Embed Size (px)
Citation preview
23/11/2009
Analyses de sûreté de fonctionnement multi-systèmes
Présenté par
Romain BernardDoctorant LaBRI / ONERA / Airbus
© A
IRB
US
FR
AN
CE
S.A
.S.
All
right
s re
serv
ed.
Con
fiden
tial a
nd p
ropr
ieta
ry d
ocum
ent.
23/11/2009 Page 2
Plan
1. Introduction et objectifs de la thèse
2. Contexte
3. Raffinement AltaRica
4. Raffinement appliqué à la sûreté de fonctionnement
5. Conclusion
© A
IRB
US
FR
AN
CE
S.A
.S.
All
right
s re
serv
ed.
Con
fiden
tial a
nd p
ropr
ieta
ry d
ocum
ent.
23/11/2009 Page 3
Plan
1. Introduction et objectifs de la thèse
2. Contexte
3. Raffinement AltaRica
4. Raffinement appliqué à la sûreté de fonctionnement
5. Conclusion
© A
IRB
US
FR
AN
CE
S.A
.S.
All
right
s re
serv
ed.
Con
fiden
tial a
nd p
ropr
ieta
ry d
ocum
ent.
23/11/2009 Page 4
1. Conception de systèmes embarqués et SdF
• La sécurité dans l’aéronautique est une priorité: certificationBesoin d’analyses de sûreté de fonctionnement des systèmes
(SdF) pour garantir un niveau de sécurité requis
• Evolution des systèmes embarqués liée aux contraintes de poids:
systèmes multi-fonctions, intégration en haussecomplexité d’analyse croissante
Besoin d’outils d’aide aux analyses
• Les avionneurs s’intéressent aux méthodes formelles: modèles formels exploités à l’aide d’outils/services
Scade, Esterel, Simulink, etc… : conceptionAltaRica: sûreté de fonctionnement
© A
IRB
US
FR
AN
CE
S.A
.S.
All
right
s re
serv
ed.
Con
fiden
tial a
nd p
ropr
ieta
ry d
ocum
ent.
23/11/2009 Page 5
1. Utilisation des modèles dans le processus SdF
Documentsde
conception• Description du système
• Schéma d’architecture
AbstractionSdF du Système
InterpretationSdF
•Diagramme de dépendance
•Arbre de défaillances
Résultats de l’analyse SdF
Formalisationactuelle
Résultat informel lié à l’expertise de l’ingénieur
SdF
Modèle formel
Formalisationproposée
Générationautomatisée •Coupes minimales
exhaustives
Résultats de l’analyse SdF
© A
IRB
US
FR
AN
CE
S.A
.S.
All
right
s re
serv
ed.
Con
fiden
tial a
nd p
ropr
ieta
ry d
ocum
ent.
23/11/2009 Page 6
1. Objectifs industriels
• L’utilisation de modèles a introduit dans l’industrie le souhait d’une modélisation complète de l’avion:
Un modèle présentant tous les systèmes embarqués
Une méthodologie d’analyse multi-systèmes est nécessaire
• Les premières expérimentations de connexion de modèles ont montré:
Difficultés de création du modèle:– Gestion des interfaces entre modèles
Difficultés d’exploitation du modèle: – Lenteur des analyses, difficulté d’utilisation des résultats
© A
IRB
US
FR
AN
CE
S.A
.S.
All
right
s re
serv
ed.
Con
fiden
tial a
nd p
ropr
ieta
ry d
ocum
ent.
23/11/2009 Page 7
1. Approche proposée
• Raffinement: cohérence entre différents modèles d’un même systèmes
détaillé pour analyses mono-systèmeabstrait pour analyses multi-systèmes
• Cadre AltaRica: théorème de compositionnalité [Point2000]
bisimulation
A
A’bisimulation
AM
A’M’
• Objectif: théorème de compositonnalité pour du raffinementcoupler des modèles de niveaux de détail différents
• Conception industrielle de systèmes: processus incrémentalConception de modèles formels par raffinement progressif
© A
IRB
US
FR
AN
CE
S.A
.S.
