2èmes Journées AltaRica
PlateformePlateforme CECILIA CECILIA AltaRica-OCASAltaRica-OCAS
L’Atelier de Sûreté de Fonctionnement L’Atelier de Sûreté de Fonctionnement de Dassault Aviationde Dassault Aviation
22/10/2003 2èmes Journées AltaRica au CIRM de Luminy
OCASOCASOutil de Conception et d’Analyse SystèmeOutil de Conception et d’Analyse Système
19911991 : : Première version de CECILIACECILIA Objectif :Objectif : apporter à toutes les divisions de Dassault Aviation un outil commun permettant de réaliser l’ensemble des études de sécurité.
19941994 : : Etudes des systèmes par modélisation(Fiabex)19961996 : : Première génération automatique
d’arbres de défaillances
19981998 : : Travaux sur le langage AltaRica (Labri, TotalFinaElf, Ixi)
Historique :Historique :
22/10/2003 2èmes Journées AltaRica au CIRM de Luminy
19991999 : : Première version l’atelier AltaRica
20002000 : : Lancement du projet OCAS
20012001 : : Première version opérationnelle déploiement interne Dassault Aviation
20022002 : : Présentation du concept OCAS (modélisation AltaRica) aux autorités de certification Européennes et Américaines
2003 :2003 : Processus de Qualification de l’outil pour Processus de Qualification de l’outil pour le programme Falcon 7X (JAA)le programme Falcon 7X (JAA)
OCASOCASOutil de Conception et d’Analyse SystèmeOutil de Conception et d’Analyse Système
22/10/2003 2èmes Journées AltaRica au CIRM de Luminy
Etudes SdF : Méthodes et OutilsEtudes SdF : Méthodes et OutilsMéthodologie appliquée actuelleMéthodologie appliquée actuelle
Pour chaque type de système sa méthode d ’analyse :
2) Les systèmes complexes et redondants2) Les systèmes complexes et redondants• AMDEC• Arbres de défaillance• Réseau de Petri• Graphes de Markov
1) Les systèmes simples 1) Les systèmes simples • AMDEC
22/10/2003 2èmes Journées AltaRica au CIRM de Luminy
• La complexité croissante des systèmesLa complexité croissante des systèmes à analyser rend inéluctable l’introduction de nouvelles méthodes.
• Un parallèle avec l ’industrie du logicielUn parallèle avec l ’industrie du logiciel
L’industrie de la sûreté de fonctionnement doit suivre le même chemin.
• au cours des années 70/90, l ’assembleur a été remplacé par des langages de plus haut niveau (pascal, fortran, cobol, basic, C ….)
• les années 90-2000 ont vu la naissance d’Ateliers Logiciels permettant une plus forte abstraction (génération automatique de code).
Etudes SdF : Méthodes et OutilsEtudes SdF : Méthodes et OutilsNécessité d’une évolutionNécessité d’une évolution
22/10/2003 2èmes Journées AltaRica au CIRM de Luminy
• Permet d'obtenir des descriptions proches des systèmes étudiés (par opposition AdD, RdP, Graphe de Markov, …)
SpécificitésSpécificités
La réponse : Le Langage AltaRicaLa réponse : Le Langage AltaRicaLangage de description comportementaleLangage de description comportementale
• Permet l'intégration des aspects fonctionnels fonctionnels et dysfonctionnelset dysfonctionnels et donc l'obtention de vues différentes pour la SdF et pour la vérification à partir du même modèle
• Facilite une compilation rigoureusecompilation rigoureuse ("propre") vers les modèles SdF (AdD, RdP, séquences …) et de vérification (Lustre, Esterel)
22/10/2003 2èmes Journées AltaRica au CIRM de Luminy
• Modélisation du comportements fonctionnelfonctionnel et dysfonctionneldysfonctionnel des systèmes à l'aide de bibliothèques de composants réutilisablescomposants réutilisables
FonctionnalitésFonctionnalités
CECILIA AltaRica-OCASCECILIA AltaRica-OCASL’Atelier de SdF de Dassault AviationL’Atelier de SdF de Dassault Aviation
• Construction et simulation interactive graphiquesimulation interactive graphique d’architectures de système.
