Cen
tre
d’É
tude
set
de
Rec
herc
hes
de T
oulo
use
Eva
luat
ion
d'u
n s
ystè
me
hyd
rau
liqu
e av
ion
:
rech
erch
e d
e sc
énar
ios
crit
iqu
es à
par
tir
de
mo
dèl
es A
ltaR
ica
P. B
ieb
er, C
. Cas
tel,
C. K
ehre
n, C
. Seg
uin
O
NE
RA
{bie
ber
, cas
tel,
keh
ren
, seg
uin
}@ce
rt.f
r
2Pré
sen
tati
on
gén
éral
e d
u t
rava
il
Cad
re :
pro
jet
euro
pée
n “
En
han
ceS
afet
yA
sses
smen
to
f C
om
ple
xS
yste
m”
Ale
nia,
Air
bu
s F
(+
GF
I-C
on
sult
ing
, IM
L)
G U
K, S
aab,
OF
FIS
, IR
ST
, Pro
ver,
ON
ER
A (
+ L
aBri
)
Bu
t :
amél
iore
r le
s an
alys
es d
e sé
curi
té s
ystè
me
amo
nt
(FH
A, P
SS
A)
expl
icite
r le
s ex
igen
ces
de s
écur
ité q
ual
itat
ives
valid
er l
’allo
cati
on
des
exig
ence
s au
sei
n du
sys
tèm
e
éval
uer
la te
nue
des
exig
ence
s
Ap
pro
che
: ex
pér
imen
tale
+ f
orm
elle
anal
yse
de s
ystè
mes
avi
on
AIR
BU
Sre
cher
che
de «
mo
tifs
d’a
rch
itec
ture
de
sécu
rité
» ré
curr
ents
m
odél
isat
ion
Alt
aRic
ade
s sy
stèm
es +
exp
ress
ion
LT
Lde
s ex
igen
ces
éval
uatio
n à
l’ai
de d
es te
chni
ques
(m
od
el-c
hec
kin
g, p
reu
ve, g
énér
atio
n d
’arb
res…
) et
out
ils a
ssoc
iés
dont
Cec
ilia-
OC
AS
4Car
acté
rist
iqu
es d
u s
ystè
me
Fo
nct
ion
Imp
act
sur
le s
ystè
me
Rôl
e ?
• gé
nére
r•
dist
ribu
er ,
régu
ler
• de
la p
uiss
ance
hyd
raul
ique
Com
posa
nts
de b
ase
• ré
serv
oir,
pom
pes,
• tu
yaux
, va
lves
, jo
nctio
ns ..
.•
man
ipul
ant
du fl
uide
hyd
raul
ique
Qua
nd ?
dura
nt to
utes
les
phas
es d
e vo
l•
au s
ol, a
vant
d’a
llum
er le
s m
oteu
rs•
en v
ol, m
oteu
rs a
llum
és•
… o
u co
upés
…
Pris
e en
com
pte
de l’
envi
ronn
emen
t•
dive
rsifi
catio
n de
s so
urce
sd’
éner
gie
des
pom
pes
(mot
eurs
,él
ectr
icité
, RA
T)
• de
s m
oyen
s de
rec
onfig
urat
ion
(act
ions
pilo
tes,
PT
U …
) fon
ctio
nde
l’ét
at d
es m
oteu
rs, …
Pou
r ?
activ
er d
es c
onso
mm
ateu
rs +
ou
-cr
itiqu
es
Arc
hite
ctur
e de
séc
urité
• tr
iplic
atio
n ch
aude
de
la fo
nctio
n•
expl
oita
tion
des
redo
ndan
ces
fonc
tionn
elle
s fr
oide
s
5Arc
hit
ectu
re d
u s
ystè
me
jaun
e
bleu
vert
Arc
hite
ctur
e de
sécu
rité
: red
onda
nces
mul
tiple
s
6Ext
rait
s d
es a
nal
yses
de
sécu
rité
Déf
ailla
nce
sà
effe
t im
méd
iat:
per
te d
éfin
itiv
ed
’un
com
posa
nt
•po
ur d
es r
aiso
ns in
tern
esou
•
exte
rnes
au c
ompo
sant
(ex
empl
e : p
ompe
act
ivée
san
s flu
ide)
à ef
fet à
term
e
•fu
ite
de fl
uide
: vi
de p
rogr
essi
vem
ent l
es r
éser
voirs
•su
rch
auff
ede
s po
mpe
s
Exe
mp
les
d’e
xig
ence
s d
e sé
curi
téqu
antit
ativ
e: p
erte
tota
le d
u sy
stèm
e C
AT
AS
TR
OP
HIQ
UE
: 10
-9pa
r he
ure
de v
olco
ntre
part
ie q
ualit
ativ
e
•ro
bust
esse
: il f
aut a
u m
oins
troi
s pa
nnes
pou
r pe
rdre
le s
ystè
me
•p
réve
nti
on
des
err
eurs
: le
cont
rôle
de
l’ac
tivat
ion
des
pom
pes
est s
ûr, p
as d
e po
mpe
act
ivée
à v
ide,
…
7Sys
tem
mo
del
= {
han
d m
ade
fau
lt t
ree
FT
ifo
r T
LE
i}
FT1,
Top
Lev
el E
vent
1
FT2,
TLE
2
....
