La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

INCREMENT Une approche pour modéliser et analyser dans le large les exigences réglementaires de sûreté Nicolas Sannier 1, 2 Sous la direction de Benoit.

Présentations similaires


Présentation au sujet: "INCREMENT Une approche pour modéliser et analyser dans le large les exigences réglementaires de sûreté Nicolas Sannier 1, 2 Sous la direction de Benoit."— Transcription de la présentation:

1 INCREMENT Une approche pour modéliser et analyser dans le large les exigences réglementaires de sûreté Nicolas Sannier 1, 2 Sous la direction de Benoit Baudry 2, Thuy Nguyen 1, Laurence Picci 1 1 EDF R&D - STEP P1A 2 Inria Rennes Bretagne Atlantique – Triskell Triskell Team

2 A propos … Du contrôle-commande et de ses exigences Le contrôle-commande nucléaire : Permet de mesurer et de piloter lactivité de la centrale Va des capteurs aux interfaces Homme-Système Doit répondre à différentes exigences Les exigences fonctionnelles et de performance 2

3 A propos … Des systèmes classés de sûreté Systèmes importants pour la sûreté Systèmes dont la défaillance (erreurs, perte) entraînerait la perte ou des dommages importants aux personnes, installations, à lenvironnement Exigences de sûreté 3

4 A propos … des exigences de sûreté de fonctionnement Les exigences de sûreté de fonctionnement au regard de la raison dêtre du système Déterminées par le maître douvrage Risques, fiabilité, disponibilité, maintenabilité, … Les exigences réglementaires de sûreté Imposées au maître douvrage par les pouvoirs publics Pour la protection des personnes et de lenvironnement Sont ambigües, non vérifiables, non atomiques, … Hétérogénéité des sources, Domaine en forte évolution et complexe 4

5 A propos … Les différentes sources dexigences réglementaires Les textes réglementaires de haut niveau, fixent des objectifs globaux Les guides réglementaires pratiques jugées acceptables par une autorité réglementaire Les normes nationales et internationales Sont parfois imposées, sinon dapplication volontaire Les pratiques Pratiques acceptées sur des projets « récents » 5

6 A propos … Dimensions des évolutions récentes des exigences réglementaires Une dimension temporelle Multiplication des normes avec larrivée de nouvelles technologies Aspects logiciels pour les systèmes de CC en France : 1 norme à appliquer en en 2013 Une dimension « internationale » différentes cultures de sûreté 6[4] Sannier, Baudry & Nguyen – MODRE 2011

7 A propos … de lorganisation du domaine et de la traçabilité des exigences 7[*] Sannier & Baudry – RELAW' 2012 Quelles sont les exigences Relatives à … ?

8 Questions de recherche Objectifs industriels Formaliser et organiser dans le large et à haut niveau la connaissance métier dune façon pertinente du point de vue dun ingénieur nucléaire Acquisition, navigation, manipulation dans le modèle Verrous scientifiques 1. 1.Adéquation des techniques de modélisation et de traçabilité de létat de lart pour ces objectifs et ce domaine ? 2. 2.Comment analyser de tels modèles, comment aider la traçabilité de ces exigences réglementaires ? 8

9 There are known knowns. These are things we know that we know. There are known unknowns. That is to say, there are things that we know we dont know. But there are also unknown unknowns. There are things we dont know we dont know. Donald Rumsfeld, cited in Sawyer et al., RE 2011 Etat de lart 9

10 Etat de lart Une problématique multi-domaines 3 domaines Ingénierie des exigences Ingénierie dirigée par les modèles Recherche dinformation 4 préoccupations La définition / formalisation dexigences La prise en compte des exigences réglementaires La traçabilité Dans le large 10

11 Etat de lart Une problématique multi-domaines 11 Ingénierie des exigences Ingénierie (des exigences) dirigée par les modèles Techniques de recherche dinformation Traçabilité des exigences Spécification des exigences exigences légales et réglementation UML, SysML Traçabilité des exigences recherche dinformation KAOS, i* GRL Cresco SafetyMet …