All
right
s re
serv
ed.
Con
fiden
tial a
nd p
ropr
ieta
ry d
ocum
ent.
23/11/2009 Page 8
Plan
1. Introduction et objectifs de la thèse
2. ContexteSûreté de fonctionnementAltaRica et MecV
3. Raffinement AltaRica
4. Raffinement appliqué à la sûreté de fonctionnement
5. Conclusion
© A
IRB
US
FR
AN
CE
S.A
.S.
All
right
s re
serv
ed.
Con
fiden
tial a
nd p
ropr
ieta
ry d
ocum
ent.
23/11/2009 Page 9
2. Contexte détaillé: sûreté de fonctionnement
• Objectif:Vérifier que chaque système répond au critères réglementaires
imposés pour la certification
Fonctions
Ctl yaw
Situations redoutées
Loss of yaw ctl
HAZ
Coupes minimales
G.Fail & B.fail & P3.loss
…
• Principe:
Classification MIN MAJ HAZ CAT
Objectif (/FH) 10-3 10-5 10-7 10-9
© A
IRB
US
FR
AN
CE
S.A
.S.
All
right
s re
serv
ed.
Con
fiden
tial a
nd p
ropr
ieta
ry d
ocum
ent.
23/11/2009 Page 10
2. Processus actuel de SdF
Analysesfonctionnelles
→ fonctions → situations redoutées
Analyses de la sûreté de
fonctionnement
→ coupes minimales→ probabilité d’occurrence
(par heure de vol)
Vue système
Vue équipement
Vue avion
Vue multi-systèmes
© A
IRB
US
FR
AN
CE
S.A
.S.
All
right
s re
serv
ed.
Con
fiden
tial a
nd p
ropr
ieta
ry d
ocum
ent.
23/11/2009 Page 11
Plan
1. Introduction et objectifs de la thèse
2. ContexteSûreté de fonctionnementAltaRica et MecV
3. Raffinement AltaRica
4. Raffinement appliqué à la sûreté de fonctionnement
5. Conclusion
© A
IRB
US
FR
AN
CE
S.A
.S.
All
right
s re
serv
ed.
Con
fiden
tial a
nd p
ropr
ieta
ry d
ocum
ent.
23/11/2009 Page 12
2. Contexte détaillé: AltaRica
• Projet AltaRica:Collaboration chercheurs (LaBRI) et industriels (Dassault…)Création d’un langage formel pour la sûreté de
fonctionnement
• Langages AltaRica:Langage originel: contraintesLangage « industriel »: flot de données
• OutilsSimulationModel checkingGénération de coupes/séquences
© A
IRB
US
FR
AN
CE
S.A
.S.
All
right
s re
serv
ed.
Con
fiden
tial a
nd p
ropr
ieta
ry d
ocum
ent.
23/11/2009 Page 13
2. AltaRica: présentation
node Cpu1
edon
Hypothèses/spécification
state
Status : {ok, err, lost};
init
Status := ok;
flow
Output : {ok, err, lost} : out;
event
error, loss;
extern
law <loss> = exp (1 e -4)
law <error> = exp (1 e -7);
trans
Status = ok |- error -> Status := err;
Status != lost |- loss -> Status := lost;
assert
Output = Status;
Description textuelle d’un noeud AltaRica
• Soit un calculateur « Cpu1 »:
• deux modes de défaillances erroné et perdu
→Trois états possibles: ok (initial), err et lost
• une sortie correcte, erronée ou perdue
→Trois valeurs possibles: ok, err et lost
• deux défaillances: erreur et perte
Status = err
ErrorLoss
LossStatus = lost
Status = ok
• le signal en sortie correspond à l’état du calculateur
• Un composant AltaRica est appelé nœud
Représentation graphique du noeud AltaRica
© A
IRB
US
FR
AN
CE
S.A
.S.
All
right
s re
serv
ed.
Con
fiden
tial a
nd p
ropr
ieta
ry d
ocum
ent.
