2èmes Journées AltaRica
Plateforme CECILIA AltaRica-OCAS L’Atelier de Sûreté de Fonctionnement de Dassault Aviation
OCAS Outil de Conception et d’Analyse Système Historique : 1991 : Première version de CECILIA Objectif : apporter à toutes les divisions de Dassault Aviation un outil commun permettant de réaliser l’ensemble des études de sécurité. 1994 : Etudes des systèmes par modélisation (Fiabex) 1996 : Première génération automatique d’arbres de défaillances 1998 : Travaux sur le langage AltaRica (Labri, TotalFinaElf, Ixi) 2èmes Journées AltaRica au CIRM de Luminy 22/10/2003
OCAS Outil de Conception et d’Analyse Système 1999 : Première version l’atelier AltaRica 2000 : Lancement du projet OCAS 2001 : Première version opérationnelle déploiement interne Dassault Aviation 2002 : Présentation du concept OCAS (modélisation AltaRica) aux autorités de certification Européennes et Américaines 2003 : Processus de Qualification de l’outil pour le programme Falcon 7X (JAA) 2èmes Journées AltaRica au CIRM de Luminy 22/10/2003
Etudes SdF : Méthodes et Outils Méthodologie appliquée actuelle Pour chaque type de système sa méthode d ’analyse : 1) Les systèmes simples AMDEC 2) Les systèmes complexes et redondants AMDEC Arbres de défaillance Réseau de Petri Graphes de Markov 2èmes Journées AltaRica au CIRM de Luminy 22/10/2003
Etudes SdF : Méthodes et Outils Nécessité d’une évolution La complexité croissante des systèmes à analyser rend inéluctable l’introduction de nouvelles méthodes. Un parallèle avec l ’industrie du logiciel au cours des années 70/90, l ’assembleur a été remplacé par des langages de plus haut niveau (pascal, fortran, cobol, basic, C ….) les années 90-2000 ont vu la naissance d’Ateliers Logiciels permettant une plus forte abstraction (génération automatique de code). L’industrie de la sûreté de fonctionnement doit suivre le même chemin. 2èmes Journées AltaRica au CIRM de Luminy 22/10/2003
La réponse : Le Langage AltaRica Langage de description comportementale Spécificités Permet d'obtenir des descriptions proches des systèmes étudiés (par opposition AdD, RdP, Graphe de Markov, …) Permet l'intégration des aspects fonctionnels et dysfonctionnels et donc l'obtention de vues différentes pour la SdF et pour la vérification à partir du même modèle Facilite une compilation rigoureuse ("propre") vers les modèles SdF (AdD, RdP, séquences …) et de vérification (Lustre, Esterel) 2èmes Journées AltaRica au CIRM de Luminy 22/10/2003
CECILIA AltaRica-OCAS L’Atelier de SdF de Dassault Aviation Fonctionnalités Modélisation du comportements fonctionnel et dysfonctionnel des systèmes à l'aide de bibliothèques de composants réutilisables Construction et simulation interactive graphique d’architectures de système. Validation des bibliothèques de comportement et des architectures par contrôle automatique de cohérence Génération automatique des modèles SdF (AdD, modèles stochastiques, séquences, …) pour l’évaluation (Fiabilité, Disponibilité, Production) 2èmes Journées AltaRica au CIRM de Luminy 22/10/2003
CECILIA AltaRica-OCAS Respect de la représentation Système La représentation du Système facilitée Permet de représenter l’Architecture Fonctionnelle (missions du systèmes) et l’Architecture Matérielle (ressources matérielles) par niveaux hiérarchiques plan 4 plan 3 plan 2 plan 1 2èmes Journées AltaRica au CIRM de Luminy 22/10/2003