• Validation des bibliothèques de comportement et des architectures par contrôle automatique contrôle automatique de cohérence de cohérence
• Génération automatique des modèles SdFGénération automatique des modèles SdF (AdD, modèles stochastiques, séquences, …) pour l’évaluation (Fiabilité, Disponibilité, ProductionFiabilité, Disponibilité, Production)
22/10/2003 2èmes Journées AltaRica au CIRM de Luminy
Permet de représenter l’Architecture Fonctionnellel’Architecture Fonctionnelle (missions du systèmes) et l’Architecture Matériellel’Architecture Matérielle (ressources matérielles) par niveaux hiérarchiques
La représentation du Système facilitéeLa représentation du Système facilitée
CECILIA AltaRica-OCASCECILIA AltaRica-OCASRespect de la représentation SystèmeRespect de la représentation Système
plan 4
plan 3
plan 2
plan 1
22/10/2003 2èmes Journées AltaRica au CIRM de Luminy
LangageLangageAltaRicaAltaRica
SimulateurSimulateur
Aralia SimTreeAralia SimTreeCecilia ArborCecilia Arbor
Aralia SimTreeAralia SimTreeCecilia ArborCecilia Arbor
Génération d’arbres Génération d’arbres de défaillancesde défaillances
Interface outilInterface outilcalculs stochastiquescalculs stochastiques
Outil Alta-XOutil Alta-X(ARBoost)(ARBoost)
Outil Alta-XOutil Alta-X(ARBoost)(ARBoost)
Interface outilInterface outilpreuve de propriétépreuve de propriété
Outil MECOutil MEC(LaBRi)(LaBRi)
Outil MECOutil MEC(LaBRi)(LaBRi)
OCAS-SeqOCAS-SeqFIGSeq (EdF)FIGSeq (EdF)
OCAS-SeqOCAS-SeqFIGSeq (EdF)FIGSeq (EdF)
Génération Génération de séquences de séquences d’évènementsd’évènements
Éditeur d’architecturesÉditeur d’architectures
BibliothèquesBibliothèquesde composantsde composants
Validation de la Validation de la modélisationmodélisation
CECILIA OCAS : CECILIA OCAS : L’interopérabilitéL’interopérabilité
22/10/2003 2èmes Journées AltaRica au CIRM de Luminy
CECILIA OCAS : CECILIA OCAS : Atelier FédérateurAtelier Fédérateur
• Outil de référence de la plate-forme logicielle du projet Européen ESACSESACS (Enhanced Safety Assessment of Complex System) regroupant les sociétés Alenia, Airbus, Saab, OFFIS, IRST, Alenia, Airbus, Saab, OFFIS, IRST, Prover, ONERA … Prover, ONERA …
• Déploiement de l’outil PSA Peugeot CitroënPSA Peugeot Citroën Equipes Projet X by WIRE Equipes Projet X by WIRE
• Outil utilisé par les équipes travaillant sur Programme Falcon F7X Dassault Aviation, Dassault Aviation, ABS, Intertechnique, Messier Dowty, Parker, ABS, Intertechnique, Messier Dowty, Parker, Pratt &Whitney, TRW ...) Pratt &Whitney, TRW ...)
22/10/2003 2èmes Journées AltaRica au CIRM de Luminy
Expériences AltaRica Expériences AltaRica Dassault AviationDassault Aviation
• Falcon 7x :• Modélisation du Système de Commandes de
Vol (premier business à commandes de vol toutes électriques)
• Modélisation du Système Carburant
• Rafale :• Etude de la conduite de tir• Simulateur de Maintenance.
22/10/2003 2èmes Journées AltaRica au CIRM de Luminy
Modélisation du Modélisation du Système de Commandes de VolSystème de Commandes de Vol
du Falcon 7xdu Falcon 7x
• Environ 300 éléments principaux• Environ 900 évènements (défaillances)• Environ 120 situations redoutées.
• 40 variantes d’architecture étudiées avec pour objectif:• un système certifiable• un coût minimum• un masse minimum
22/10/2003 2èmes Journées AltaRica au CIRM de Luminy
Modélisation du Modélisation du Système de Commandes de VolSystème de Commandes de Vol
du Falcon 7xdu Falcon 7x
Retour d ’expérienceRetour d ’expérienceen phase d ’avant projeten phase d ’avant projet
• Possibilité d’étudier aisément de nombreuses variantes.
• Réalisation d ’une Analyse Préliminaire de Sécurité approfondie.
22/10/2003 2èmes Journées AltaRica au CIRM de Luminy
Modélisation du Modélisation du Système de Commandes de VolSystème de Commandes de Vol
du Falcon 7xdu Falcon 7x
retour d ’expérienceretour d ’expériencependant la phase de conceptionpendant la phase de conception
• Réutilisation des résultats de l ’Analyse Préliminaire de Sécurité.
• Enrichissement des modèles.• Étude de Sécurité
22/10/2003 2èmes Journées AltaRica au CIRM de Luminy
Modélisation du Modélisation du Système de Commandes de VolSystème de Commandes de Vol
Résultats obtenus.Résultats obtenus.
•En trois mois, toutes les variantes d ’architectures ont été étudiées.
•Méthode proposée aux autorités de certification européennes et américaines.
