unique nœud AltaRica (par exemple, lorsqu’un ensemble de composants est pris en compte pour le bon fonctionnement du modèle mais n’impacte pas l’occurrence de l’évènement redouté). Dans tous les cas, les choix de modélisation devront être justifiés (majoritairement, grâce à l’analyse fonctionnelle et à l’AMDE) et tracés. Le but de l’identification des composants à inclure dans le modèle peut se résumer de manière simple : – réduire au maximum le nombre de nœuds modélisés dans la bibliothèque (en profitant de la capacité de réutilisation de modèle) ; – permettre une observation fine des comportements et scénarios souhaitant être observés ; – conserver un comportement du modèle conforme à celui du système réel. Enfin, pour chaque composant identifié comme étant à modéliser, le choix des ports d’entréesortie (E/S) se doit de refléter et de modéliser les dépendances fonctionnelles et physiques entre le composant et son environnement. 3.2.2 Caractérisation du comportement d’un composant unitaire : abstraction La section 3.2.1 ayant permis d’identifier les composants devant être modélisés, le comportement de chacun d’entre eux doit désormais être abstrait afin de préparer son implémentation en langage AltaRica. Nous fournissons dans cette section diverses étapes permettant d’initier une réflexion sur cette abstraction et d’obtenir une première représentation comprenant les informations devant être implémentées dans le modèle AltaRica. Nous appellerons cette représentation une spécification. Remarque : Par spécification, nous entendons une description du comportement d’un système, d’un sous-système ou d’un composant. Ainsi, une spécification devra décrire ce qui doit être modélisé. Comme déjà mentionné, le processus proposé ici est loin d’un processus automatique type presse bouton et souvent, la réflexion de l’analyste est mise à contribution. Cependant, divers exemples seront donnés dans des sections ultérieures. Pour un sous-système d’étude considéré et une fois l’architecture et le but du modèle identifiés, nous souhaitons donc à présent 1) caractériser le comportement de chacun des composants identifiés comme étant à modéliser et 2) définir des abstractions permettant de modéliser ce comportement. Il nous est ainsi nécessaire d’identifier, pour chacun des composants : – les comportements fonctionnels : identifier les évènements ayant trait au fonctionnement nominal du composant ainsi que les modes de fonctionnement nominaux ; – les comportements dysfonctionnels : identifier les modes de défaillance du composant ainsi que ses modes de dysfonctionnement (i.e. les états que le système peut atteindre après l’occurrence d’une défaillance) ; – les lois de propagation à l’intérieur du composant : comment réagit le composant à une entrée non nominale ? Comment propage t-il l’information à son tour ?
62 Chapitre 3. Vers une méthodologie unifiée de modélisation AltaRica de systèmes physiques 3.2.2.1 Identification des comportements fonctionnels Les évènements relatifs au fonctionnement nominal du composant peuvent être de différents types. – Des changement de modes de fonctionnement (état de fonctionnement nominal du composant) identifiés grâce aux différents documents de conception disponibles (par exemple, la spécification du composant). Il s’agira par exemple de modéliser l’ouverture (souhaitée) d’une valve ou le changement de configuration d’utilisation du système étudié. – Des changements de phases de fonctionnement du système. Par exemple, le passage d’une phase de fonctionnement normal à une phase de fonctionnement en sous-régime. – Des changements de conditions d’utilisation du système : le comportement du système peut en effet être modifié suivant l’environnement dans lequel il évolue ou suivant l’utilisation que l’utilisateur en fait. Remarque : Bien qu’il soit possible de modéliser différents évènements relatifs au fonctionnement du composant, nous ne nous sommes intéressé qu’à la description des modes de fonctionnement dans une phase de fonctionnement donnée et en fixant les conditions d’utilisation. 