12 Etat de lart Synthèse et limites courantes 12 PatronsUMLSysMLKAOSi* Concepts manipulés ExigencesÉlts. diagramme ExigencesButs, attentes, exigences Exigences réglementaires Non Traçabilité NonAssociations Dans le large … Non Modules Anton et al. Amyot et al. Briand et al. Cleland et al.Travaux RI Concepts manipulés Droits et devoirs Exigences Documents Exigences réglementaires HIPAATransportsNormes de sûreté Non Traçabilité Non AssociationsCandidats Dans le large … Non NormeModulesCorpora

13 INCREMENT : une approche hybride pour modéliser et analyser dans le large les exigences réglementaires de sûreté 13

14 Contributions de la thèse Comment formaliser et organiser la connaissance métier dune façon pertinente du point de vue dun ingénieur nucléaire ? Un métamodèle du domaine (Connexion) Une fois les concepts formalisés, comment acquérir, naviguer et manipuler des modèles ? Une base outillée pour lacquisition, la manipulation et la navigation (IncrementParser, IncrementGUI) Comment analyser de tels modèles, comment aider la traçabilité de ces exigences réglementaires ? Des outils dindexation et de recherche dinformation branchés sur les modèles (IncrementTools, IncrementIndex) 14

15 INCREMENT Une approche hybride pour un problème hybride 15 Ingénierie des exigences Ingénierie (des exigences) dirigée par les modèles Techniques de recherche dinformation Traçabilité des exigences Spécification des exigences exigences légales et réglementation UML, SysML Traçabilité des exigences recherche dinformation KAOS, i* GRL Cresco SafetyMet …. INCREMENT

16 INCREMENT Une approche hybride pour un problème hybride Instrumentation aNd Control REquirements Modeling environmENT INCREMENT-MDE IDM pour formaliser et capitaliser sur le domaine INCREMENT-IR Recherche dinformation (RI) pour lanalyse des contenus textuels INCREMENT-Hybrid Hybridation IDM/RI dans un même environnement 16[*] Sannier & Baudry - submitted to REFSQ' 2014

17 INCREMENT-MDE : une approche dIngénierie Dirigée par les Modèles 17

18 INCREMENT-MDE : une approche dIDM Construction dun métamodèle 18* Plus de détails dans la thèse ou sur htpp://nicolassannier.wordpress.com Etat de lart académique Experts métier IncrementParser Métamodèles Données métier IncrementTools IncrementGUI

19 INCREMENT-MDE : une approche dIDM Concepts du métamodèle 19

20 INCREMENT-MDE : une approche dIDM 3- Un environnement support à la modélisation : IncrementGUI 20 Liste des regroupements Corpora, topics, projets, Règles de design, interactions … Liste des éléments et verbatimspropriétés

21 INCREMENT-MDE : une approche dIDM Des briques supports à lacquisition, la manipulation et lanalyse Un ensemble de briques pour lacquisition et lanalyse des modèles IncrementParser : un analyseur configurable pour lacquisition IncrementGUI : un environnement de modélisation IncrementTools : ensemble de règles et de méthodes sur les modèles Acquisition automatique de 8 normes CEI, plus de 8000 éléments + normes IEEE, AIEA Un extracteur depuis la base de données CONNEXION (800 exi.) Génération de collections génériques éditables 21

22 INCREMENT Limites dune approche IDM 22 10CFR50: RegulatoryDocument name: 10CFR50 title: 10CFR50 - Appendix A name: 10CFR50 title: 10CFR50 - Appendix A 10CFR50–A.3:Section name: 10CFR50–A.3 title: III. Protection and Reactivity Control Systems verbatim: III. Protection and Reactivity Control Systems \n Criterion 20Protection system functions. The protection system shall be designed (1) to initiate automatically the operation of appropriate systems including the reactivity control systems, to assure that specified acceptable … name: 10CFR50–A.3 title: III. Protection and Reactivity Control Systems verbatim: III. Protection and Reactivity Control Systems \n Criterion 20Protection system functions. The protection system shall be designed (1) to initiate automatically the operation of appropriate systems including the reactivity control systems, to assure that specified acceptable … tf22:TextFragment name: tf22 id: 10CFR50 – Appendix A III - Criterion 22 verbatim: Criterion 22-Protection system independence The protection system shall be designed to assure that the effects of natural phenomena, and of normal operating, maintenance, testing, and postulated accident conditions on redundant channels do not result in loss of the protection function... name: tf22 id: 10CFR50 – Appendix A III - Criterion 22 verbatim: Criterion 22-Protection system independence The protection system shall be designed to assure that the effects of natural phenomena, and of normal operating, maintenance, testing, and postulated accident conditions on redundant channels do not result in loss of the protection function... fragments 10CFR50-A3.22:RegulatoryRequirement id: 10CFR50-A3.22 name: 10CFR50-A3.22 verbatim: Protection system independence. The protection system shall be designed to assure that the effects of natural phenomena, and of normal operating, maintenance, testing, and postulated accident conditions on … classification: IEEE 1E IEEE non-1E inputAuthor: AREVA date: 2013 systemTarget: Protection system: RTS, ESFAS, DCS id: 10CFR50-A3.22 name: 10CFR50-A3.22 verbatim: Protection system independence. The protection system shall be designed to assure that the effects of natural phenomena, and of normal operating, maintenance, testing, and postulated accident conditions on … classification: IEEE 1E IEEE non-1E inputAuthor: AREVA date: 2013 systemTarget: Protection system: RTS, ESFAS, DCS : TypedElementCorpus elements fromDocuments analyzedAs corpus corpus: Corpus name: corpus fragments