23/11/2009 Page 14
• La sémantique d’un nœud AltaRica est un système de transition interfacé:
Configurations: variables d’état et de fluxTransitions
2. AltaRica: sémantique
Status = err
Output = err
ErrorLoss
Loss
Status = lost
Output = lost
Status = ok
Output = ok
© A
IRB
US
FR
AN
CE
S.A
.S.
All
right
s re
serv
ed.
Con
fiden
tial a
nd p
ropr
ieta
ry d
ocum
ent.
23/11/2009 Page 15
2. AltaRica: hiérarchie
node RudderCtl
sub
P1,P2,P3:Cpu1;
…
assert
G.in = P1.Output;
…
sync
<P1.loss,P2.loss,P3.loss>;
edon
Description textuelle Représentation graphique
• Un nœud AltaRica peut contenir des instances d’autres nœuds.
© A
IRB
US
FR
AN
CE
S.A
.S.
All
right
s re
serv
ed.
Con
fiden
tial a
nd p
ropr
ieta
ry d
ocum
ent.
23/11/2009 Page 16
• AltaRica est adapté aux modèle dits « de propagation de défaillance »:
Actions nominales (reconfigurations, détections d’erreur…)Défaillances
2. AltaRica: modèle pour la SdF
Observateur
Modèle
Cpu
ServoCtl
© A
IRB
US
FR
AN
CE
S.A
.S.
All
right
s re
serv
ed.
Con
fiden
tial a
nd p
ropr
ieta
ry d
ocum
ent.
23/11/2009 Page 17
• Model checker développé au LaBRI (A.Vincent),
• Capable de:Traiter directement du code AltaRicaManipuler plusieurs nœuds à la foisEffectuer des calculs de points fixes (plus grand ou plus petit)
– pour un ensemble d’états donné, recherche du sous-ensemble d’états satisfaisant les conditions spécifiées
• Outil de calcul nécessitant l’écriture des formules souhaitées dans un langage propre (inspiré du µ-calcul)
2. MecV
ReachA(s) += nodeA!init(s)
| <u><e>(ReachA(u) & nodeA!t(u,e,s));
© A
IRB
US
FR
AN
CE
S.A
.S.
All
right
s re
serv
ed.
Con
fiden
tial a
nd p
ropr
ieta
ry d
ocum
ent.
23/11/2009 Page 18
Plan
1. Introduction et objectifs de la thèse
2. Contexte
3. Raffinement AltaRica
4. Raffinement appliqué à la sûreté de fonctionnement
5. Conclusion
© A
IRB
US
FR
AN
CE
S.A
.S.
All
right
s re
serv
ed.
Con
fiden
tial a
nd p
ropr
ieta
ry d
ocum
ent.
23/11/2009 Page 19
• Besoins industriels:Compositionnalité (pour analyses multi-systèmes)
Préservation des résultats d’analyse (coupes/séquences)
• La compositionnalité sous-entend que tout raffinement d’un système peut être utilisé dans un modèle multi-systèmes:
variables de flux du modèle abstrait à conserver
3. Objectifs liés aux besoins industriels
raffinement
A
A’raffinement
AM
A’M’
© A
IRB
US
FR
AN
CE
S.A
.S.
All
right
s re
serv
ed.
Con
fiden
tial a
nd p
ropr
ieta
ry d
ocum
ent.
23/11/2009 Page 20
• Substitution d’événement
3. Candidats au raffinement
node Cpu0’
…
event
loss1, loss2;
trans
Status != lost |- loss1, loss2 -> Status := lost;
…
edon
node Cpu0
…
event
loss;
trans
Status != lost |- loss -> Status := lost;
…
edon
Status = err
Output = err
Loss1
Status = lost
Output = lost
Status = ok
Output = ok
Loss2Loss
Status = lost
Output = lost
Status = ok
Output = ok
Status = err
Output = err
© A
IRB
US
FR
AN
CE
S.A
.S.
All
right
s re
serv
ed.
Con
fiden
tial a
nd p
ropr
ieta
ry d
ocum
ent.