= bo
olea
nfo
rmul
a
FTn,
TLE
nvi
ew o
f 1 sy
stem
stat
e
Fau
lt-t
ree
anal
ysis
qual
itativ
e : m
inim
al c
ause
com
puta
tion
of T
LEi
f1 & f2 & (~ r)
quan
titat
ive
: pro
babi
lity
of T
LEi/
prob
abili
ty o
f bas
ic e
vent
s
Syst
em+
f1
&
f2 ~r
SubF
T1
++
TLE1
f3le
af =
failu
re e
vent
Tra
dit
ion
al a
sses
smen
t o
f sa
fety
req
uir
emen
t :
anal
ysis
of
han
d m
ade
fau
lt t
ree
9Mo
dél
isat
ion
Alt
aRic
ad
u t
uya
u
Info
rmat
ion
véh
icu
lée
par
un
tu
yau
:dé
pend
des
mod
es d
e dé
faill
ance
à p
ropa
ger
•fu
ites
se p
rop
agen
t d
ans
2 se
ns
•n
ivea
ude
pre
ssio
n
Co
de
Alt
aRic
ad
u t
uya
u
outp
ut_f
luid
{n
o, lo
w, y
es}
inpu
t_flu
id
inpu
t_flu
id_r
ever
se_i
nfo
outp
ut_f
luid
_rev
erse
_inf
o
trans
state_ = ok |-
leak
-> state_ := leakage;
assert
(if
state_ =
ok then
(output = input));
(if
state_ =
leak then
(if
still_fluid(input,output)
then
(input_fluid_reverse_info =
low
and
output_fluid
=low)
else(input_fluid_reverse_info = no and
output_fluid
= no));
parti
e au
tom
ate
parti
e as
serti
on
10Dif
ficu
ltés
ren
con
trée
s lo
rs d
e ce
tte
mo
dél
isat
ion
Du
co
nce
pt
de
flu
x p
hys
iqu
e au
x en
trée
s/so
rtie
s in
form
atiq
ues
Nor
mal
emen
t, da
ns le
lang
age
: Flu
x A
ltaR
ica
non
orie
ntés
•D
épen
danc
e en
tre
flux
= r
elat
ion
•V
aleu
r d’
une
entr
ée in
flue
sur
la s
ortie
et r
écip
roqu
emen
t
En
prat
ique
: or
ient
atio
n fa
cilit
e le
s te
chni
ques
d’a
naly
se b
asée
s su
r la
réé
critu
re
•P
our
mod
élis
er le
s in
fluen
ces
mut
uelle
s : d
uplic
atio
n de
s flu
x•
Bou
cles
inst
anta
nées
X(t
)= F
(X(t
), …
) à
élim
iner
Des
val
eurs
rée
lles
des
ph
ysic
ien
s à
la d
iscr
étis
atio
n e
n t
ypes
én
um
érés
Nor
mal
emen
t, da
ns le
lang
age
: tou
s le
s ty
pes
de d
onné
es s
ont m
anip
ulab
les
En
prat
ique
•Le
s ou
tils
Alta
Ric
ane
cal
cule
nt p
as a
ujou
rd’h
ui s
ur le
s ty
pes
infin
is
•C
e ni
veau
de
déta
il es
t sup
erflu
pou
r ét
udie
r la
pro
paga
tion
des
pann
es d
ans
les
phas
es a
mon
t d’é
tude
d’u
ne a
rchi
tect
ure
11Le
lan
gag
e d
e la
Lo
giq
ue
Tem
po
relle
Lin
éair
e
op
érat
eurs
bo
olé
ens
clas
siq
ues
& “
et”,
~“n
on
”, ..
