Durant le cycle de vie d’une centrale nucléaire, de sa conception à son démantèlement, un certain nombre d’exigences doivent être respectées. Les exigences réglementaires de sûreté se situent au premier rang et sont édictées dans des textes nationaux, propres à chaque pays, ainsi que par des normes internationales et sont complétées par des recommandations pratiques dont l’application vaut conformité aux exigences vis-à-vis des autorités de sûreté. Ces exigences peuvent correspondre à des objectifs ou bien à des moyens et les autorités de sûreté jugent l’acceptabilité des pratiques mises en place pour y répondre.
Les travaux présentés dans cette thèse prennent leur origine dans la volonté d’industriels du nucléaire, en particulier EDF (Electricité de France), de mieux appréhender les exigences de sûreté de fonctionnement des systèmes de contrôle-commande, avec une dimension de certification à l’international et plus seulement sur le plan national.
Qualification du contrôle-commande : évolutions et nouveaux défis
Guide de survie autour des exigences réglementaires du contrôle-commande
Les systèmes qui revêtent une importance pour la sûreté sont soumis à un processus de certification (ou qualification) vis-à-vis d’exigences émises par les autorités. Bien que ces exigences soient relativement documentées, elles restent de nature textuelle, de haut niveau et donc imprécise, ce qui ne facilite pas les travaux autour de la sûreté elle même mais aussi la communication autour de la sûreté entre les acteurs de la sûreté.
sûreté de fonctionnement et sûreté (nucléaire)
La sûreté de fonctionnement est l’aptitude d’une entité à satisfaire à une ou plusieurs fonctions requises dans des conditions données. Elle traduit la confiance que l’on peut accorder à un système, « la propriété qui permet aux utilisateurs du système de placer une confiance justifiée dans le service qu’il leur délivre » [VCd88, Lap07]. Dans le glossaire AIEA, elle se définit comme la fiabilité globale d’un système, c’est à dire le degré de confiance que l’on peut raisonnablement accorder à ce système. La fiabilité, la disponibilité et la sûreté sont des attributs de la sûreté de fonctionnement [AIE07]. La sûreté (nucléaire), quant à elle, se définit comme l’accomplissement des conditions appropriées d’exploitation, de la prévention des accidents ou de la réduction des conséquences d’accidents, ayant pour résultat la protection des travailleurs, du public et de l’environnement vis-à vis des risques excessifs de rayonnement.
On retrouve des définitions similaires pour la sûreté et la sûreté de fonctionnement dans les autres domaines utilisant des systèmes critiques tels que l’aéronautique ou le ferroviaire. Nancy Leveson du MIT [Lev12], propose une définition en deux temps qui reprend les définitions de sûreté comme étant « freedom from accident » et où les « accidents » sont définis comme des évènements avec perte (perte de vies humaines ou blessures, impacts sur l’environnement). Cette définition rejoint la définition précédente, mais sans la particularité due aux radiations propres à l’industrie nucléaire pour laquelle le terme sûreté sous-entend sûreté nucléaire. Les définitions divergent pourtant sur la notion de fiabilité. Leveson indique que l’on amalgame, à tort, fiabilité et sûreté de fonctionnement, arguant que l’on peut avoir des systèmes sûres mais non fiables (avec des erreurs qui ne portent pas à conséquences) et inversement des systèmes fiables mais non sûres. La sûreté dans le monde nucléaire repose sur ce principe de fiabilité.
Qui sont les acteurs de la sûreté nucléaire ?
Les acteurs de la sûreté
Dans cette section, nous décrivons tout d’abord le modèle français pour la sûreté nucléaire et proposons une comparaison de ce modèle sur deux autres pays : la Grande Bretagne et les Etats-Unis d’Amérique. Au sommet de la pyramide de la sûreté, l’autorité de sûreté nucléaire (ASN) assure, au nom de l’état, le contrôle de la sûreté nucléaire et de la radioprotection en France, pour protéger les travailleurs, les patients, le public et l’environnement des risques liés à l’utilisation du nucléaire. En support de l’ASN, l’institut de radioprotection et de sûreté nucléaire (IRSN) représente la compétence technique de l’ASN et émet des avis pour la gestion du risque nucléaire et radiologique, y compris en cas de crise.Ce fut le cas lors de l’accident de Fukushima où des experts de l’IRSN ont assisté les parties prenantes sur place. Outre sa mission de support technique à l’ASN, l’IRSN est active en recherche de développement, participe à la normalisation, à la formation, à l’information du public sur les risques nucléaires et radiologiques. Viennent enfin les différents exploitants, utilisateurs du nucléaire ou rayonnements ionisants. Ils sont responsables de la sûreté de leurs installations et doivent en justifier devant l’autorité de sûreté. Au premier rang desquels les activités industrielles comme la production d’électricité pour EDF ou Areva. On y compte également l’entreprise d’armement naval DCNS (anciennement Direction des Chantiers Navals) qui conçoit et construits des sous-marins et porte-avions à propulsion nucléaire dans le domaine de la défense ou encore d’autres industriels ayant recours aux rayonnements ionisants pour la stérilisation de matériel, le contrôle de paramètres (empoussièrement de l’air, radiographie industrielle, détection d’usure), contrôle aux rayons X. On y compte également le CEA (Commissariat à l’énergie atomique et aux énergies alternatives) qui possède et exploite quelques réacteurs dédiés à la recherche ou à la défense. Sont également concernées les utilisations médicales faisant appel, tant pour le diagnostic que pour la thérapie, à diverses sources de rayonnements ionisants qui sont produits soit par des générateurs électriques, soit par des radionucléides.
