Les procédés et techniques utilisables pour évaluer la sécurité des systèmes complexes sont bien définis par les normes de sécurité. Ces normes recommande généralement de décomposer le processus d’évaluation en différents étapes de l’analyse, dite «évaluation à plusieurs niveaux de la sécurité». Chaque étape d'analyse doit être effectuée en appliquant les techniques d’évaluation recommandées. Pour donner confiance à l’exactitude de l’ensemble de l’analyse, certains techniques de vérification, généralement la vérification de la traçabilité, sont appliquées entre deux étapes. Même si la traçabilité procure une certaine confiance dans la correction de la décomposition, les problèmes suivants demeurent: Comment modéliser les comportements du système à chaque étape de l'évaluation de la sécurité? Comment utiliser efficacement ces étapes au cours du processus de conception? Quel est la relation formelle entre ces étapes de modélisation? Pour résoudre ces problèmes, nous proposer un moyen de spécifier, formaliser et mettre en œuvre les relations entre les étapes d'analyse. La proposition et ses avantages et inconvénients sont illustrés sur un cas d'étude de système d'aéronef piloté à distance (RPAS).