2 èmes journées altarica

2èmes Journées AltaRica

PlateformePlateforme CECILIA CECILIA AltaRica-OCASAltaRica-OCAS

L’Atelier de Sûreté de Fonctionnement L’Atelier de Sûreté de Fonctionnement de Dassault Aviationde Dassault Aviation

22/10/2003 2èmes Journées AltaRica au CIRM de Luminy

OCASOCASOutil de Conception et d’Analyse SystèmeOutil de Conception et d’Analyse Système

19911991 : : Première version de CECILIACECILIA Objectif :Objectif : apporter à toutes les divisions de Dassault Aviation un outil commun permettant de réaliser l’ensemble des études de sécurité.

19941994 : : Etudes des systèmes par modélisation(Fiabex)19961996 : : Première génération automatique

d’arbres de défaillances

19981998 : : Travaux sur le langage AltaRica (Labri, TotalFinaElf, Ixi)

Historique :Historique :


19991999 : : Première version l’atelier AltaRica

20002000 : : Lancement du projet OCAS

20012001 : : Première version opérationnelle déploiement interne Dassault Aviation

20022002 : : Présentation du concept OCAS (modélisation AltaRica) aux autorités de certification Européennes et Américaines

2003 :2003 : Processus de Qualification de l’outil pour Processus de Qualification de l’outil pour le programme Falcon 7X (JAA)le programme Falcon 7X (JAA)

OCASOCASOutil de Conception et d’Analyse SystèmeOutil de Conception et d’Analyse Système


Etudes SdF : Méthodes et OutilsEtudes SdF : Méthodes et OutilsMéthodologie appliquée actuelleMéthodologie appliquée actuelle

Pour chaque type de système sa méthode d ’analyse :

2) Les systèmes complexes et redondants2) Les systèmes complexes et redondants• AMDEC• Arbres de défaillance• Réseau de Petri• Graphes de Markov

1) Les systèmes simples 1) Les systèmes simples • AMDEC


• La complexité croissante des systèmesLa complexité croissante des systèmes à analyser rend inéluctable l’introduction de nouvelles méthodes.

• Un parallèle avec l ’industrie du logicielUn parallèle avec l ’industrie du logiciel

L’industrie de la sûreté de fonctionnement doit suivre le même chemin.

• au cours des années 70/90, l ’assembleur a été remplacé par des langages de plus haut niveau (pascal, fortran, cobol, basic, C ….)

• les années 90-2000 ont vu la naissance d’Ateliers Logiciels permettant une plus forte abstraction (génération automatique de code).

Etudes SdF : Méthodes et OutilsEtudes SdF : Méthodes et OutilsNécessité d’une évolutionNécessité d’une évolution


• Permet d'obtenir des descriptions proches des systèmes étudiés (par opposition AdD, RdP, Graphe de Markov, …)

SpécificitésSpécificités

La réponse : Le Langage AltaRicaLa réponse : Le Langage AltaRicaLangage de description comportementaleLangage de description comportementale

• Permet l'intégration des aspects fonctionnels fonctionnels et dysfonctionnelset dysfonctionnels et donc l'obtention de vues différentes pour la SdF et pour la vérification à partir du même modèle

• Facilite une compilation rigoureusecompilation rigoureuse ("propre") vers les modèles SdF (AdD, RdP, séquences …) et de vérification (Lustre, Esterel)


• Modélisation du comportements fonctionnelfonctionnel et dysfonctionneldysfonctionnel des systèmes à l'aide de bibliothèques de composants réutilisablescomposants réutilisables

FonctionnalitésFonctionnalités

CECILIA AltaRica-OCASCECILIA AltaRica-OCASL’Atelier de SdF de Dassault AviationL’Atelier de SdF de Dassault Aviation

• Construction et simulation interactive graphiquesimulation interactive graphique d’architectures de système.