Les exigences de sûreté
Durant le cycle de vie d’une centrale nucléaire, de sa conception à son démantèlement, un certain nombre d’exigences doivent être respectées. Au premier rang desquelles se situent les exigences réglementaires de sûreté qui sont édictées par des textes nationaux, propres à chaque pays, ainsi que par des normes internationales. Ces exigences peuvent correspondre à des objectifs ou bien à des moyens et les autorités de sûreté jugent l’acceptabilité des pratiques mises en place pour y répondre. Dans le cas de la France, les Règles Fondamentales de Sûreté (RFS) sont des documents de très haut niveau, qui en général spécifient des objectifs à atteindre, et non des exigences techniques. Cependant, certaines RFS (en particulier celles sur le logiciel) mentionnent des normes CEI comme étant des pratiques acceptables pour atteindre un objectif donné. Dans la plupart des pays, les exigences réglementaires sont ainsi complétées par des recommandations pratiques : leur application vaut conformité aux exigences. Ces recommandations ne sont pas à proprement parler des exigences, et un concepteur a toujours la possibilité de ne pas les appliquer. Cependant, un tel choix conduira à une instruction beaucoup plus longue et beaucoup plus hasardeuse quant au résultat. Ces recommandations réglementaires sont donc perçues comme des exigences. Dans la suite de ce document, le terme générique exigence réglementaire couvre également les recommandations.
Face à la réglementation, EDF et AREVA ont développé des RCC (Règles de Construction et de Conception). Ces documents sont plus détaillés et sont revus et approuvés par l’ASN comme étant des pratiques acceptables pour satisfaire aux RFS. Pour les fonctions de contrôle-commande, les exigences réglementaires sont reprises dans le cahier des charges de centrale via les RCC-E (RCC des matériels Electriques). Les RCC conservent une part d’ambiguïté et ne sont pas appliquées dans les autres pays. En plus des exigences réglementaires édictées par les autorités de sureté nationales, on trouve un certain nombre d’exigences issues de normes nationales et internationales et dont l’application est requise ou recommandée plus ou moins explicitement par les autorités. Le monde du nucléaire est divisé en deux mondes normatifs : les pays qui suivent le couple AIEA-CEI (dont font partie les pays européens), et ceux qui suivent le couple ISO IEEE (parmi lesquels les Etats-Unis, le Japon, la Corée ou Taiwan).
L’AIEA énonce des règles relatives à la sûreté des installations nucléaires dans différents documents répartis en catégories selon leur force (fondamentaux de sûreté, exigences de sûreté, guides de sûreté, documents techniques). L’ensemble des exigences reste de haut niveau. En complément, les normes CEI suivent les principes édictés par ces documents et énoncent des exigences et recommandations plus détaillées. Les normes CEI sont d’application volontaire, et tandis que les documents AIEA sont pris en bloc, un pays ou un concepteur de centrale peut choisir les normes CEI qu’il veut appliquer. La NRC, autorité de sûreté nucléaire aux Etats-Unis, a commencé à développer son approche avant la publication des documents de l’AIEA. Des règles détaillées ont ainsi été édictées et complétées par les documents de mise en œuvre définis par les industriels américains au sein de l’IEEE. En plus des textes internationaux, on trouve les réglementations nationales, propres à chaque pays et qui entraînent des approches différentes. En tout état de cause, les textes réglementaires restent majoritairement peu prescriptifs.