3.2.2.2 Identification des comportements dysfonctionnels Les modes de défaillance et les modes de dysfonctionnement peuvent être identifiés à partir d’une analyse fonctionnelle du composant et / ou de l’AMDE. La première, en décrivant les fonctions du composant, fournira les modes de défaillance fonctionnels (par négation des fonctions devant être remplies) ; la seconde fournira pour chaque composant les modes de défaillance organiques. Cependant, bien que plus exhaustive dans la description des modes de défaillance, l’AMDE est excessivement détaillée pour être candidate à un export de l’ensemble de ces modes de défaillance dans le modèle AltaRica. En effet, plusieurs modes de défaillance peuvent avoir une conséquence fonctionnelle identique. Ainsi, le modèle AltaRica sera muni, autant que possible, de modes de défaillance fonctionnels ; chacun d’entre eux pouvant être mis en correspondance avec au moins un mode de défaillance issu de l’AMDE. 3.2.2.3 Caractérisation des propagations Concernant la modélisation des propagations de défaillance, nous nous devons d’identifier comment le composant réagit à une défaillance de son environnement, i.e. nous devons modéliser la réaction de ce composant lors d’une défaillance ainsi que la façon dont il propage l’information à son tour (propagation directe, mitigation de la défaillance, envoi d’un signal d’alarme si détection...). Propager l’ensemble de ces comportements revient à être capable, pour le nœud AltaRica, de « lire » l’information provenant de son environnement et de « transmettre » l’information à ce même environnement. Pour cela, il nous faut définir des abstractions suffisamment expressives permettant de propager les informations dans le modèle (i.e. définir des abstractions pour les variables d’entrées / sorties). Étude boîte noire : Nous commençons par replacer le composant dans son environnement en étudiant celui-ci comme une boîte noire, i.e. on ne s’intéresse pas pour le moment au comportement interne du composant. La figure 3.3 replace le composant étudié dans son environnement : – le composant et éventuellement sa fonction sont indiqués au centre de la figure ;
Page 1 and 2:
THÈSE En vue de l'obtention du DOC
Page 4 and 5:
Table des matières Liste des abré
Page 6 and 7:
Table des figures 1.1 Indicateurs S
Page 8:
Liste des tableaux 1.1 Critère de
Page 12 and 13:
Remerciements Fin de l’étape. ..
Page 14 and 15:
3 que du jus de carotte, même si j
Page 16 and 17:
Introduction L’objectif de cette
Page 18 and 19:
7 l’efficacité de ces activités
Page 20:
Chapitre 1 Concepts généraux auto
Page 23 and 24: 12 Chapitre 1. Concepts généraux
Page 42 and 43: Bien que les arbres de défaillance
Page 44 and 45: 2.2 Syntaxe du langage AltaRica OCA
Page 52 and 53: 2.3 Sémantique du langage AltaRica
Page 60 and 61: 2.4 Outils pour la construction et
Page 62 and 63: 2.5 Autres langages pour la réalis
Page 64 and 65: 2.5 Autres langages pour la réalis
Page 66: Chapitre 3 Vers une méthodologie u
Page 69 and 70: 58 Chapitre 3. Vers une méthodolog
Page 71: 60 Chapitre 3. Vers une méthodolog
Page 112: Chapitre 4 Processus pour la valida
Page 115 and 116: 104 Chapitre 4. Processus pour la v
Page 123 and 124:
112 Chapitre 4. Processus pour la v
Page 125 and 126:
Page 127 and 128:
Page 129 and 130:
Page 131 and 132:
Page 133 and 134:
Page 135 and 136:
Page 137 and 138:
Page 139 and 140:
Page 141 and 142:
Page 143 and 144:
Page 145 and 146:
Page 147 and 148:
Page 150 and 151:
« Plutôt que de répéter sans ce
Page 152 and 153:
5.1 Bilan de l’activité de modé
Page 154 and 155:
5.1 Bilan de l’activité de modé
Page 156 and 157:
5.2 Bilan de l’activité de valid
Page 158 and 159:
5.2 Bilan de l’activité de valid
Page 160 and 161:
5.3 Accent sur quelques avantages d
Page 162 and 163:
5.4 Quelques bonnes pratiques recom
Page 164:
5.5 Retours sur quelques difficult
Page 167 and 168:
156 Conclusion Cette représentatio
Page 170:
Index AltaRica Assertion, 37 Évèn
Page 173 and 174:
162 Bibliographie [14] Matthias Bie
Page 175 and 176:
164 Bibliographie [47] Jeff Offutt,
Page 177:
Résumé Pour certifier un système
show all

Méthodes pour la validation de modèles formels pour la ... - ISAE

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?