• Validation des bibliothèques de comportement et des architectures par contrôle automatique contrôle automatique de cohérence de cohérence

• Génération automatique des modèles SdFGénération automatique des modèles SdF (AdD, modèles stochastiques, séquences, …) pour l’évaluation (Fiabilité, Disponibilité, ProductionFiabilité, Disponibilité, Production)


Permet de représenter l’Architecture Fonctionnellel’Architecture Fonctionnelle (missions du systèmes) et l’Architecture Matériellel’Architecture Matérielle (ressources matérielles) par niveaux hiérarchiques

La représentation du Système facilitéeLa représentation du Système facilitée

CECILIA AltaRica-OCASCECILIA AltaRica-OCASRespect de la représentation SystèmeRespect de la représentation Système

plan 4

plan 3

plan 2

plan 1


LangageLangageAltaRicaAltaRica

SimulateurSimulateur

Aralia SimTreeAralia SimTreeCecilia ArborCecilia Arbor

Aralia SimTreeAralia SimTreeCecilia ArborCecilia Arbor

Génération d’arbres Génération d’arbres de défaillancesde défaillances

Interface outilInterface outilcalculs stochastiquescalculs stochastiques

Outil Alta-XOutil Alta-X(ARBoost)(ARBoost)

Outil Alta-XOutil Alta-X(ARBoost)(ARBoost)

Interface outilInterface outilpreuve de propriétépreuve de propriété

Outil MECOutil MEC(LaBRi)(LaBRi)

Outil MECOutil MEC(LaBRi)(LaBRi)

OCAS-SeqOCAS-SeqFIGSeq (EdF)FIGSeq (EdF)

OCAS-SeqOCAS-SeqFIGSeq (EdF)FIGSeq (EdF)

Génération Génération de séquences de séquences d’évènementsd’évènements

Éditeur d’architecturesÉditeur d’architectures

BibliothèquesBibliothèquesde composantsde composants

Validation de la Validation de la modélisationmodélisation

CECILIA OCAS : CECILIA OCAS : L’interopérabilitéL’interopérabilité


CECILIA OCAS : CECILIA OCAS : Atelier FédérateurAtelier Fédérateur

• Outil de référence de la plate-forme logicielle du projet Européen ESACSESACS (Enhanced Safety Assessment of Complex System) regroupant les sociétés Alenia, Airbus, Saab, OFFIS, IRST, Alenia, Airbus, Saab, OFFIS, IRST, Prover, ONERA … Prover, ONERA …

• Déploiement de l’outil PSA Peugeot CitroënPSA Peugeot Citroën Equipes Projet X by WIRE Equipes Projet X by WIRE

• Outil utilisé par les équipes travaillant sur Programme Falcon F7X Dassault Aviation, Dassault Aviation, ABS, Intertechnique, Messier Dowty, Parker, ABS, Intertechnique, Messier Dowty, Parker, Pratt &Whitney, TRW ...) Pratt &Whitney, TRW ...)


Expériences AltaRica Expériences AltaRica Dassault AviationDassault Aviation

• Falcon 7x :• Modélisation du Système de Commandes de

Vol (premier business à commandes de vol toutes électriques)

• Modélisation du Système Carburant

• Rafale :• Etude de la conduite de tir• Simulateur de Maintenance.


Modélisation du Modélisation du Système de Commandes de VolSystème de Commandes de Vol

du Falcon 7xdu Falcon 7x

• Environ 300 éléments principaux• Environ 900 évènements (défaillances)• Environ 120 situations redoutées.

• 40 variantes d’architecture étudiées avec pour objectif:• un système certifiable• un coût minimum• un masse minimum




Retour d ’expérienceRetour d ’expérienceen phase d ’avant projeten phase d ’avant projet

• Possibilité d’étudier aisément de nombreuses variantes.

• Réalisation d ’une Analyse Préliminaire de Sécurité approfondie.




retour d ’expérienceretour d ’expériencependant la phase de conceptionpendant la phase de conception

• Réutilisation des résultats de l ’Analyse Préliminaire de Sécurité.

• Enrichissement des modèles.• Étude de Sécurité



Résultats obtenus.Résultats obtenus.

•En trois mois, toutes les variantes d ’architectures ont été étudiées.

•Méthode proposée aux autorités de certification européennes et américaines.

Pas de refus de principe


CECILIA OCAS et les analyses de sécurité

CECILIA OCAS et les autorités de certification

– SANS OCAS : le processus de vérification des analyses est basé sur une relecture par les autorités des arbres écrits manuellement

– AVEC OCAS : le processus de vérification des analyses est basé sur La confiance dans le modèle

La confiance dans la génération automatique des arbres de défaillance

Qualification de CECILIA OCAS


Qualification de CECILIA OCASConfiance dans les modèles de comportement

Confiance dans l'écriture en code AltaRica des modèles de comportements des composantsSimulation "exhaustive" du modèle composant (complétude)

Le modèle est le reflet "exact" de la connaissance actuelle (spécification) du comportement du composant

Confiance dans le simulateurMise en œuvre d’une Procédure Qualité :

