240 likes | 593 Views
2 èmes Journées AltaRica. Plateforme CECILIA AltaRica-OCAS. L’Atelier de Sûreté de Fonctionnement de Dassault Aviation. OCAS Outil de Conception et d’Analyse Système. Historique :. 1991 : Première version de CECILIA
E N D
Plateforme CECILIA AltaRica-OCAS L’Atelier de Sûreté de Fonctionnement de Dassault Aviation
OCASOutil de Conception et d’Analyse Système • Historique : 1991 : Première version de CECILIA Objectif : apporter à toutes les divisions de Dassault Aviation un outil commun permettant de réaliser l’ensemble des études de sécurité. • 1994 : Etudes des systèmes par modélisation • (Fiabex) • 1996 : Première génération automatique • d’arbres de défaillances • 1998 : Travaux sur le langage AltaRica • (Labri, TotalFinaElf, Ixi) 2èmes Journées AltaRica au CIRM de Luminy
OCASOutil de Conception et d’Analyse Système • 1999 : Première version l’atelier AltaRica • 2000 : Lancement du projet OCAS • 2001 : Première version opérationnelle • déploiement interne Dassault Aviation 2002 : Présentation du concept OCAS (modélisation AltaRica) aux autorités de certification Européennes et Américaines 2003 : Processus de Qualification de l’outil pour le programme Falcon 7X (JAA) 2èmes Journées AltaRica au CIRM de Luminy
Etudes SdF : Méthodes et Outils Méthodologie appliquée actuelle • Pour chaque type de système sa méthode d ’analyse : • 1) Les systèmes simples • AMDEC • 2) Les systèmes complexes et redondants • AMDEC • Arbres de défaillance • Réseau de Petri • Graphes de Markov 2èmes Journées AltaRica au CIRM de Luminy
Etudes SdF : Méthodes et Outils Nécessité d’une évolution • La complexité croissante des systèmes à analyser rend inéluctable l’introduction de nouvelles méthodes. • Un parallèle avec l ’industrie du logiciel • au cours des années 70/90, l ’assembleur a été remplacé par des langages de plus haut niveau (pascal, fortran, cobol, basic, C ….) • les années 90-2000 ont vu la naissance d’Ateliers Logiciels permettant une plus forte abstraction (génération automatique de code). • L’industrie de la sûreté de fonctionnement doit suivre le même chemin. 2èmes Journées AltaRica au CIRM de Luminy
La réponse : Le Langage AltaRica Langage de description comportementale • Spécificités • Permet d'obtenir des descriptions proches des systèmes étudiés (par opposition AdD, • RdP, Graphe de Markov, …) • Permet l'intégration des aspects fonctionnels • et dysfonctionnels et donc l'obtention de vues • différentes pour la SdF et pour la vérification • à partir du même modèle • Facilite une compilation rigoureuse ("propre") vers les modèles SdF (AdD, RdP, séquences …) et de vérification (Lustre, Esterel) 2èmes Journées AltaRica au CIRM de Luminy
CECILIA AltaRica-OCAS L’Atelier de SdF de Dassault Aviation • Fonctionnalités • Modélisation du comportements fonctionnel • et dysfonctionnel des systèmes à l'aide de • bibliothèques de composants réutilisables • Construction et simulation interactive graphique • d’architectures de système. • Validation des bibliothèques de comportement et des architectures par contrôle automatique de cohérence • Génération automatique des modèles SdF (AdD, modèles stochastiques, séquences, …) pour l’évaluation (Fiabilité, Disponibilité, Production) 2èmes Journées AltaRica au CIRM de Luminy
plan 1 plan 2 plan 4 plan 3 CECILIA AltaRica-OCAS Respect de la représentation Système • La représentation du Système facilitée Permet de représenter l’Architecture Fonctionnelle (missions du systèmes) et l’Architecture Matérielle (ressources matérielles) par niveaux hiérarchiques 2èmes Journées AltaRica au CIRM de Luminy