23/11/2009 Page 21
• Renforcement de la garde d’une transition
3. Candidats au raffinement
Status = err
Output = err
ErrorLoss
Status = lost
Output = lost
Status = ok
Output = ok
node Cpu2
…
event
error, loss;
trans
Status = ok |- error -> Status := err;
Status = ok |- loss -> Status := lost;
…
edon
Status = err
Output = err
ErrorLoss
Loss
Status = lost
Output = lost
Status = ok
Output = ok
node Cpu1
…
event
error, loss;
trans
Status = ok |- error -> Status := err;
Status != lost |- loss -> Status := lost;
…
edon
© A
IRB
US
FR
AN
CE
S.A
.S.
All
right
s re
serv
ed.
Con
fiden
tial a
nd p
ropr
ieta
ry d
ocum
ent.
23/11/2009 Page 22
node Cpu3
sub
Com,Mon:Cpu2
…
flow
Output:{ok,err,lost}:out;
…
edon
• Ajout de hiérarchie
3. Candidats au raffinement
node Cpu2
…
flow
Output:{ok,err,lost}:out;
…
edon
Com
Mon
© A
IRB
US
FR
AN
CE
S.A
.S.
All
right
s re
serv
ed.
Con
fiden
tial a
nd p
ropr
ieta
ry d
ocum
ent.
23/11/2009 Page 23
• Ajout d’événement/transition
3. Candidats au raffinement
Status = err
Output = err
ErrorLoss
Loss
Status = lost
Output = lost
Status = ok
Output = ok
node Cpu1
…
event
error, loss;
trans
Status = ok |- error -> Status := err;
Status != lost |- loss -> Status := lost;
…
edon
node Cpu0
…
event
loss;
trans
Status != lost |- loss -> Status := lost;
…
edon
Status = err
Output = err
Loss
Status = lost
Output = lost
Status = ok
Output = ok
Loss
Non retenu car peut introduire de nouveaux états accessibles
© A
IRB
US
FR
AN
CE
S.A
.S.
All
right
s re
serv
ed.
Con
fiden
tial a
nd p
ropr
ieta
ry d
ocum
ent.
23/11/2009 Page 24
3. Raffinement AltaRica
• La relation de bisimulation forte interfacée [Point2000] est trop contraignante en pratique.
• Nous avons souhaité étudier de nouvelles relations:moins fines: relations de type simulationapplicables aux enrichissements choisisprincipe de compositionnalité
– Étudier les restrictions sur le langage nécessaires pour pouvoir établir le théorème de compositionnalité
• Chaque relation étudiée est spécifiée en MecV:1.Simulation interfacée paramétrée
2.Simulation quasi-branchante interfacée paramétrée
© A
IRB
US
FR
AN
CE
S.A
.S.
All
right
s re
serv
ed.
Con
fiden
tial a
nd p
ropr
ieta
ry d
ocum
ent.
23/11/2009 Page 25
• Classiquement, un objet A simule un objet B si:toute séquence d’événements depuis l’état initial de B peut
être effectuée depuis l’état initial A, les états atteints étant comparables
• MecV nécessite de spécifier les relations permettant de comparer:
les états respectifs (RelF)les événements considérés comme similaires (RelEvt)
3. La relation de simulation
© A
IRB
US
FR
AN
CE
S.A
.S.
All
right
s re
serv
ed.
Con
fiden
tial a
nd p
ropr
ieta
ry d
ocum
ent.
23/11/2009 Page 26
• Simulation interfacée paramétrée:Tout état s’ du nœud détaillé est en relation avec
un état s du nœud abstrait.
Pour toute transition (s’,e’,t’) du nœud détaillé et tout état s en relation avec s’, il existe une transition (s,e,t) du nœud abstrait telle que sont respectivement en relation:
– les flux,– les événements,– les états cibles.
3. La relation de simulation
sim(s,s’) -= RelF(s,s’) &
([e’][t’](transA’(s’,e',t’) =>
<e><t >(transA(s,e,t) & RelEvt(e,e’) & sim(t,t’))));
s
t
s’
t’
relF
sim
e e’
relEvt
© A
IRB
US
FR
AN
CE
S.A
.S.