23 INCREMENT Limites dune approche IDM 23 10CFR50: RegulatoryDocument name: 10CFR50 title: 10CFR50 - Appendix A name: 10CFR50 title: 10CFR50 - Appendix A 10CFR50–A.3: Section name: 10CFR50–A.3 title: III. Protection and Reactivity Control Systems verbatim: III. Protection and Reactivity Control Systems \n Criterion 20Protection system functions. The protection system shall be designed (1) to initiate automatically the operation of appropriate systems including the reactivity control systems, to assure that specified acceptable … name: 10CFR50–A.3 title: III. Protection and Reactivity Control Systems verbatim: III. Protection and Reactivity Control Systems \n Criterion 20Protection system functions. The protection system shall be designed (1) to initiate automatically the operation of appropriate systems including the reactivity control systems, to assure that specified acceptable … tf22: TextFragment name: tf22 id: 10CFR50 – Appendix A III - Criterion 22 verbatim: Criterion 22-Protection system independence The protection system shall be designed to assure that the effects of natural phenomena, and of normal operating, maintenance, testing, and postulated accident conditions on redundant channels do not result in loss of the protection function... name: tf22 id: 10CFR50 – Appendix A III - Criterion 22 verbatim: Criterion 22-Protection system independence The protection system shall be designed to assure that the effects of natural phenomena, and of normal operating, maintenance, testing, and postulated accident conditions on redundant channels do not result in loss of the protection function... fragments 10CFR50-A3.22: RegulatoryRequirement id: 10CFR50-A3.22 name: 10CFR50-A3.22 verbatim: Protection system independence. The protection system shall be designed to assure that the effects of natural phenomena, and of normal operating, maintenance, testing, and postulated accident conditions on … classification: IEEE 1E IEEE non-1E inputAuthor: AREVA date: 2013 systemTarget: Protection system: RTS, ESFAS, DCS id: 10CFR50-A3.22 name: 10CFR50-A3.22 verbatim: Protection system independence. The protection system shall be designed to assure that the effects of natural phenomena, and of normal operating, maintenance, testing, and postulated accident conditions on … classification: IEEE 1E IEEE non-1E inputAuthor: AREVA date: 2013 systemTarget: Protection system: RTS, ESFAS, DCS : TypedElementCorpus elements fromDocuments analyzedAs corpus corpus: Corpus name: corpus fragments

