Méthode MBSA
Toute modélisation est le résultat du triptyque langage / méthode / outil. Une méthode de modélisation MBSA est donc proposée, avec ses objectifs, ses principes et ses règles. Elle se doit donc d’être adaptée pour des domaines et des problématiques différents. La formation “MBSA pour les pros” a pour but d’expliciter et de mettre en œuvre cette méthode, basée sur une bibliothèque générique publique et outillée avec CECILIA* Workshop.
Définition et objectifs
L’approche MBSA (Model-Based Safety Assessment ou Analysis) constitue une analyse de sécurité basée sur des modèles à propagation de défaillance à la fois fonctionnels et dysfonctionnels.
Dans le cadre d’une certification aéronautique (donc à adapter pour des domaines ou des contextes différents), les objectifs sont les suivants :
- vérifier la bonne allocation des DAL (Development Assurance Level) des matériels et logiciels
- vérifier le principe du fail-safe (pas de panne aléatoire simple ou combinée avec une panne dormante aboutissant à un Évènement Redouté catastrophique)
- vérifier les probabilités de chaque évènement redouté
- contribuer aux analyses de causes communes :
- modes communs (alimentation électrique,dissimilarité du matériel ou du logiciel…)
- zonales (feu, fuites hydrauliques…)
- risques particuliers (foudre, explosion moteur, choc à l’oiseau…)
Les documents d’entrée sont les descriptifs fonctionnels et dysfonctionnels (“design description”, “technical note”, modèle MBSE…), les schémas d’architecture (voire les schémas de câblage) et certaines analyses de sécurité (FMEA/FMES pour le comportement local des composants, AFHA/SFHA pour la définition et la criticité des Évènements Redoutés).
Principes de modélisation
Le méta-modèle utilisé est représenté par 3 vues “haut niveau” du système, les vues fonctionnelles, organiques et zonales.
La vue fonctionnelle présente les fonctions rendues par le système de façon hiérarchique et logique. Chaque fonction observe un ou plusieurs éléments de la vue organique afin de déterminer si elle est rendue ou pas. Les fonctions de plus haut niveau sont reliées aux Évènements Redoutés qui seront pointés pour les calculs.
La vue organique comprend les composants logiques et les équipements, reliés entre eux par des flux de divers types (donnée, puissance électrique, puissance hydraulique…). Les modes de défaillances (erreurs de développement et/ou pannes aléatoires) sont modélisés par des évènements au sein des composants qui constituent les équipements. Ce sont ensuite les flux qui propagent ces défaillances dans tout le modèle.
La vue zonale regroupe les différentes zones de l’avion dans lesquelles sont répartis tous les équipements. Ces zones subissent des menaces (feu, foudre, choc à l’oiseau…) qui sont répercutées aux équipements et qui peuvent avoir un impact sur leur fonctionnement.
Validation et résultats
La simulation pas à pas permet graphiquement la propagation d’une ou de plusieurs défaillances. Il est ainsi possible de jouer des scénarios prédéfinis ou encore de rejouer des coupes issues des résultats afin de valider le modèle. Cette phase de validation doit se faire en lien avec les équipes de design.
Une fois le modèle validé, CECILIA* permet de calculer les combinaisons de défaillances et de menaces zonales qui aboutissent à un Évènement Redouté. Le caractère formel du langage AltaRica garantit l’exhaustivité de ces combinaisons.
Trois types de résultats sont obtenus :
- les coupes “globales”, comprenant les menaces zonales, qui permettront de contribuer aux analyses de causes communes,
- les coupes “fonctionnelles” (Functional Failures Set), combinaison des erreurs de développement matérielles et logicielles, qui permettront de valider l’allocation de DAL (Development Assurance Level),
- les coupes “minimales” (Minimal Cuts Set), combinaison des pannes aléatoires matérielles, qui permettront de vérifier le principe du fail-safe mais aussi de calculer et vérifier les probabilités des Évènements Redoutés.