Bibliothèques de composants Validation de la modélisation Éditeur d’architectures Langage AltaRica Simulateur Génération de séquences d’évènements Interface outil preuve de propriété Interface outil calculs stochastiques Génération d’arbres de défaillances Outil Alta-X (ARBoost) Outil MEC (LaBRi) Aralia SimTreeCecilia Arbor OCAS-Seq FIGSeq (EdF) CECILIA OCAS : L’interopérabilité 2èmes Journées AltaRica au CIRM de Luminy
CECILIA OCAS : Atelier Fédérateur • Outil utilisé par les équipes travaillant sur Programme Falcon F7X Dassault Aviation, ABS, Intertechnique, Messier Dowty, Parker, Pratt &Whitney, TRW ...) • Outil de référence de la plate-forme logicielle • du projet Européen ESACS (Enhanced Safety Assessment of Complex System) regroupant les sociétés Alenia, Airbus, Saab, OFFIS, IRST, Prover, ONERA … • Déploiement de l’outil PSA Peugeot Citroën Equipes Projet X by WIRE 2èmes Journées AltaRica au CIRM de Luminy
Expériences AltaRica • Dassault Aviation • Falcon 7x : • Modélisation du Système de Commandes de Vol (premier business à commandes de vol toutes électriques) • Modélisation du Système Carburant • Rafale : • Etude de la conduite de tir • Simulateur de Maintenance. 2èmes Journées AltaRica au CIRM de Luminy
Modélisation du • Système de Commandes de Vol • du Falcon 7x • Environ 300 éléments principaux • Environ 900 évènements (défaillances) • Environ 120 situations redoutées. • 40 variantes d’architecture étudiées • avec pour objectif: • un système certifiable • un coût minimum • un masse minimum 2èmes Journées AltaRica au CIRM de Luminy
Modélisation du • Système de Commandes de Vol • du Falcon 7x • Retour d ’expérience • en phase d ’avant projet • Possibilité d’étudier aisément de nombreuses variantes. • Réalisation d ’une Analyse Préliminaire de Sécurité approfondie. 2èmes Journées AltaRica au CIRM de Luminy
Modélisation du • Système de Commandes de Vol • du Falcon 7x • retour d ’expérience • pendant la phase de conception • Réutilisation des résultats de l ’Analyse Préliminaire de Sécurité. • Enrichissement des modèles. • Étude de Sécurité 2èmes Journées AltaRica au CIRM de Luminy
Modélisation du Système de Commandes de Vol Résultats obtenus. • En trois mois, toutes les variantes d ’architectures ont été étudiées. • Méthode proposée aux autorités de certification européennes et américaines. • Pas de refus de principe 2èmes Journées AltaRica au CIRM de Luminy
CECILIA OCAS et les analyses de sécurité CECILIA OCAS et les autorités de certification • SANS OCAS : le processus de vérification des analyses est basé sur une relecture par les autorités des arbres écrits manuellement • AVEC OCAS : le processus de vérification des analyses est basé sur • La confiance dans le modèle • La confiance dans la génération automatique des arbres de défaillance Qualification de CECILIA OCAS 2èmes Journées AltaRica au CIRM de Luminy
Qualification de CECILIA OCAS Confiance dans les modèles de comportement • Confiance dans l'écriture en code AltaRica des modèles de comportements des composants • Simulation "exhaustive" du modèle composant (complétude) • Le modèle est le reflet "exact" de la connaissance actuelle (spécification) du comportement du composant • Confiance dans le simulateur • Mise en œuvre d’une Procédure Qualité : • Spécification des « études de cas » représentatives des contextes d’utilisation actuels et futurs (classes de systèmes à étudier) • Identification des restrictions actuelles de modélisation • Identification stricte du périmètre d’utilisation garantissant les résultats produits Audits réalisés par les autorités européenne de certification 2èmes Journées AltaRica au CIRM de Luminy
