M. Romain Cuer soutient sa thèse le 23/11/2018 à 09h30.
Lieu : amphithéâtre Est, au premier étage du bâtiment des Humanités de l’INSA de Lyon, Villeurbanne.
Titre :
Démarche de conception sûre de la Supervision de la fonction de Conduite Autonome
Jury :
Rapporteurs :
Frédéric Kratz, Professeur des Universités à l’INSA CVL Bourges/Blois ;
Éric Levrat, Professeur des Universités à l’Université de Lorraine.
Examinateurs :
Agnès Lanusse, Docteure au CEA-List Saclay ;
Mohamed Ghazel, Directeur de Recherche à l’IFSTTAR de Lille.
Encadrants :
Éric Niel, Professeur des Universités à l’INSA de Lyon, Directeur de thèse ;
Laurent Piétrac, Maître de Conférences HDR à l’INSA de Lyon, Co-directeur de thèse.
Résumé :
Le véhicule autonome est un véhicule qui se conduira, à terme, sans aucune intervention du conducteur, quelle que soit la situation de conduite. Ce véhicule comprend une nouvelle fonction, nommée fonction AD, pour Autonomous Driving, en charge de la conduite autonome. Cette fonction peut se trouver dans des états différents (Active, Disponible par exemple) selon l’évolution des conditions environnementales. Le changement de ses états est géré par une fonction de Supervision, nommée Supervision AD. Le principal objet de ces travaux consiste à garantir que la fonction AD se trouve constamment dans un état sûr. Ceci revient à s’assurer que la Supervision AD respecte l’ensemble des exigences fonctionnelles et de sûreté qui spécifient son comportement. Ces deux types d’exigences sont émis par deux métiers distincts : l’Architecte Métier Système (AMS) et le pilote Sûreté de Fonctionnement (SdF). Ces deux disciplines d’ingénierie, bien qu’elles contribuent à la conception d’une même fonction, se distinguent en de nombreux points : objectifs, contraintes, planning, outils... Dans notre cas d’étude, ces différences s’illustrent par les exigences considérées : les exigences fonctionnelles sont allouées à la fonction AD globale, tandis que les exigences de sûreté spécifient le comportement de sous-fonctions locales redondantes assurant une continuité de service en cas de défaillance. La mise en cohérence de ces deux perspectives métier au plus tôt dans le cycle de conception et dans un contexte industriel, est la problématique centrale traitée. Les enjeux de SdF soulevés par le véhicule autonome rendent ce problème primordial pour les constructeurs automobiles.
Afin de répondre à ces préoccupations, nous avons proposé une démarche outillée et collaborative
de conception sûre de la Supervision AD. Cette démarche est intégrée dans les processus normatifs
en vigueur (normes ISO 15288 et ISO 26262) ainsi que dans les processus de conception internes chez Renault. Elle est fondée sur la vérification formelle par model checking, la composition parallèle d’automates finis et l’expertise métier. Cette démarche prône l’utilisation d’un même formalisme (l’automate à états finis) par les deux métiers pour mener à bien des activités partageant un objectif de modélisation commun : la vérification d’exigences de comportement en phase amont de conception. Une méthode pour traduire les exigences en propriétés formelles et construire les modèles d’état a été déployée. Il en résulte une consolidation progressive des exigences traitées, initialement rédigées en langage naturel. Les potentielles ambigüités, incohérences et incomplétudes sont exhibées et traitées. Deux contributions principales de ces travaux sont ainsi illustrées : la mise en évidence de plusieurs spécifications formelles crédibles (i.e. validées par les experts) à partir d’exigences informelles ; et la définition précise du rôle (activités, planning) des deux expertises métier dans le processus de formalisation des exigences et de construction des modèles. Néanmoins, cette consolidation - en silos - des deux points de vue ne garantit pas qu’ils soient cohérents entre eux. C’est pourquoi, nous proposons une méthode de convergence, reposant sur l’expertise, pour les questions relatives au vocabulaire métier, et sur la composition parallèle d’automates finis, pour la comparaison des vues locales et globales.
Voir en ligne : Texte complet