CECILIA OCAS : L’interopérabilité Éditeur d’architectures Bibliothèques de composants Validation de la modélisation Langage AltaRica Simulateur Aralia SimTree Cecilia Arbor Génération d’arbres de défaillances OCAS-Seq FIGSeq (EdF) Génération de séquences d’évènements Interface outil preuve de propriété Outil MEC (LaBRi) Interface outil calculs stochastiques Outil Alta-X (ARBoost) 2èmes Journées AltaRica au CIRM de Luminy 22/10/2003
CECILIA OCAS : Atelier Fédérateur Outil utilisé par les équipes travaillant sur Programme Falcon F7X Dassault Aviation, ABS, Intertechnique, Messier Dowty, Parker, Pratt &Whitney, TRW ...) Outil de référence de la plate-forme logicielle du projet Européen ESACS (Enhanced Safety Assessment of Complex System) regroupant les sociétés Alenia, Airbus, Saab, OFFIS, IRST, Prover, ONERA … Déploiement de l’outil PSA Peugeot Citroën Equipes Projet X by WIRE 2èmes Journées AltaRica au CIRM de Luminy 22/10/2003
2èmes Journées AltaRica au CIRM de Luminy Expériences AltaRica Dassault Aviation Falcon 7x : Modélisation du Système de Commandes de Vol (premier business à commandes de vol toutes électriques) Modélisation du Système Carburant Rafale : Etude de la conduite de tir Simulateur de Maintenance. 2èmes Journées AltaRica au CIRM de Luminy 22/10/2003
Système de Commandes de Vol 2èmes Journées AltaRica au CIRM de Luminy Modélisation du Système de Commandes de Vol du Falcon 7x Environ 300 éléments principaux Environ 900 évènements (défaillances) Environ 120 situations redoutées. 40 variantes d’architecture étudiées avec pour objectif: un système certifiable un coût minimum un masse minimum 2èmes Journées AltaRica au CIRM de Luminy 22/10/2003
Modélisation du Système de Commandes de Vol du Falcon 7x Retour d ’expérience en phase d ’avant projet Possibilité d’étudier aisément de nombreuses variantes. Réalisation d ’une Analyse Préliminaire de Sécurité approfondie. 2èmes Journées AltaRica au CIRM de Luminy 22/10/2003
Modélisation du Système de Commandes de Vol du Falcon 7x retour d ’expérience pendant la phase de conception Réutilisation des résultats de l ’Analyse Préliminaire de Sécurité. Enrichissement des modèles. Étude de Sécurité 2èmes Journées AltaRica au CIRM de Luminy 22/10/2003
Système de Commandes de Vol 2èmes Journées AltaRica au CIRM de Luminy Modélisation du Système de Commandes de Vol Résultats obtenus. En trois mois, toutes les variantes d ’architectures ont été étudiées. Méthode proposée aux autorités de certification européennes et américaines. Pas de refus de principe 2èmes Journées AltaRica au CIRM de Luminy 22/10/2003
CECILIA OCAS et les analyses de sécurité CECILIA OCAS et les autorités de certification SANS OCAS : le processus de vérification des analyses est basé sur une relecture par les autorités des arbres écrits manuellement AVEC OCAS : le processus de vérification des analyses est basé sur La confiance dans le modèle La confiance dans la génération automatique des arbres de défaillance Qualification de CECILIA OCAS 2èmes Journées AltaRica au CIRM de Luminy 22/10/2003
Qualification de CECILIA OCAS Confiance dans les modèles de comportement Confiance dans l'écriture en code AltaRica des modèles de comportements des composants Simulation "exhaustive" du modèle composant (complétude) Le modèle est le reflet "exact" de la connaissance actuelle (spécification) du comportement du composant Confiance dans le simulateur Mise en œuvre d’une Procédure Qualité : Spécification des « études de cas » représentatives des contextes d’utilisation actuels et futurs (classes de systèmes à étudier) Identification des restrictions actuelles de modélisation Identification stricte du périmètre d’utilisation garantissant les résultats produits Audits réalisés par les autorités européenne de certification 2èmes Journées AltaRica au CIRM de Luminy 22/10/2003