24 INCREMENT Limites dune approche IDM 24 10CFR50: RegulatoryDocument name: 10CFR50 title: 10CFR50 - Appendix A name: 10CFR50 title: 10CFR50 - Appendix A 10CFR50–A.3:Section name: 10CFR50–A.3 title: III. Protection and Reactivity Control Systems verbatim: III. Protection and Reactivity Control Systems \n Criterion 20Protection system functions. The protection system shall be designed (1) to initiate automatically the operation of appropriate systems including the reactivity control systems, to assure that specified acceptable … name: 10CFR50–A.3 title: III. Protection and Reactivity Control Systems verbatim: III. Protection and Reactivity Control Systems \n Criterion 20Protection system functions. The protection system shall be designed (1) to initiate automatically the operation of appropriate systems including the reactivity control systems, to assure that specified acceptable … tf22:TextFragment name: tf22 id: 10CFR50 – Appendix A III - Criterion 22 verbatim: Criterion 22-Protection system independence The protection system shall be designed to assure that the effects of natural phenomena, and of normal operating, maintenance, testing, and postulated accident conditions on redundant channels do not result in loss of the protection function... name: tf22 id: 10CFR50 – Appendix A III - Criterion 22 verbatim: Criterion 22-Protection system independence The protection system shall be designed to assure that the effects of natural phenomena, and of normal operating, maintenance, testing, and postulated accident conditions on redundant channels do not result in loss of the protection function... fragments 10CFR50-A3.22:RegulatoryRequirement id: 10CFR50-A3.22 name: 10CFR50-A3.22 verbatim: Protection system independence. The protection system shall be designed to assure that the effects of natural phenomena, and of normal operating, maintenance, testing, and postulated accident conditions on … classification: IEEE 1E IEEE non-1E inputAuthor: AREVA date: 2013 systemTarget: Protection system: RTS, ESFAS, DCS id: 10CFR50-A3.22 name: 10CFR50-A3.22 verbatim: Protection system independence. The protection system shall be designed to assure that the effects of natural phenomena, and of normal operating, maintenance, testing, and postulated accident conditions on … classification: IEEE 1E IEEE non-1E inputAuthor: AREVA date: 2013 systemTarget: Protection system: RTS, ESFAS, DCS : TypedElementCorpus elements fromDocuments analyzedAs corpus corpus: Corpus name: corpus fragments

25 INCREMENT Limites dune approche IDM 25 10CFR50: RegulatoryDocument name: 10CFR50 title: 10CFR50 - Appendix A name: 10CFR50 title: 10CFR50 - Appendix A 10CFR50–A.3:Section name: 10CFR50–A.3 title: III. Protection and Reactivity Control Systems verbatim: III. Protection and Reactivity Control Systems \n Criterion 20Protection system functions. The protection system shall be designed (1) to initiate automatically the operation of appropriate systems including the reactivity control systems, to assure that specified acceptable … name: 10CFR50–A.3 title: III. Protection and Reactivity Control Systems verbatim: III. Protection and Reactivity Control Systems \n Criterion 20Protection system functions. The protection system shall be designed (1) to initiate automatically the operation of appropriate systems including the reactivity control systems, to assure that specified acceptable … tf22:TextFragment name: tf22 id: 10CFR50 – Appendix A III - Criterion 22 verbatim: Criterion 22-Protection system independence The protection system shall be designed to assure that the effects of natural phenomena, and of normal operating, maintenance, testing, and postulated accident conditions on redundant channels do not result in loss of the protection function... name: tf22 id: 10CFR50 – Appendix A III - Criterion 22 verbatim: Criterion 22-Protection system independence The protection system shall be designed to assure that the effects of natural phenomena, and of normal operating, maintenance, testing, and postulated accident conditions on redundant channels do not result in loss of the protection function... fragments 10CFR50-A3.22:RegulatoryRequirement id: 10CFR50-A3.22 name: 10CFR50-A3.22 verbatim: Protection system independence. The protection system shall be designed to assure that the effects of natural phenomena, and of normal operating, maintenance, testing, and postulated accident conditions on … classification: IEEE 1E IEEE non-1E inputAuthor: AREVA date: 2013 systemTarget: Protection system: RTS, ESFAS, DCS id: 10CFR50-A3.22 name: 10CFR50-A3.22 verbatim: Protection system independence. The protection system shall be designed to assure that the effects of natural phenomena, and of normal operating, maintenance, testing, and postulated accident conditions on … classification: IEEE 1E IEEE non-1E inputAuthor: AREVA date: 2013 systemTarget: Protection system: RTS, ESFAS, DCS : TypedElementCorpus elements fromDocuments analyzedAs corpus corpus: Corpus name: corpus fragments

26 INCREMENT Vers une approche de recherche dinformation Un modèle dexigences : De taille importante (plusieurs milliers déléments) Contenu est essentiellement textuel, de haut niveau et ambigu Limitations du nombre dopérations sur les modèles Définition de plusieurs types de lien de traçabilité Pas déléments pour calculer et mettre en œuvre la traçabilité Traçabilité des exigences avec la recherche dinformation 26