Qualification de CECILIA OCAS Confiance dans la génération des Arbres • Stratégies de vérification des arbres générés • Soit une comparaison des résultats entre 2 générateurs d'arbres • Utilisation de 2 chaînes de traitement totalement indépendantes - algorithmes différents - implémentation par 2 équipes différentes • Vérification finale : les coupes minimales doivent être identiques • Soit une comparaison entre 1 générateur d'arbre de défaillance et 1 générateur de séquences • Arbre de défaillance : approche déductive (remontée du flux dysfonctionnel) • Séquence d’événements : approche inductive (simulation directe de la combinaisons de défaillances des composants) • Vérification finale : les coupes minimales et les séquences de même ordre doivent correspondre 2èmes Journées AltaRica au CIRM de Luminy
Qualification de CECILIA OCAS Méthodologie de Qualification • Pas de texte réglementaire concernant la qualification des outils de Sûreté de Fonctionnement • Contexte d’utilisation de CECILIA OCAS • Avec CECILIA OCAS, on décrit l’architecture Système définie dans les spécifications (constructeur / équipementiers) • CECILIA OCAS vérifie que l'architecture Système spécifiée répond aux contraintes de sécurité • Dassault Aviation a décidé de suivre le processus de qualification défini dans la DO178B OCAS doit être qualifié comme un outil de vérification 2èmes Journées AltaRica au CIRM de Luminy
Qualification de CECILIA OCAS Méthodologie de Qualification Référence : document DO-178B / ED-12B « Considérations sur le Logiciel en Vue de la Certification des Systèmes et Equipements de Bord » RTCA-EUROCAE (2000) DO-178B Chapitre 12 : décrit le processus à mettre en œuvre pour la qualification d’outil et/ou de méthodes (voire formelles) de substitution pour satisfaire aux exigences spécifiées dans DO-178B / ED-12B Extrait DO-178B section 12.3 « Ce document n’a pas pour objectif de limiter l’utilisation de telle ou telle méthode actuelle ou future. Des méthodes de substitution peuvent être utilisées pour se soutenir l’une l’autre. Par exemple, les méthodes formelles peuvent aider à la qualification de l’outil ou inversement un outil qualifié peut aider à l’utilisation de méthodes formelles » la JAA (Joint Aviation Authorities) a validé cette approche. 2èmes Journées AltaRica au CIRM de Luminy
Qualification de OCAS Décisions prises suite au processus de Qualification • Dassault Aviation va qualifier l’outil CECILIA OCAS pour son programme F7X • Un Pré-Kit de certification sera disponible dès la qualification de l’outil obtenu sur le F7X (JAA) • Toute société utilisant l’outil CECILIA OCAS sur un autre programme devra adapter ce Kit afin d’obtenir la qualification pour ce programme. Qualification de l’outil CECILIA OCAS pour des systèmes appartenant à d’autres secteurs technologiques 2èmes Journées AltaRica au CIRM de Luminy
Cecilia OCAS : Renseignements Complémentaires • Cecilia WorkShop – GFI Consulting • Contact : Tony HUTINET - thutinet@gfi.fr • Tél : +33 (0)1 46 62 30 06 - site Web : www.gfi.fr • Programme FBW Falcon F7X - Dassault AviationContact : Jean GAUTHIER - jean.gauthier@dassault-aviation.com • Tél : +33 (0)1 47 11 31 31 • Projet Européen ESACS (Enhance Safety Assessment of Complex System) – Airbus • Contact : Christel SEGUIN - christel.seguin@cert.fr • Tél : +33 (0)5 62 25 26 42 • Projet X by WIRE - PSA Peugeot CitroënContact : Raphaël SCHOENIG - raphael.schoenig@mpsa.com • Tél : +33 (0)1 56 47 65 98 2èmes Journées AltaRica au CIRM de Luminy