Pas de refus de principe
22/10/2003 2èmes Journées AltaRica au CIRM de Luminy
CECILIA OCAS et les analyses de sécurité
CECILIA OCAS et les autorités de certification
– SANS OCAS : le processus de vérification des analyses est basé sur une relecture par les autorités des arbres écrits manuellement
– AVEC OCAS : le processus de vérification des analyses est basé sur La confiance dans le modèle
La confiance dans la génération automatique des arbres de défaillance
Qualification de CECILIA OCAS
22/10/2003 2èmes Journées AltaRica au CIRM de Luminy
Qualification de CECILIA OCASConfiance dans les modèles de comportement
Confiance dans l'écriture en code AltaRica des modèles de comportements des composantsSimulation "exhaustive" du modèle composant (complétude)
Le modèle est le reflet "exact" de la connaissance actuelle (spécification) du comportement du composant
Confiance dans le simulateurMise en œuvre d’une Procédure Qualité :
Spécification des « études de cas » représentatives des contextes d’utilisation actuels et futurs (classes de systèmes à étudier)
Identification des restrictions actuelles de modélisation
Identification stricte du périmètre d’utilisation garantissant les résultats produits
Audits réalisés par les autorités européenne de certification
22/10/2003 2èmes Journées AltaRica au CIRM de Luminy
Stratégies de vérification des arbres générés– Soit une comparaison des résultats entre 2 générateurs d'arbres
Utilisation de 2 chaînes de traitement totalement indépendantes - algorithmes différents - implémentation par 2 équipes différentes
Vérification finale : les coupes minimales doivent être identiques
– Soit une comparaison entre 1 générateur d'arbre de défaillance et 1 générateur de séquences
Arbre de défaillance : approche déductive (remontée du flux dysfonctionnel)
Séquence d’événements : approche inductive (simulation directe de la combinaisons de défaillances des composants)
Vérification finale : les coupes minimales et les séquences de même ordre doivent correspondre
Qualification de CECILIA OCASConfiance dans la génération des Arbres
22/10/2003 2èmes Journées AltaRica au CIRM de Luminy
Qualification de CECILIA OCAS
Pas de texte réglementaire concernant la qualification des outils de Sûreté de Fonctionnement
Contexte d’utilisation de CECILIA OCASAvec CECILIA OCAS, on décrit l’architecture Système définie
dans les spécifications (constructeur / équipementiers)
CECILIA OCAS vérifie que l'architecture Système spécifiée répond aux contraintes de sécurité
Dassault Aviation a décidé de suivre le processus de qualification défini dans la DO178B
OCAS doit être qualifié comme un outil de vérification
Méthodologie de Qualification
22/10/2003 2èmes Journées AltaRica au CIRM de Luminy
Qualification de CECILIA OCAS
Référence : document DO-178B / ED-12B « Considérations sur le Logiciel en Vue de la Certification des Systèmes et Equipements de Bord » RTCA-EUROCAE (2000)
DO-178B Chapitre 12 : décrit le processus à mettre en œuvre pour la qualification d’outil et/ou de méthodes (voire formelles) de substitution pour satisfaire aux exigences spécifiées dans DO-178B / ED-12B
Extrait DO-178B section 12.3 « Ce document n’a pas pour objectif de limiter l’utilisation de telle ou telle méthode actuelle ou future. Des méthodes de substitution peuvent être utilisées pour se soutenir l’une l’autre. Par exemple, les méthodes formelles peuvent aider à la qualification de l’outil ou inversement un outil qualifié peut aider à l’utilisation de méthodes formelles »
la JAA (Joint Aviation Authorities) a validé cette approche.
Méthodologie de Qualification
22/10/2003 2èmes Journées AltaRica au CIRM de Luminy
Qualification de OCAS
Dassault Aviation va qualifier l’outil CECILIA OCAS pour son programme F7X
Un Pré-Kit de certification sera disponible dès la qualification de l’outil obtenu sur le F7X (JAA)
Toute société utilisant l’outil CECILIA OCAS sur un autre programme devra adapter ce Kit afin d’obtenir la
qualification pour ce programme.
Qualification de l’outil CECILIA OCAS pour des systèmes appartenant à d’autres secteurs technologiques
Décisions prises suite au processus de Qualification
22/10/2003 2èmes Journées AltaRica au CIRM de Luminy
• Cecilia WorkShop – GFI ConsultingCecilia WorkShop – GFI ConsultingContact : Tony HUTINET - Contact : Tony HUTINET - [email protected]@gfi.fr Tél : +33 (0)1 46 62 30 06 - site Web : Tél : +33 (0)1 46 62 30 06 - site Web : www.gfi.frwww.gfi.fr
• Programme FBW Falcon F7X - Dassault AviationProgramme FBW Falcon F7X - Dassault Aviation Contact : Jean GAUTHIER - Contact : Jean GAUTHIER - [email protected]@dassault-aviation.com
Tél : +33 (0)1 47 11 31 31Tél : +33 (0)1 47 11 31 31
• Projet Européen ESACS (Enhance Safety Projet Européen ESACS (Enhance Safety Assessment of Complex System) – Airbus Assessment of Complex System) – Airbus
Contact : Christel SEGUIN - Contact : Christel SEGUIN - [email protected]@cert.frTél : +33 (0)5 62 25 26 42Tél : +33 (0)5 62 25 26 42
• Projet X by WIRE - PSA Peugeot CitroënProjet X by WIRE - PSA Peugeot Citroën Contact : Raphaël SCHOENIG - Contact : Raphaël SCHOENIG - [email protected]@mpsa.com
Tél : +33 (0)1 56 47 65 98Tél : +33 (0)1 56 47 65 98
Cecilia OCAS : Cecilia OCAS : Renseignements Renseignements ComplémentairesComplémentaires
Top Related