27 INCREMENT Indexation et de recherche dinformation (TF-IDF) Indexation pour stocker, trier les informations dun document (unité de traitement) dans des champs Un document est un fragment de texte (taille et forme indifférente) Un calcul de similarité entre une requête portant sur un ou plusieurs champs des documents de lindex Term frequency (TF) : plus le ou les termes apparaissent dans le document, plus le score est haut Inverse document frequency (IDF) : Plus le terme apparait dans les documents, plus il est commun, moins il est important Score TF-IDF : plus les documents contiennent les termes de la requête plus le score est haut 27

28 INCREMENT Limites dune approche recherche dinformation Forte génération de faux positif avec les scores TF-IDF Traçabilité = favorisation du rappel au détriment de la précision Dautant plus forte que tout le contenu des documents est conservé Maîtriser la génération de faux-positif dans létat de lart Valeur de coupure arbitraire Regroupements entre « bonnes » et « mauvaises » exigences 28

29 INCREMENT-Hybrid : une hybridation IDM / Recherche dinformation 29

30 INCREMENT-Hybrid Hybrider lIDM et la recherche dinformation Un modèle dexigences Acquis de manière semi-automatique Riche en informations peu exploitable pour des analyses automatiques sur les verbatims Un index Acquis manuellement De taille raisonnable (> 8000 documents pour 8 normes) : à plat, sans typologie, avec peu dinformations sinon les textes Mettre à disposition automatiquement et prendre en compte les informations du modèle pour lindexation et la recherche dinformation 30

31 INCREMENT-Hybrid Questions de recherche Comment indexer les propriétés dun modèle dexigences ? Une analyse de la synchronisation modèle – index sur le patron CRUD Un mécanisme dindexation automatique des éléments de modèle Quelle efficacité de lutilisation des propriétés du modèle pour la maîtrise des faux positifs ? Une étude sur limpact de lutilisation du typage pour améliorer la recherche dinformation 31

32 INCREMENT-Hybrid Indexer les propriétés dun modèle ? 32[2] Sannier & Baudry – MODRE 2012

33 INCREMENT-Hybrid Mécanisme de synchronisation Un mécanisme de synchronisation modèle - index Un sens de synchronisation : modèle index Deux modes de synchronisation À la demande (chargement/sauvegarde du modèle dans loutil) Implémenté dans loutil À la volée : à chaque modification du modèle 33[2] Sannier & Baudry – MODRE 2012

34 INCREMENT-Hybrid Efficacité de lhybridation Maîtriser la génération de faux positifs MISC : Modeling - Indexing - Searching - Comparing 34 Standards {documents} Standard Index Model {related documents} automatic extraction with reading rules conforms to Connexion Metamodel Candidate links Plain text standards Preprocessing documents indexing INCREMENT querying Model- based Index {related documents} Candidate links Relative Comparison Determining reading rules Document specific reading rules indexing Standard querying Manual extraction [*] Sannier & Baudry - submitted to REFSQ' 2014

35 INCREMENT-Hybrid Bénéfices de lhybridation 35[*] Sannier & Baudry - submitted to REFSQ' 2014 query candidate links (above the cut-off value) retrieved requirements and recommendations above the threshold retrieved links in the model- based index straightforward reduction of the research space (%) Loss of requirements and recommendations configuration management ,0434 common cause failure CCF ,3298 specification ,500 independence ,130 validation ,330 verification ,572 quality assurance ,0722 defence in depth ,726 integration ,570 self supervision ,830 modification ,290 diversity ,470 isolation388878,950

36 INCREMENT-Hybrid Bénéfices de lhybridation Réduction des espaces de candidats en moyenne de 65% Sans avoir besoin dune valeur de coupure Ensembles plus petits et plus pertinents pour lanalyse Contribution en traçabilité des exigences : Recherche dinformation fort rappel, très faible précision Amélioration par construction de la précision Hypothèse : Maintien du rappel (aucune « exigence » perdue) 36[*] Sannier & Baudry - submitted to REFSQ' 2014

