180 likes | 294 Views
Utilisation de la modélisation comportementale comme outil supplémentaire pour la qualification des COTS. Journée SEE-SIC Thème « Modélisation comportementale des Systèmes critiques ». Sommaire de la présentation. Contexte L’approche proposée
E N D
Utilisation de la modélisation comportementale commeoutil supplémentaire pour la qualification des COTS Journée SEE-SIC Thème « Modélisation comportementale des Systèmes critiques »
Sommaire de la présentation • Contexte • L’approche proposée • la méthode (analyse fonctionnelle, AMDE, analyse comportementale, injection de fautes) • l’outil de modélisation utilisé • L’application à un cas concret • Premières conclusions
Contexte de l ’étude • Systèmes de Contrôle Commande pour l’énergie • Evolution de systèmes câblés vers systèmes numériques • Jusqu’à présent, pour les systèmes classés : systèmes spécifiques • A l’avenir, utilisation de systèmes catalogues ou COTS • Une problématique : qualification de ces COTS
Validation des mécanismes de tolérance aux fautes en place Identification des points faibles du produit Identification de solutions correctives (architecture, applications…) Effort de qualification réduit par utilisation d’injection de fautes dans le modèle Optimisation des tests de non-régression Connaissance précise et outil d’analyse du comportement interne du système Résultats attendus
La démarche proposée (1/2) • Approche générique en quatre étapes • Analyse fonctionnelle du système • Analyse des Modes de Défaillance et de leurs Effets • Modélisation du système et injection de fautes • Validation du modèle (tests représentatifs) • Application et validation de la démarche • Implémentation de la méthode avec l’exemple du TRICON • Choix d’une application représentative • Choix d’une architecture cible
La démarche proposée (2/2) • Analyse fonctionnelle • Inventaire des missions du système (analyse fonctionnelle externe) • Inventaire des fonctions de chaque composant et contribution aux missions du système (analyse fonctionnelle interne) • AMDE • Inventaire des types de défaillance • Inventaire des mécanismes de tolérance aux fautes (détection et moyens de recouvrement) • Modélisation et injection de fautes • Modélisation de l’architecture fonctionnelle du système • Modélisation comportementale de chaque composant du système • Définition et implémentation des scénarios d’injection de fautes • Observation en différents points
Choix de l’outil de modélisation • Etat de l’art des outils de modélisation comportementale • Elaboration d’un grille d’évaluation détaillée • Résultat synthétique de l ’évaluation des outils étudiés :
L’outil de modélisation : ELSIR • Basé sur deux formalismes : • SADT pour structurer le modèle • Réseaux de Petri pour modélisation comportementale des composants • Permet l’injection de fautes et l’observation au sein des RdP • Le système cible : TRICON de TRICONEX • L’application • Chaîne d’arrêt d’urgence simplifiée par très bas niveau GV (représentative d’une application classée 1E) • Note : la validation par tests n’a pas été réalisée La méthode appliquée à un système particulier
Ressources engagées • Licence ELSIR • Investissement du constructeur • Connaissances en RdP, analyse fonctionnelle, SdF et systèmes de contrôle-commande • 1 ingénieur x mois pour analyse fonctionnelle • 1 ingénieur x mois pour AMDE • 2,5 ingénieurs x mois pour analyse comportementale • A prendre en compte : ressources supplémentaires pour tests de validation Coûts
Sur la méthode • Validation de mécanismes de tolérance aux fautes • Validation de l’ensemble système + application • Méthodologie simple à mettre en œuvre permettant la discussion avec le constructeur et les autorités de sûreté en tout point du projet. • Autres exploitations possibles de la méthodologie • Approche générique transposable à d’autres systèmes de sûreté et outils de modélisation • Possibilité de tests de non-régression en phase de spécification et de validation de systèmes tolérant aux fautes • Définition de tests ciblés sur les mécanismes de tolérance aux fautes de systèmes de sûreté. Conclusions