. =
> d
escr
iptio
n d
’éta
ts in
stan
tan
és
op
érat
eurs
tem
po
rels
: =
> d
escr
iptio
n de
séq
uen
ces
•X
p :
Nex
tp
•F
p :
Fin
ally
p
•G
p :
Glo
bally
p
•p
U q
: p
Unt
ilq
p
Xp
pp
pp
Fpp
pp
pp
pp
pp
Gp
pp
pp
pp
pUq
q
12Fo
rmal
isat
ion
des
exi
gen
ces
qu
alit
ativ
es e
n L
TL
“La
per
te t
ota
le e
st c
ausé
e p
ar a
u m
oin
s 3
fau
tes”
Inte
rpré
tati
on
rela
tive
au
mo
dèl
e A
ltaR
ica
pert
e to
tale
inst
anta
née
du s
ystè
me
= p
erte
des
3 d
istr
ibut
ions
, ver
te, b
leue
et j
aune
system_loss
: disty.Output=no & distg.Output=no & distb.Output=no
pert
e to
tale
per
man
ente
du s
ystè
me
: G system_loss
L’e
xig
ence
du
po
int
de
vue
du
Mo
del
-ch
ecki
ng
Exp
ress
ion
LTL
de “
au p
lus
2 fa
utes
” : G atmost_2_faults
atmost_2_faults
: éva
luab
le à
l’ai
de d
’un
com
pteu
r de
faut
es
Exp
ress
ion
LTL
de l’
exig
ence
: (G atmost_2_faults) -> ~F(G system_loss)
L’e
xig
ence
du
po
int
de
vue
des
arb
res
de
déf
ailla
nce
sl’a
rbre
de
raci
ne G system_loss
a de
s co
upes
min
imal
es c
onte
nant
au
moi
ns 3
faut
es
14Sys
tem
mo
del
= 1
dyn
amic
beh
avio
ur
for
all T
LE
≡
auto
mat
a, te
mpo
ral f
orm
ula
= m
ulti-
stat
e vi
ew
Mo
del
an
alys
is w
.r.t
. a T
LE
iden
tific
atio
n of
pat
hs th
at le
ad to
the
TLE
ex :
Pat
hs to
TL2
= [
π(init
,f3
,f2
) , π
(init
,f2
,f3
)]
Syst
em
even
ts a
re fa
ilure
f, n
orm
al a
ctio
n r
or sp
onta
neou
s cha
nge
ε
TLE2
TLE1
f3ε
f1r
f2
f2f3
f3
Init
Alt
aRic
aap
pro
ach
of
safe
ty a
sses
smen
t:
mo
del
bas
ed f
ault
tre
e g
ener
atio
n
15Bes
t ch
arac
teri
zati
on
dep
end
on
sys
tem
/TL
E
even
t are
inde
pend
antf
aults
: P
aths
abs
trac
ted
by a
boo
lean
form
ula
TLE2 = init &f3 &f2
even
ts a
re d
epen
dant
: P
ath
= s
eque
nces
= ti
me
stam
ped
form
ula
TLE2 = init@t0 &f3@t1 &f2@t2
Har
d p
oin
t :
min
imal
ch
arac
teri
zati
on
?
role
of n
egat
ion
?
path
inte
rleav
ed w
ith n
on r
elev
ant e
vent
? s
pont
aneo
us e
vent
?
Pat
h c
har
acte
riza
tio
n
16
Pro
prié
té?
(for
mul
eLT
L)
Mod
èle
M(a
utom
ate
àét
ats
finis
)
Mod
el-c
heck
erM
|= ?
?
VR
AI
FA
UX
Con
tre-
exem
ple,
trac
eS
ystè
me
Exi
genc
es
Ou
tils
co
mp
lém
enta
ires
: m
od
el-c
hec
kin
g(a
vec
SM
V)
Pri
nci
pe
de
l’év
alu
atio
n
Mis
e en
œu
vre
lang
age
d’e
ntré
e de
SM
V
•pr
oche
d’A
ltaR
ica
dat
aflo
wpo
ur la
par
tie s
ystè
me
•LT
L, C
TL
pour
la p
artie
exi
genc
e
trad
uctio
n au
tom
atiq
ue d
e A
ltaR
ica
vers
SM
V
résu
ltat
sin
stan
tané
s po
ur t
ou
tes
les
clas
ses
de
mo
dèl
es
17Les
mo
dèl
es A
ltaR
ica
réal
isés
: p
lusi
eurs
cla
sses
po
ur
un
m
ême
syst
ème
To
po
log
ie d
e l’
arch
itec
ture
vue
fonc
tionn
elle
: le
fluid
e ci
rcul
e da
ns u
n se
ns u
niqu
e
•sy
stèm
e «
linéa
ire
»vu
e ph
ysiq
ue: l
e flu
ide
circ
ule
dans
2 s
ens
•po
ssib
ilité
de
syst
ème
«b
ou
clé
»,pr
opag
e co
rrec
tem
ent l
es fu
ites
Dim
ensi
on
tem
po
relle
vue
stat
ique
: l’é
tat d
u sy
stèm
e es
t ind
épen
dant
de
l’or
dre
d’a
rriv
ée d
es é
véne
men
ts
•an
alys
e re
lativ
e à
une
conf
igur
atio
n pa
rtic
uliè
re (
ph
ase
de
vol,
acti
vati
on
des
co
mp
osa
nts
fig
ées)
vue
dyna
miq
ue: p
rise
en
co
mp
te d
u p
assé
•po
ur v
alid
er le
con
trôl
e•
pann
es e
n ca
scad
e, e
ffets
du
tem
ps...