37 3. Conclusion et perspectives 37

38 INCREMENT Synthèse Instrumentation aNd Control REquirements Modeling environmENT IDM pour formaliser et capitaliser sur le domaine Recherche dinformation (RI) pour lanalyse des contenus textuels Hybridation IDM/RI dans un même environnement 38 [*] Sannier & Baudry - submitted to REFSQ' 2014 RR Index IncrementParser Connexion Metamodel IncrementIndex RR Model Documents du domaine Conforms with Ingénieurs CC Synchronized with IncrementGUI

39 Résumé des contributions 1 contribution méthodologique La description du domaine, de ses exigences et de leur évolution 3 contributions techniques dans INCREMENT Utilisées par les partenaires CONNEXION dans le cadre du projet 1. 1.La formalisation du domaine des exigences réglementaires Un Métamodèle et une démarche outillée laccompagnant 2. 2.Une analyse de différentes techniques de recherche dinformation pour la traçabilité Statistiques, Clustering, Topic detection (LDA), Scores TF-IDF 39

40 Résumé des contributions 3. 3.Lhybridation entre le métamodèle et les techniques dindexation Indexation automatique des modèles dexigences Système de recherche dans Increment-GUI 40

41 Perspectives pour INCREMENT R&D Dans le cadre R&D du projet CONNEXION Maturation du métamodèle et de ses outils chez les partenaires Prise en compte de la variabilité des exigences (thèse S. Ben Nasr) Meilleures définitions des règles de design, de la justification En dehors de CONNEXION Passage hors du monde nucléaire avec une expérimentation sur des normes de performance électrique des bâtiments (collaboration avec Martin Monperrus – Univ. Lille) Evaluation de la réduction de lespace de recherche en dehors du typage 41 [*] Sannier & Baudry - submitted to REFSQ' 2014

42 Perspectives pour INCREMENT Recherche académique Pour le domaine de lingénierie des exigences réglementaires Métamodèle Connexion = Structuration organique des exigences Prendre en compte la « nature » des exigences Exigences dobjectifs, de moyens, de processus, autre ? Définir des environnements pour la certification Plus génériques que les actuels (Connexion, Cresco, SafetyMet, etc.) Sorganisant autour des « natures » / « contrats » Collaboration avec Simula en réflexion 42

43 Publications liées à la thèse *. INCREMENT: A Mixed MDE-IR Approach for Regulatory Requirements Modeling and Analysis, Nicolas Sannier, and Benoit Baudry, submitted to (REFSQ2014), Defining and Retrieving Themes in Nuclear Regulations, Nicolas Sannier, and Benoit Baudry, in (RELAW2012), pp 33-41, Chicago, Ill., USA, 25th of September Toward Multilevel Textual Requirements Traceability using Model-driven Engineering and Information Retrieval, Nicolas Sannier, and Benoit Baudry, in (MoDRE2012), pp 29-38, Chicago, Ill., USA, 24th of september Ingénierie dirigée par les modèles pour structurer et partager un référentiel dexigences de sûreté dans la durée, Nicolas Sannier, in 4èmes Journées nationales du GRD-GPL 2012, p 203, Rennes, France, June Formalizing standards and regulations variability in longlife projects. A challenge for model-driven engineering, Nicolas Sannier, Benoit Baudry, and Thuy Nguyen, in 1st International Workshop Model-Driven Requirements Engineering (MoDRE2011), pp 64-73, Trento, Italy, 29th of august Défis pour la variabilité et la traçabilité des exigences en ingénierie système, Nicolas Sannier, and Benoit Baudry, in INFORSID2011, Lille, France, may

44 Publications non liées à la thèse 6. 6.Comparing or Conguring Products: Are We Getting the Right Ones? Nicolas Sannier, Guillaume Bécan, Mathieu Acher, Sana Ben Nasr, and Benoit Baudry, in (VAMOS2014), Nice, France, to appear On Product Comparison Matrices and Variability Models from a Product Comparison/Conguration Perspective, Nicolas Sannier, Guillaume Bécan, Sana Ben Nasr, Benoit Baudry, in (JLDP2013), Paris, France, November 29, From Comparison Matrix to Variability Model: The Wikipedia Case study, Nicolas Sannier, Mathieu Acher, and Benoit Baudry, in (ASE2013), pp , Palo Alto, California, November 11 – 15,

