5. Modèle de développement et Critères d’évaluation pour la sûreté de
5.1. Modèle de développement à sûreté de fonctionnement explicite
5.1.3. Directives pour le développement
Afin de guider le développement de systèmes sûrs de fonctionnement, nous avons établi un ensemble de directives sous la forme d’une liste commentée de points clefs qui identifient les principaux aspects, au titre de la prévention, tolérance, élimination et prévision de fautes à prendre en compte durant l’expression des exigences, la conception, la réalisation et l’intégration. La liste complète est décrite dans le guide de la sûreté de fonctionnement [132]. À titre d’exemple, la liste de mots clefs relatifs à l’expression des exigences est donnée sur la Figure 5.3.
Processus de Création
• Spécifications fonctionnelles
- Définition des fonctions (services attendus en valeur et en temps) - Description et enchaînement des phases (systèmes phasés) - Répartition préliminaire des tâches entre l’homme et le système • Description de l’environnement d’utilisation
- Frontières du système socio-technique, caractéristiques de l’environnement et des profils d’utilisation - Modes d’exploitation et de maintenance
• Contraintes de développement, de validation et de maintenance - Contraintes physiques (poids, technologie, etc.)
- Evolutions prévisibles, Réutilisation, Portabilité, Interopérabilité, Testabilité - Contraintes d’exploitation et de maintenance
Processus de Tolérance aux Fautes
• Description du comportement en présence de défaillance
- Identification et dosage des attributs de sûreté de fonctionnement mis en jeu - Modes de défaillances et modes dégradés admissibles
- Durée maximale d’interruption de service pour chaque mode
- Nombre de défaillances simultanées et consécutives à tolérer dans chaque mode
Processus de Prévision des fautes
• Enoncé des objectifs de sûreté de fonctionnement
- Choix des mesures à évaluer et assignation d’objectifs quantifiés • Analyse des modes de défaillance, de leurs effets et de leur criticité
- Identification des modes de défaillance - Classification des défaillances /sévérité - Classes de défaillance à prendre en compte • Hypothèses pour la prévision
- Hypothèses de modélisation et paramètres
• Allocation des objectifs de sûreté de fonctionnement par fonction - Classification des fonctions par niveau de criticité
• Préparation du plan de prévision des fautes
- Sélection des méthodes et outils d’analyse et d’évaluation ordinale et probabiliste - Définition d’un environnement de collecte de données
• Collecte de données et analyse
- Retour d’expérience de produits similaires, suivi du produit en cours de développement
Processus d’Elimination des Fautes
• Préparation du plan de vérification
- Stratégies de vérification statique, stratégies de test (critères de test, génération des entrées) - Spécification des simulateurs d’environnement et des environnements de test
• Hypothèses de vérification
- Fonctions, comportements et hypothèses de fautes à analyser - Prédicats et invariants à vérifier
• Vérification des exigences
- Analyses comportementales, revues et inspections des spécifications
- Agrément de la spécification : prototypage, mise en situation des opérateurs, revues par experts • Définition de scénarios de vérification fonctionnelle
Processus de Prévention des fautes
• Formalismes et langages
- Exigences de certification, normes et standards, formalismes et environnements de développement • Organisation de projet
- Modèle de cycle de vie, attribution des tâches et organisation des équipes, gestion des ressources • Planification de projet et évaluation de risques
- Identification des risques et des moyens de réduction des risques - Choix d’une stratégie de développement
- Planifications des étapes de développement et critères de transitions entre étapes - Planification des revues de projet, Planification de la gestion des configurations
5.1.4.
Conclusion
Le modèle de développement à sûreté de fonctionnement explicite offre un cadre général pour structurer les activités à mettre en œuvre pour maîtriser le développement de systèmes sûrs de fonctionnement. En regroupant les activités relatives à la prévention de fautes, la tolérance aux fautes, l’élimination des fautes et la prévision des fautes au sein de processus fondamentaux interagissant avec le processus direct de création de système, on vise à s’assurer que tous les moyens de la sûreté de fonctionnement sont pris en compte à chaque étape du développement. La démarche proposée est générique et possède un large spectre d’application. Néanmoins, pour un cadre d’application bien défini, un dosage approprié des différentes activités proposées est nécessaire. Certaines activités peuvent être écartées, si par exemple, des composants sont réutilisés ou bien si les objectifs de sûreté de fonctionnement ne justifient pas la mise en œuvre de telles activités. La réutilisation de composants et le développement de composants en vue de leur réutilisation constituent deux objectifs au centre des préoccupations actuelles des constructeurs de systèmes. Les méthodes de développement orientées objets s’avèrent bien adaptées pour répondre à ce besoin. Dans ce contexte, la démarche que nous proposons reste applicable. En effet, nous avons mis l’accent sur la nature des activités qu’il est nécessaire de mener, abstraction faite de la façon selon laquelle ces activités sont agencées entre elles. Les directives et les listes de points clefs proposées pour guider le développement de systèmes sûrs de fonctionnement peuvent ainsi s’appliquer indépendamment de la méthode de développement utilisée. La figure 5.3 donne un exemple qui montre en particulier que, des groupes d’activités peuvent être instanciés plusieurs fois en fonction des approches considérées pour le développement du système et de ses composants (développement en cascade, prototypage, réutilisation, etc.). C’est le modèle du cycle de vie choisi qui doit déterminer l’ordre selon lequel ces activités sont orchestrées.
e Prévention de fautes
o Tolérance aux fautes
l Elimination des fautes
i Prévis ion des fautes
x Exigences o Conception e Réalisation n Intégration Ex Co Re In In In Ex In Ex Re In Exigenc es et Conception Système Cascade raditionnelle Produit final Prototy page Réuti lisation s ans c hangements Réutilisation avec ajustements In Ex C o R e Ex Co Re In Ex C o El Ex Co Re In To Pe Pi