All
right
s re
serv
ed.
Con
fiden
tial a
nd p
ropr
ieta
ry d
ocum
ent.
23/11/2009 Page 27
• Soit un calculateur de type Cpu1.
• Pour restreindre le comportement, défaillances seulement considérées depuis l’état initial.
• La relation sur les flux est l’égalité.
• La relation sur les événements est l’identité.
3. Renforcement de garde
Status = err
errorloss
Status = lost
Status = ok
Status = err
loss
Status = lost
Status = ok
Cpu1 Cpu2
Cpu2 ne simule pas Cpu1
Cpu1 simule Cpu2
loss
error
© A
IRB
US
FR
AN
CE
S.A
.S.
All
right
s re
serv
ed.
Con
fiden
tial a
nd p
ropr
ieta
ry d
ocum
ent.
23/11/2009 Page 28
• Soit un calculateur de type Cpu0.
• Pour analyses SdF, nécessité de différencier loss1 et loss2 (même effet mais probabilités d’occurrence différentes).
• La relation sur les flux est l’égalité.
• La relation sur les événements est: {loss}≡{loss1,loss2}.
3. Substitution de défaillance
Cpu0 simule Cpu0’
Cpu0’ simule Cpu0
Status = err
loss1 loss2
Status = lost
Status = ok
Cpu0’
Status = err
loss
Status = lost
Status = ok
Cpu0
© A
IRB
US
FR
AN
CE
S.A
.S.
All
right
s re
serv
ed.
Con
fiden
tial a
nd p
ropr
ieta
ry d
ocum
ent.
23/11/2009 Page 29
• Restrictions du langagePriorités
Diffusion dans les vecteurs de synchronisation
• Théorème de compositionnalitéSoient M et M’ deux nœuds hiérarchiques sans priorité ni
diffusion. Alors M simule M’ si tout sous-nœud Ni de M simule un sous-nœud N’i de M’.
3. Compositionnalité
a b
A
a
A’
A simule A’
Hiérarchie:
« b plus prioritaire que a » a
M’
b
M
M ne simule pas M’
© A
IRB
US
FR
AN
CE
S.A
.S.
All
right
s re
serv
ed.
Con
fiden
tial a
nd p
ropr
ieta
ry d
ocum
ent.
23/11/2009 Page 30
• Le théorème permet en plus de calculer des séquences détaillées à partir des séquences abstraites
3. Calcul de séquences
G.fail & B.fail & P3.loss
…
G.fail & B.fail & P3.loss1
G.fail & B.fail & P3.loss2
…
{loss} ≡ {loss1, loss2}
© A
IRB
US
FR
AN
CE
S.A
.S.
All
right
s re
serv
ed.
Con
fiden
tial a
nd p
ropr
ieta
ry d
ocum
ent.
23/11/2009 Page 31
• Besoins:Relation de simulationDistinction: événements observables et non observables
• Travaux existants: Van Glabbeek, Van Benthem
• Simulation quasi-branchante interfacée
3. Simulation quasi-branchante
*
e
*
e’
qb-sim
qb-sim
qb-sim e *
e’
qb-sim
qb-sim
qb-sim
Si aucun événement non observable dans
le nœud abstrait
© A
IRB
US
FR
AN
CE
S.A
.S.
All
right
s re
serv
ed.
Con
fiden
tial a
nd p
ropr
ieta
ry d
ocum
ent.
23/11/2009 Page 32
• Illustration:
• Théorème de compositionnalitéSoient M et M’ deux nœuds hiérarchiques sans priorité ni
diffusion. Alors M qb-simule M’ si tout sous-nœud Ni de M qb-simule un sous-nœud N’i de M’.
3. Simulation quasi-branchante
Bus 1Bus 2
Loss of Bus 1
Loss of Bus 2
Loss of Bus 2
Loss of Bus 1Bus 1Bus 2
Bus 1Bus 2
Bus 1Bus 2
Bus
Bus
Loss
© A
IRB
US
FR
AN
CE
S.A
.S.
