Ce projet, supporté par le GIS depuis mai 2011, s'intéresse aux systèmes critiques, pilotés par des opérateurs humains, qui nécessitent une aide à la conduite et a pour objectifs de proposer une approche assurant la sécurité des personnes et de l'environnement, ainsi que le " bon " pilotage du système en modes normal et dégradé. Les incertitudes peuvent être liées à la commande implantée (erreurs de conception, modifications suite à des opérations de maintenance, ...) et au pilotage par un opérateur humain (bon suivi de la procédure, prise de décision face à une situation mal connue ou mal perçue). Pour maîtriser l'impact de ces incertitudes, aussi bien au niveau de la sécurité qu'au niveau fonctionnel, le projet ADEXEC propose le développement d'approches de surveillance et de filtrage inhibant certaines requêtes de l'opérateur, définies comme non conformes et qui pourraient soit détériorer le système, soit contredire les séquences fonctionnelles requises par le cahier des charges. Lorsqu'un tel filtrage se produit, il est bien sûr nécessaire de générer une explication compréhensible par l'opérateur afin de le guider dans ses futures prises de décision. Ces fonctions de surveillance et de filtrage peuvent ainsi être considérées comme de véritables fonctions de sécurité dont le développement est encadré par un ensemble de textes normatifs tels que la norme IEC61508 et ses déclinaisons sectorielles. Ces normes recommandent la mise en place de méthodes formelles permettant de garantir un processus sûr de développement. Dans notre cas, ces méthodes (synthèse de la commande, vérification par model-checking, ...) doivent pouvoir être utilisées en se focalisant sur la modélisation du filtre de sécurité sans faire d'hypothèses sur la commande (incertitude sur les lois de commande implantées suite à des opérations de maintenance) et le pilotage du système (incertitudes sur les prises de décision des opérateurs).