|
Table des matières
Introduction
I Contexte et état de l’art
Introduction de la partie
1 Qualification du contrôle-commande : évolutions et nouveaux défis
1.1 Guide de survie autour des exigences réglementaires du contrôle-commande
1.1.1 Introduction : sûreté de fonctionnement et sûreté (nucléaire)
1.1.2 Qui sont les acteurs de la sûreté nucléaire ?
1.1.3 Les exigences de sûreté
1.2 Evolution des systèmes de contrôle-commande et des exigences
1.2.1 Le logiciel dans les systèmes critiques : « je t’aime moi non plus »
1.2.2 Evolution de la réglementation sur le logiciel dans le contrôlecommande
1.3 Le contrôle-commande face à l’internationalisation du marché
1.3.1 Depuis 2000, renouveau et rechute du nucléaire
1.3.2 EPR dans 5 pays ; du produit sur mesure vers une ingénierie de ligne de produits
1.4 Une approche hybride pour un problème à plusieurs dimensions
1.4.1 Capitaliser les exigences écrites et la connaissance tacite, un problème de formalisation et de modélisation
1.4.2 Exigences, architecture, qualification : un problème de traçabilité
1.4.3 Formalisation et traçabilité de textes dans le large, un problème hybride
2 Etat de l’art
2.1 Ingénierie des exigences
2.1.1 Ingénierie des exigences : un bref panorama
2.2 Modélisation d’exigences
2.2.1 Distinctions entre exigences
2.2.2 Modélisation des exigences en ingénierie système
2.2.3 UML et la modélisation d’exigences
2.2.4 SysML et la modélisation d’exigences
2.2.5 Langages de modélisation dédiés
2.2.6 Modèles de buts et approches orientées buts
2.3 Ingénierie des exigences et réglementation
2.3.1 Nature des exigences réglementaires
2.3.2 Ingénierie des exigences et conformité avec la réglementation
2.3.3 Conformité des exigences et modélisation
2.4 Traçabilité des exigences
2.4.1 Sémantique et représentation de la traçabilité
2.5 Recherche d’information pour la traçabilité des exigences : solutions semiautomatiques
2.5.1 Introduction à la recherche d’information
2.5.2 Recherche d’information et traçabilité
2.5.3 Fondamentaux de la recherche d’information
2.6 Discussion et synthèse autour des manques à combler
II INCREMENT, une approche hybride pour la représentation et l’analyse des exigences réglementaires de sûreté
Introduction de la partie
3 INCREMENT-MDE : une approche d’Ingénierie Dirigée par les Modèles
3.1 Introduction : un métamodèle pour les exigences réglementaires du contrôlecommande
3.2 Histoire d’un métamodèle en milieu mixte académique et industriel
3.2.1 Episode I : RAQM un triptyque <exigence – architecture – qualification>
3.2.2 Episode II : Réification d’exigences, variabilité et interactions
3.2.3 Episode III : « Theme » ou la nécessité de regrouper des éléments
3.2.4 Episode IV : Connexion, la dissociation entre exigences et textes dans les documents
3.2.5 Un exemple d’instanciation
3.2.6 Cycle de vie d’un métamodèle pour la représentation d’un domaine
3.3 Instancier un modèle Connexion
3.3.1 IncrementParser : un analyseur configurable pour instancier automatiquement un modèle Connexion
3.3.2 Instancier automatiquement un modèle avec des documents du monde nucléaire
3.3.3 Instancier manuellement et manipuler un modèle avec un environnement graphique
3.4 Discussion et synthèse
4 INCREMENT-IR : une approche Recherche d’information
4.1 Recherche d’information pour la traçabilité et l’analyse du corpus
4.2 Tracer manuellement une préoccupation au sein de deux référentiels, un exemple
4.2.1 Au niveau réglementaire
4.2.2 Au niveau des guides réglementaires
4.2.3 Au niveau des normes internationales
4.2.4 Synthèse de l’analyse
4.3 Principes de l’approche Theme
4.3.1 Définition
4.3.2 Mise en place de l’étude
4.4 Analyse du corpus pour la détection et la constitution de thèmes
4.4.1 Recherche de thèmes avec une approche statistique
4.4.2 Identification et regroupement avec des algorithmes de clustering
4.4.3 Identification et modélisation de thèmes par apprentissage
4.4.4 Score TF-IDF pour la constitution de thèmes et la traçabilité
4.5 Discussion et synthèse
4.5.1 Discussion autour des approches
4.5.2 Discussion autour du corpus d’analyse
4.5.3 Discussion autour de la recherche d’information
5 INCREMENT-Hybrid : une hybridation modélisation – Recherche d’information
5.1 Introduction : Mixer IDM et RI pour une approche globale sur le domaine
5.2 Bénéfices de l’hybridation
5.3 Mise en œuvre de l’hybridation
5.3.1 Challenges liés à l’hybridation
5.3.2 Correspondance entre le modèle et l’index
5.3.3 Principes de la synchronisation entre un modèle et un index
5.4 Evaluation d’une mise en oeuvre hybride
5.4.1 Objectifs de l’évaluation
5.4.2 Méthodologie pour la comparaison approche hybride – approche standard
5.4.3 Evaluation de la réduction de l’espace des documents candidats à travers l’indexation des éléments du modèle
5.5 Discussion
5.5.1 Synthèse de l’évaluation
5.5.2 Discussion autour de l’évaluation et de la contribution INCREMENTHybrid
III Conclusion
Conclusion
