L’attractivité des systèmes de drones pour répondre aux nouveaux besoins opérationnels comme le transport autonome de colis ou la surveillance d’infrastructures est aujourd’hui incontestable. Néanmoins, l’intégration de ces systèmes dans l’espace aérien pose de nouveaux défis notamment du point de vue de la sécurité comme le montrent les travaux [1] et [2]. En effet, les particularités du système de drones (absence de pilote, procédures de sécurité déportées, cadres opérationnels variés) font que les cadres d’analyse bien connus pour les systèmes aéronautiques classiques (ARP4754, ARP4761) ne peuvent pas être simplement transposés pour les systèmes de drones, principalement pour les raisons suivantes :

  • les cadres opérationnels drone sont beaucoup plus variés que dans l’aviation classique, ceci amène donc une grande hétérogénéité des risques encourus que les cadres classiques ne sont pas capables d’appréhender,
  • les procédures de sécurité des systèmes de drones ne sont pas standardisées comme celles de l’aéronautique classique et souvent définies comme un ensemble de règles en langage naturel. Il faut proposer un langage de formalisation accessible pour formaliser ces procédures.
  • Comme les procédures de sécurité pour les drones ne sont pas standardisées, les risques sont décrits en ne posant aucune hypothèse sur les garanties qu’offrent ces procédures (contrairement à l’aéronautique classique). Il faut donc intégrer les procédures de sécurité au plus tôt dans l’analyse de sécurité pour quantifier leur impact sur l’occurrence d’événements dangereux.
  • les procédures de sécurité sont assurées à la fois par le drone (procédure de bords) et par le pilote (procédure déportées) ce qui pose le problème de conflit de procédures qui est inexistant dans les cadres classiques d’analyse
  • les acteurs développant les systèmes de drones sont généralement des petites ou moyennes entreprises pour lesquelles les processus d’analyse de la sécurité existants (appliqués par les avionneurs) nécessitent un investissement financier et temporel rarement supportable par de petites structures.

Dans ce stage, nous nous intéressons à un cadre d’analyse de sécurité répondant aux besoins listés ci-dessus. Pour cela, le stage consistera à modéliser simultanément le drone et les procédures associées pour ensuite vérifier automatiquement un ensemble de propriétés pertinentes. Plus précisément, les objectifs du stage sont :

  • l’analyse bibliographique des quelques travaux préliminaires traitant cette thématique [3,4] ;
  • la construction d’un cadre de modélisation formelle des politiques de sécurité. Il sera possible de s’appuyer sur des travaux portant sur le diagnostic des systèmes robotiques [5,6] pour le projet AMBRE [8] ;
  • la définition de propriétés pertinentes pour les analyses de sécurité, on s’appuiera notamment sur les retours d’expérience des projets DROSOFILES [9] et DROPTER [10] ;
  • le développement d’un outil d’analyse basé sur outils d’analyse formelle (Electrum [7], Outils [5,6]) ;
  • la validation de l’approche sur l’étude de drones à voilure fixe ONERA.

En fonction des ambitions du candidat, une thèse sur la thématique pourra être envisagée.

Références bibliographiques :

[1] Gonçalves, P., Sobral, J., & Ferreira, L. A. (2017). Unmanned aerial vehicle safety assessment modelling through petri Nets. Reliability Engineering & System Safety, 167, 383-393.

[2] Carle, P., Choppy, C., Kervarc, R., & Piel, A. (2013). Safety of unmanned aircraft systems facing multiple breakdowns. In OASIcs-OpenAccess Series in Informatics (Vol. 31). Schloss Dagstuhl-Leibniz-Zentrum fuer Informatik.

[3] Hayhurst, K. J., Maddalon, J. M., Miner, P. S., Szatkowski, G. N., Ulrey, M. L., DeWalt, M. P., & Spitzer, C. R. (2007). Preliminary considerations for classifying hazards of unmanned aircraft systems.

[4] JARUS (2017). JARUS guidelines on Specific Operations Risk Assessment

[5] Pralet C., Pucel X. and Roussel.S. Diagnosis of intermittent faults with conditional preferences. In Proceedings of the 27th International Workshop on Principles of Diagnosis (DX’16), 2016.

[6] Bouziat V., Pucel X., Roussel S. and Travé-Massuyès L. Preferential Discrete Model-based Diagnosis for Intermittent and Permanent Faults. In Proceedings of the 29th International Workshop on Principles of Diagnosis (DX’18), 2018.

[7] Macedo N., Brunel J., Chemouil D., Cunha, A. and Kuperberg D.. Lightweight specification and analysis of dynamic systems with rich configurations. In Proceedings of the 2016 24th ACM SIGSOFT International Symposium on Foundations of Software Engineering, FSE 2016, pages 373–383, New York, NY, USA, 2016

[8] AMBRE : projet interne ONERA centré sur le développement du model-checker Electrum

[9] DROSOFILES : projet interne ONERA centré sur l’utilisation de drones pour des opérations de maintenance d’infrastructures

[10] DROPTER : projet interne ONERA centré sur l’étude de robustesse des drones dans le cadre de défaillances actionneurs


Mots-clés
Drone; Méthodes formelles; Model-checking; SAT; Sureté de fonctionnement
Établissement
ONERA - Centre de Toulouse
31055 Toulouse  
Date de début souhaitée
15/02/2019
Langues obligatoires
Anglais; Français
Niveau
Bac +4; Bac +5; Bac +6
Prérequis

Programmation (Java préférence)
Base de sûreté de fonctionnement
Méthodes formelles (model checking, SAT)

Durée
4 mois minimum
Indemnité
Indemnité ONERA
Informations de contact

Kévin Delmas, kevin.delmas@onera.fr, 05 62 25 28 49