Qualification de CECILIA OCAS Confiance dans la génération des Arbres Stratégies de vérification des arbres générés Soit une comparaison des résultats entre 2 générateurs d'arbres Utilisation de 2 chaînes de traitement totalement indépendantes - algorithmes différents - implémentation par 2 équipes différentes Vérification finale : les coupes minimales doivent être identiques Soit une comparaison entre 1 générateur d'arbre de défaillance et 1 générateur de séquences Arbre de défaillance : approche déductive (remontée du flux dysfonctionnel) Séquence d’événements : approche inductive (simulation directe de la combinaisons de défaillances des composants) Vérification finale : les coupes minimales et les séquences de même ordre doivent correspondre 2èmes Journées AltaRica au CIRM de Luminy 22/10/2003
Qualification de CECILIA OCAS Méthodologie de Qualification Pas de texte réglementaire concernant la qualification des outils de Sûreté de Fonctionnement Contexte d’utilisation de CECILIA OCAS Avec CECILIA OCAS, on décrit l’architecture Système définie dans les spécifications (constructeur / équipementiers) CECILIA OCAS vérifie que l'architecture Système spécifiée répond aux contraintes de sécurité Dassault Aviation a décidé de suivre le processus de qualification défini dans la DO178B OCAS doit être qualifié comme un outil de vérification 2èmes Journées AltaRica au CIRM de Luminy 22/10/2003
Qualification de CECILIA OCAS Méthodologie de Qualification Référence : document DO-178B / ED-12B « Considérations sur le Logiciel en Vue de la Certification des Systèmes et Equipements de Bord » RTCA-EUROCAE (2000) DO-178B Chapitre 12 : décrit le processus à mettre en œuvre pour la qualification d’outil et/ou de méthodes (voire formelles) de substitution pour satisfaire aux exigences spécifiées dans DO- 178B / ED-12B Extrait DO-178B section 12.3 « Ce document n’a pas pour objectif de limiter l’utilisation de telle ou telle méthode actuelle ou future. Des méthodes de substitution peuvent être utilisées pour se soutenir l’une l’autre. Par exemple, les méthodes formelles peuvent aider à la qualification de l’outil ou inversement un outil qualifié peut aider à l’utilisation de méthodes formelles » la JAA (Joint Aviation Authorities) a validé cette approche. 2èmes Journées AltaRica au CIRM de Luminy 22/10/2003
Qualification de OCAS Décisions prises suite au processus de Qualification Dassault Aviation va qualifier l’outil CECILIA OCAS pour son programme F7X Un Pré-Kit de certification sera disponible dès la qualification de l’outil obtenu sur le F7X (JAA) Toute société utilisant l’outil CECILIA OCAS sur un autre programme devra adapter ce Kit afin d’obtenir la qualification pour ce programme. Qualification de l’outil CECILIA OCAS pour des systèmes appartenant à d’autres secteurs technologiques 2èmes Journées AltaRica au CIRM de Luminy 22/10/2003
2èmes Journées AltaRica au CIRM de Luminy Cecilia OCAS : Renseignements Complémentaires Cecilia WorkShop – GFI Consulting Contact : Tony HUTINET - thutinet@gfi.fr Tél : +33 (0)1 46 62 30 06 - site Web : www.gfi.fr Programme FBW Falcon F7X - Dassault Aviation Contact : Jean GAUTHIER - jean.gauthier@dassault-aviation.com Tél : +33 (0)1 47 11 31 31 Projet Européen ESACS (Enhance Safety Assessment of Complex System) – Airbus Contact : Christel SEGUIN - christel.seguin@cert.fr Tél : +33 (0)5 62 25 26 42 Projet X by WIRE - PSA Peugeot Citroën Contact : Raphaël SCHOENIG - raphael.schoenig@mpsa.com Tél : +33 (0)1 56 47 65 98 2èmes Journées AltaRica au CIRM de Luminy 22/10/2003