45 Les diapositives Bonus 45

46 A propos … Des systèmes numériques de contrôle-commande (CC) des centrales Le contrôle-commande : Réalisation de fonctions importantes pour la sûreté 1985 : premier système de protection réacteur numérique Nécessité dutiliser des technologies numériques Raréfaction des systèmes non numériques Utilisation de produits de moins en moins dédiés Suspicion universelle vis-à-vis du logiciel Ariane, Ping of Death, régulateurs de vitesse défectueux, Louvois … On ne sait pas démontrer labsence derreur Risques de défaillance de cause commune 46[4] In Sannier, Baudry & Nguyen - MODRE' 2011

47 Conséquences de la complexité du domaine Un peu dhistoire récente du CC nucléaire 47 Un projet EPR certifié pour la France par les autorités de sûreté Deux projets en Chine, acceptés sur le modèle français Un projet en Finlande, accepté en Finlande après modification Un projet en Grande-Bretagne et aux Etats-Unis (en cours dévaluation) 1 EPR, 5 Projets mais : 4 architectures de contrôle commande différentes, 4 processus de certifications différents 2 « échecs » de certification (Grande Bretagne, Etats-Unis) [*] Sannier & Baudry - submitted to REFSQ' 2014

48 Etat de lart Exigences réglementaires Travaux et communauté essentiellement dans le secteur médical et aux US Conformité par rapport à des préoccupations très particulières Exigences réglementaires in the small Travaux autour de la certification et conformité aux normes Travaux sur les « grandes » normes (DO-178, CEI 61508) Travaux spécifiques à une norme Une approche récente pour de la conformité multi normes, multi domaines (OPENCOSS) Toutes des spécialisations de la CEI [*] Sannier & Baudry - submitted to REFSQ' 2014

49 Etat de lart Formalisation et modélisation des exigences Formalisation par patrons de spécification Dwyer, Konrad et Cheng, Volere shells, EARS, etc. Valable pour les exigences de plus bas niveau « Formalisation » par la modélisation Approches orientées buts (KAOS, i*) : pour lélucidation dexigences UML : valable pour les exigences traditionnelles, pas normatives SysML (diagramme dexigences) : expressivité faible tel quel DSLs : spécifiques à une préoccupation sur les exigences Spécification, versions de modèles, propriétés particulières 49 [*] Sannier & Baudry - submitted to REFSQ' 2014

50 Etat de lart Traçabilité des exigences Sémantique de la traçabilité Liens simples entre n éléments Liens plus riches (derive, satisfy, contain, reference, require, etc.) Représentation de la traçabilité Matrices, références, liens hypertextes, associations, etc. Moyens de mise en œuvre Traçabilité manuelle ou semi-automatisée Analyse de la langue naturelle Recherche dinformation pour la traçabilité des exigences 50 [*] Sannier & Baudry - submitted to REFSQ' 2014

51 Etat de lart Synthèse et limites courantes Des exigences complexes, subies, en dehors de létat de lart académique Inadéquation des techniques de spécification pour le problème Travaux limités à un nombre limité dexigences réglementaires Modélisation (UML, SysML, KAOS, i*, Use case maps) peu adaptée Utile en élucidation, pas pour brosser le paysage Forte déformation de la sémantique et obligation dextension Modélisations spécifiques à une norme Traçabilité Manuelle ou semi-automatisée sur des ensembles contrôlés Gestion des espaces de candidats 51 [*] Sannier & Baudry - submitted to REFSQ' 2014

52 INCREMENT-MDE : une approche dIDM Evolution dun métamodèle dun triptyque de base … 52

53 INCREMENT-MDE : une approche dIDM Un métamodèle du domaine Plusieurs grands concepts : TypedElement qui regroupent les exigences, les recommandations, etc. Corpus, Document, DocumentFragment, pour les documents et la réglementation doù sont issues les exigences Interaction pour la traçabilité entre « exigences » et les comparaisons DesignRule, pour un pont vers larchitecture Justification, pour la gestion de la justification Des wrappers pour des regroupements personnalisés Topic pour le regroupement dexigences dans les thèmes Project pour avoir une vue sur les différents projets et les exigences TypedElementWrapper, pour dautres regroupements 53


Télécharger ppt "INCREMENT Une approche pour modéliser et analyser dans le large les exigences réglementaires de sûreté Nicolas Sannier 1, 2 Sous la direction de Benoit."

Présentations similaires


Annonces Google