All
right
s re
serv
ed.
Con
fiden
tial a
nd p
ropr
ieta
ry d
ocum
ent.
23/11/2009 Page 33
Restrictions CompositionCalcul
séquences
Adéquation besoins
industriels
Bisimulation Non Oui -
SimulationPas de
prioritésOui Oui =
Simulation quasi-
branchante
Pas de priorités
Oui ? +
3. Bilan
• Définition de deux relations de simulation
• Théorèmes de compositionnalité
• Implémentation en MecV de ces relations
© A
IRB
US
FR
AN
CE
S.A
.S.
All
right
s re
serv
ed.
Con
fiden
tial a
nd p
ropr
ieta
ry d
ocum
ent.
23/11/2009 Page 34
Plan
1. Introduction et objectifs de la thèse
2. Contexte
3. Raffinement AltaRica
4. Raffinement appliqué à la sûreté de fonctionnement
5. Conclusion
© A
IRB
US
FR
AN
CE
S.A
.S.
All
right
s re
serv
ed.
Con
fiden
tial a
nd p
ropr
ieta
ry d
ocum
ent.
23/11/2009 Page 35
4. Opérations préparatoires
• En SdF, les séquences ne contiennent que des défaillances:
Nécessité de masquer les événements nominaux
• Le raffinement ne peut être vérifié que si le modèle détaillé n’introduit pas de nouvel état accessible (vis-à-vis de RelF)
Status = errError Correction Loss
Status = lostStatus = ok Status = ok
Error LossStatus = lostStatus = ok Status = ok
État « transitoire »
Transition à masquermasquage
© A
IRB
US
FR
AN
CE
S.A
.S.
All
right
s re
serv
ed.
Con
fiden
tial a
nd p
ropr
ieta
ry d
ocum
ent.
23/11/2009 Page 36
4. Raffinement pour la sûreté de fonctionnement
• Formules MecV de vérification du raffinement implémentées pour être génériques:
Seuls quelques éléments communs à toutes les relations sont à initialiser par l’utilisateur.
• Liberté d’utilisation restreinte à la définition des relations RelF et RelEvt
• MecV permet deux approches:– vérification : relations spécifiées par l’utilisateur– exploration : relations calculées
© A
IRB
US
FR
AN
CE
S.A
.S.
All
right
s re
serv
ed.
Con
fiden
tial a
nd p
ropr
ieta
ry d
ocum
ent.
23/11/2009 Page 37
4. Approches vérification/exploration
• Approche vérification: Travail coûteux pour spécifier tous les événements en
relation
Si la relation est vérifiée par MecV alors le raffinement est prouvé sans travail supplémentaire
• Approche exploration Pas de spécification initiale: RelEvt(e,e’) = true
Si relation non vérifiée par MecV alors pas de raffinement
Si relation vérifiée alors nécessité de vérifier les couples d’événements calculés par MecV
© A
IRB
US
FR
AN
CE
S.A
.S.
All
right
s re
serv
ed.
Con
fiden
tial a
nd p
ropr
ieta
ry d
ocum
ent.
23/11/2009 Page 38
4. Méthodologie de vérification du raffinement
1. Masquage des événements/transitions nominales
2. Test des états accessibles
3. Vérification qualitative Existe-t-il une relation?
4. Analyse quantitative: Génération des séquences détaillées et quantification
© A
IRB
US
FR
AN
CE
S.A
.S.
All
right
s re
serv
ed.
Con
fiden
tial a
nd p
ropr
ieta
ry d
ocum
ent.
23/11/2009 Page 39
4. La compositionnalité pour la SdF
raffinementraffinement
© A
IRB
US
FR
AN
CE
S.A
.S.
All
right
s re
serv
ed.
Con
fiden
tial a
nd p
ropr
ieta
ry d
ocum
ent.