Spécification des « études de cas » représentatives des contextes d’utilisation actuels et futurs (classes de systèmes à étudier)

Identification des restrictions actuelles de modélisation

Identification stricte du périmètre d’utilisation garantissant les résultats produits

Audits réalisés par les autorités européenne de certification


Stratégies de vérification des arbres générés– Soit une comparaison des résultats entre 2 générateurs d'arbres

Utilisation de 2 chaînes de traitement totalement indépendantes - algorithmes différents - implémentation par 2 équipes différentes

Vérification finale : les coupes minimales doivent être identiques

– Soit une comparaison entre 1 générateur d'arbre de défaillance et 1 générateur de séquences

Arbre de défaillance : approche déductive (remontée du flux dysfonctionnel)

Séquence d’événements : approche inductive (simulation directe de la combinaisons de défaillances des composants)

Vérification finale : les coupes minimales et les séquences de même ordre doivent correspondre

Qualification de CECILIA OCASConfiance dans la génération des Arbres



Pas de texte réglementaire concernant la qualification des outils de Sûreté de Fonctionnement

Contexte d’utilisation de CECILIA OCASAvec CECILIA OCAS, on décrit l’architecture Système définie

dans les spécifications (constructeur / équipementiers)

CECILIA OCAS vérifie que l'architecture Système spécifiée répond aux contraintes de sécurité

Dassault Aviation a décidé de suivre le processus de qualification défini dans la DO178B

OCAS doit être qualifié comme un outil de vérification

Méthodologie de Qualification



Référence : document DO-178B / ED-12B « Considérations sur le Logiciel en Vue de la Certification des Systèmes et Equipements de Bord » RTCA-EUROCAE (2000)

DO-178B Chapitre 12 : décrit le processus à mettre en œuvre pour la qualification d’outil et/ou de méthodes (voire formelles) de substitution pour satisfaire aux exigences spécifiées dans DO-178B / ED-12B

Extrait DO-178B section 12.3 « Ce document n’a pas pour objectif de limiter l’utilisation de telle ou telle méthode actuelle ou future. Des méthodes de substitution peuvent être utilisées pour se soutenir l’une l’autre. Par exemple, les méthodes formelles peuvent aider à la qualification de l’outil ou inversement un outil qualifié peut aider à l’utilisation de méthodes formelles »

la JAA (Joint Aviation Authorities) a validé cette approche.

Méthodologie de Qualification


Qualification de OCAS

Dassault Aviation va qualifier l’outil CECILIA OCAS pour son programme F7X

Un Pré-Kit de certification sera disponible dès la qualification de l’outil obtenu sur le F7X (JAA)

Toute société utilisant l’outil CECILIA OCAS sur un autre programme devra adapter ce Kit afin d’obtenir la

qualification pour ce programme.

Qualification de l’outil CECILIA OCAS pour des systèmes appartenant à d’autres secteurs technologiques

Décisions prises suite au processus de Qualification


• Cecilia WorkShop – GFI ConsultingCecilia WorkShop – GFI ConsultingContact : Tony HUTINET - Contact : Tony HUTINET - [email protected]@gfi.fr Tél : +33 (0)1 46 62 30 06 - site Web : Tél : +33 (0)1 46 62 30 06 - site Web : www.gfi.frwww.gfi.fr

• Programme FBW Falcon F7X - Dassault AviationProgramme FBW Falcon F7X - Dassault Aviation Contact : Jean GAUTHIER - Contact : Jean GAUTHIER - [email protected]@dassault-aviation.com

Tél : +33 (0)1 47 11 31 31Tél : +33 (0)1 47 11 31 31

• Projet Européen ESACS (Enhance Safety Projet Européen ESACS (Enhance Safety Assessment of Complex System) – Airbus Assessment of Complex System) – Airbus

Contact : Christel SEGUIN - Contact : Christel SEGUIN - [email protected]@cert.frTél : +33 (0)5 62 25 26 42Tél : +33 (0)5 62 25 26 42

• Projet X by WIRE - PSA Peugeot CitroënProjet X by WIRE - PSA Peugeot Citroën Contact : Raphaël SCHOENIG - Contact : Raphaël SCHOENIG - [email protected]@mpsa.com

Tél : +33 (0)1 56 47 65 98Tél : +33 (0)1 56 47 65 98

Cecilia OCAS : Cecilia OCAS : Renseignements Renseignements ComplémentairesComplémentaires

2 èmes journées altarica

Documents