18Les
ou
tils
Alt
aRic
ate
stés
CE
CIL
IA-O
CA
S :
la p
late
-fo
rme
Das
sau
lt d
’inté
gra
tio
n d
es o
uti
ls A
ltaR
ica
Édi
teur
, sim
ulte
urgr
aphi
que
Gén
érat
eur
d’ar
bres
de
GF
IG
énér
ateu
r de
séq
uenc
es d
e G
FI
La
bo
îte
à o
uti
ls d
e A
rbo
ost
(An
toin
e R
auzy
)G
énér
ateu
r d’
arbr
es d
e G
FI,
Gén
érat
eur
de s
éque
nces
de
GF
IO
utils
de
calc
ul s
ur le
s fo
rmul
es b
oolé
enne
s
Les
ou
tils
du
LaB
riM
odel
-che
cker
Tra
duct
eur
vers
Lus
tre
Au
tres ON
ER
A, I
RS
T :
trad
ucte
urs
vers
SM
VIR
ST
, PR
OV
ER
: au
tres
mod
el-c
heck
er, g
énér
ateu
rs d
’arb
re, d
e sé
quen
ces
19Rés
ult
ats
ob
ten
us
(pré
sen
tati
on
FA
C03
)
Prop
riét
és/M
étho
des
AdD
GdS
M-C
.E
xpre
ssiv
ité
EN
Slo
giqu
e du
pas
sélo
giqu
e du
pas
séL
TL
+ c
aptu
re c
hem
ins
ordr
e de
s ev
tsno
nou
iou
i
état
s st
able
sou
ino
nou
i
résu
ltat
sto
tali
té<
ord
re l
1 sé
quen
ce d
'ord
re l
Tem
ps d
e ca
lcul
< 1
sor
dre
2: <
30s
ordr
e 2:
<1s
21La
mo
dél
isat
ion
en
Alt
aRic
aL
e la
ng
age
Alt
aRic
a+
des
con
cept
s si
mp
les,
ass
imila
bles
rap
idem
ent
+ a
dap
tés
aux
mod
èles
de
type
SdF
? M
émor
isat
ion
du p
assé
pou
r dé
crire
des
con
trôl
eurs
lour
des
+ u
ne s
éman
tiq
ue
form
elle
pour
app
lique
r di
ffére
ntes
tech
niqu
es
22La
rech
erch
e d
e sé
qu
ence
s
Mét
ho
de
actu
elle
d’é
valu
atio
n d
’exi
gen
ces
qu
alit
ativ
e et
qu
anti
tati
ve :
Con
stru
ctio
n m
anue
lle d
’arb
res
Ap
pro
che
Alt
aric
a:
Gén
érat
ion
auto
mat
ique
d’a
rbre
s
Gén
érat
ion
de s
éque
nces
Mod
el-c
heck
ing
23Pro
blè
mes
ren
con
trés
lors
des
an
alys
es
•A
rbre
s d
e d
éfai
llan
ces
pas
to
ujo
urs
per
tin
ents
–Im
poss
ibili
téde
qua
lifie
r co
rrec
tem
ent p
our
les
cas
conc
rets
l’EN
S
–A
bstr
actio
n d’
un c
hem
in p
ar u
ne fo
rmul
e bo
olée
nne
pas
touj
ours
acc
epta
ble
sur
les
cas
conc
rets
•G
énér
ateu
r d
e sé
qu
ence
s p
ren
d e
n c
om
pte
l’o
rdre
d’a
rriv
ée d
es
évén
emen
ts m
ais
:
–P
robl
ème
des
état
s te
mpo
raire
s
–D
éfin
ition
de
la n
otio
n de
séq
uenc
e m
inim
ale
•M
od
el-c
hec
kin
glè
ve t
ou
tes
ces
dif
ficu
ltés
mai
s :
–N
e gé
nére
pas
tout
es le
s sé
quen
ces.
Acc
epta
ble
pour
le q
ualit
atif,
àét
endr
e po
ur le
qu
antit
atif
?