23/11/2009 Page 40
• Méthodologie appliquée sur deux cas d’étude:Calculateur raffiné jusqu’à contenir une architecture
contrôle/commandeSystème de génération électrique
• Expérimentations de vérification globale du raffinement:Vérification possible sur modèles les plus abstraits mais
rapidement impossible sur des modèles plus détaillésConfirme le besoin d’appliquer un raffinement progressif et
de tirer partie de la compositionnalité
4. Bilan
© A
IRB
US
FR
AN
CE
S.A
.S.
All
right
s re
serv
ed.
Con
fiden
tial a
nd p
ropr
ieta
ry d
ocum
ent.
23/11/2009 Page 41
Plan
1. Introduction et objectifs de la thèse
2. Contexte
3. Raffinement AltaRica
4. Raffinement appliqué à la sûreté de fonctionnement
5. Conclusion
© A
IRB
US
FR
AN
CE
S.A
.S.
All
right
s re
serv
ed.
Con
fiden
tial a
nd p
ropr
ieta
ry d
ocum
ent.
23/11/2009 Page 42
• Apports: deux relations étudiées simulation paramétrée interfacée
– Compositionnalité préservée et théorème établi– Algorithmes de calcul des séquences écrit– Relation adaptée au raffinement sans ajout de hiérarchie
simulation quasi-branchante paramétrée interfacée– Compositionnalité préservée et théorème établi– Relation adaptée au raffinement par ajout de hiérarchie
• Perspectives à court terme:Étudier la préservation des séquences pour la relation de
simulation quasi-branchanteAlgorithme de calcul des séquences détaillées à partir des
séquences abstraites pour la simulation quasi-branchante
5. Conclusion: travaux académiques
© A
IRB
US
FR
AN
CE
S.A
.S.
All
right
s re
serv
ed.
Con
fiden
tial a
nd p
ropr
ieta
ry d
ocum
ent.
23/11/2009 Page 43
• Apports industriels:Méthodologie détaillée de raffinementSpécification générique des relations en MecV
– utilisation facilitée– manipulations nécessaires réduites
Enseignement: le raffinement est difficilement vérifiable a posteriori
• Industrialisation:Développer une IHM pour:
– saisir les relations RelF et RelEvt– appels aux différentes relations dans MecV
Identifier de nouveaux besoins (principe de conception) de nouvelles relations à étudier
5. Conclusion: travaux industriels
© A
IRB
US
FR
AN
CE
S.A
.S.
All
right
s re
serv
ed.
Con
fiden
tial a
nd p
ropr
ieta
ry d
ocum
ent.
23/11/2009 Page 44
• Dependable Control of Discrete Systems (DCDS’07)Experiments in model-based safety analysis: flight controls
• International System Safety Conference (ISSC’08)Failure propagation modeling: multi-system safety analysis
• Lambda-Mu (LM16)Raffinement AltaRica pour l’étude de systèmes à différents
niveaux de détail
5. Publications / Communications
© A
IRB
US
FR
AN
CE
S.A
.S.
All
right
s re
serv
ed.
Con
fiden
tial a
nd p
ropr
ieta
ry d
ocum
ent.
23/11/2009 Page 45
© AIRBUS FRANCE S.A.S. Tous droits réservés. Document confidentiel.
Ce document et son contenu sont la propriété d’AIRBUS FRANCE S.A.S. Aucun droit de propriété intellectuelle n’est accordé par la communication du présent document ou son contenu. Ce document ne doit pas être reproduit ou communiqué à un tiers sans l’autorisation expresse et écrite d’AIRBUS FRANCE S.A.S. Ce document et son contenu ne doivent pas être utilisés à d’autres fins que celles qui sont autorisées.
Les déclarations faites dans ce document ne constituent pas une offre commerciale. Elles sont basées sur les postulats indiqués et sont exprimées de bonne foi. Si les motifs de ces déclarations n’étaient pas démontrés, AIRBUS FRANCE S.A.S serait prêt à en expliquer les fondements.
AIRBUS, son logo, A300, A310, A318, A319, A320, A321, A330, A340, A350, A380 et A400M sont des marques déposées.
