1 / 18

Journée SEE-SIC Thème « Modélisation comportementale des Systèmes critiques »

Utilisation de la modélisation comportementale comme outil supplémentaire pour la qualification des COTS. Journée SEE-SIC Thème « Modélisation comportementale des Systèmes critiques ». Sommaire de la présentation. Contexte L’approche proposée

kalei
Download Presentation

Journée SEE-SIC Thème « Modélisation comportementale des Systèmes critiques »

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Utilisation de la modélisation comportementale commeoutil supplémentaire pour la qualification des COTS Journée SEE-SIC Thème « Modélisation comportementale des Systèmes critiques »

  2. Sommaire de la présentation • Contexte • L’approche proposée • la méthode (analyse fonctionnelle, AMDE, analyse comportementale, injection de fautes) • l’outil de modélisation utilisé • L’application à un cas concret • Premières conclusions

  3. Contexte de l ’étude • Systèmes de Contrôle Commande pour l’énergie • Evolution de systèmes câblés vers systèmes numériques • Jusqu’à présent, pour les systèmes classés : systèmes spécifiques • A l’avenir, utilisation de systèmes catalogues ou COTS • Une problématique : qualification de ces COTS

  4. Validation des mécanismes de tolérance aux fautes en place Identification des points faibles du produit Identification de solutions correctives (architecture, applications…) Effort de qualification réduit par utilisation d’injection de fautes dans le modèle Optimisation des tests de non-régression Connaissance précise et outil d’analyse du comportement interne du système Résultats attendus

  5. La démarche proposée (1/2) • Approche générique en quatre étapes • Analyse fonctionnelle du système • Analyse des Modes de Défaillance et de leurs Effets • Modélisation du système et injection de fautes • Validation du modèle (tests représentatifs) • Application et validation de la démarche • Implémentation de la méthode avec l’exemple du TRICON • Choix d’une application représentative • Choix d’une architecture cible

  6. La démarche proposée (2/2) • Analyse fonctionnelle • Inventaire des missions du système (analyse fonctionnelle externe) • Inventaire des fonctions de chaque composant et contribution aux missions du système (analyse fonctionnelle interne) • AMDE • Inventaire des types de défaillance • Inventaire des mécanismes de tolérance aux fautes (détection et moyens de recouvrement) • Modélisation et injection de fautes • Modélisation de l’architecture fonctionnelle du système • Modélisation comportementale de chaque composant du système • Définition et implémentation des scénarios d’injection de fautes • Observation en différents points

  7. Résumé de la méthode

  8. Injection de fautes

  9. Choix de l’outil de modélisation • Etat de l’art des outils de modélisation comportementale • Elaboration d’un grille d’évaluation détaillée • Résultat synthétique de l ’évaluation des outils étudiés :

  10. L’outil de modélisation : ELSIR • Basé sur deux formalismes : • SADT pour structurer le modèle • Réseaux de Petri pour modélisation comportementale des composants • Permet l’injection de fautes et l’observation au sein des RdP • Le système cible : TRICON de TRICONEX • L’application • Chaîne d’arrêt d’urgence simplifiée par très bas niveau GV (représentative d’une application classée 1E) • Note : la validation par tests n’a pas été réalisée La méthode appliquée à un système particulier

  11. Architecture cible

  12. AMDE et Scénario d’injection de faute - Exemple

  13. Structuration du modèle (1/3)

  14. Structuration du modèle (2/3)

  15. Structuration du modèle (3/3)

  16. Exemple de RdP avec point d’injection de faute

  17. Ressources engagées • Licence ELSIR • Investissement du constructeur • Connaissances en RdP, analyse fonctionnelle, SdF et systèmes de contrôle-commande • 1 ingénieur x mois pour analyse fonctionnelle • 1 ingénieur x mois pour AMDE • 2,5 ingénieurs x mois pour analyse comportementale • A prendre en compte : ressources supplémentaires pour tests de validation Coûts

  18. Sur la méthode • Validation de mécanismes de tolérance aux fautes • Validation de l’ensemble système + application • Méthodologie simple à mettre en œuvre permettant la discussion avec le constructeur et les autorités de sûreté en tout point du projet. • Autres exploitations possibles de la méthodologie • Approche générique transposable à d’autres systèmes de sûreté et outils de modélisation • Possibilité de tests de non-régression en phase de spécification et de validation de systèmes tolérant aux fautes • Définition de tests ciblés sur les mécanismes de tolérance aux fautes de systèmes de sûreté. Conclusions

More Related