Modélisation des systèmes temps-réel répartis embarqués pour la ...

More documents

Recommendations

Info

Modélisation des systèmes temps-réel répartis embarqués de t) finira elle-même par contenir un jeton, et ce dans tous les futurs possibles. Avec T hreads l’ensemble des threads de l’architecture, et les places t_c_start et t_c_end correspondant respectivement aux places de début et de fin du threads t considéré. De cette façon, nous pouvons nous assurer que les threads s’exécutent tous correctement ; si ce n’est pas le cas, il est nécessaire d’effectuer d’autres vérifications afin d’en identifier la cause. Le blocage d’un thread peut être dû à l’absence de certaines données en entrée ; la formule VII.2 permet de s’assurer qu’aucune place d’entrée des threads n’est vide en permanence. ∀p ∈ Places, AF(card(p) > 0) (VII.2) Avec Places l’ensemble des places associées à chaque thread. Si en revanche le blocage du thread est dû à un problème dans la structure de ses séquences d’appel, il est nécessaire de vérifier que celles-ci s’exécutent correctement. Dans ce cas, nous devons suivre la même démarche de vérification que pour l’extérieur des threads : si un jeton de contrôle atteint la première place d’une séquence, il doit atteindre la dernière place par la suite (formule VII.3). ∀s ∈ Sequences, implies(card(s_begin) > 0,AF(card(s_end) > 0)) (VII.3) Avec Sequences l’ensemble des séquences des threads de l’architecture. Lorsque la séquence bloquante est identifiée, il suffit alors de vérifier que le jeton de contrôle passe dans toutes les places de contrôle des sous-programmes. Pour cela, nous devons vérifier que chaque place de contrôle de la séquence accueille exactement un jeton à un moment donné (formule VII.4). ∀p ∈ Controles, AF(card(p) > 0) (VII.4) Avec Controles l’ensemble des places de contrôle des sous-programmes associés aux séquences qui ne vérifient pas la formule VII.3. Le blocage du sous-programme peut être dû à l’absence d’une donnée à l’entrée de celui-ci. Une vérification alternative consiste donc à s’assurer que toutes les places d’entrée de chaque sous-programme de la séquence considérée accueilleront un jeton à un moment donné (formule VII.5). ∀p ∈ Entrees, AF(card(p) > 0) (VII.5) Avec Entrees l’ensemble des places d’entrée des sous-programmes associés aux séquences qui ne vérifient pas la formule VII.3. Les formules VII.4 et VII.5 permettent d’identifier les places d’entrée qui seront toujours vides. Ces situations sont invalides, puisqu’elles traduisent un problème dans le flux d’exécution (formule VII.4) ou dans les flux de données (formule VII.5). VII-7.3 Déterminisme des valeurs Le dernier cas est différent. Nous considérons qu’une valeur n’est pas déterministe lorsqu’elle est peut être définie plusieurs fois. C’est notamment le cas lorsque les sorties de plusieurs sousprogrammes sont connectée à l’entrée d’un autre sous-programme ou à la sortie du thread correspondant. Cela peut entraîner des redéfinitions successives de la valeur d’une donnée. 146 c○ 2007 Thomas Vergnaud
Chapitre VII – Vérification formelle de la structure des applications Cette situation se traduit par la possibilité d’avoir plusieurs jetons dans une place appartenant à une séquence d’appel. Nous devons donc nous assurer que cette situation n’apparaît jamais (formule VII.6). ∀p ∈ Entrees, AF(card(p) < 2) (VII.6) Avec Entrees l’ensemble des places d’entrée de chaque sous-programme de l’architecture. Il est important de noter que les formule VII.5 et VII.6 ne peuvent pas être rassemblées en une seule formule. En effet, la formule VII.6 concerne tous les sous-programmes de l’architecture tandis que la formule VII.5 ne porte que sur les sous-programmes des séquences bloquées. Il est parfaitement acceptable qu’une entrée de sous-programme ne reçoive jamais de jeton si celui-ci appartient à une séquence qui n’est jamais exécutée. VII-8 Conclusion La vérification a priori est une phase importante de la conception des systèmes embarqués temps-réel : elle permet de s’assurer d’un certain nombre de caractéristiques de l’architecture considérée avant sa construction effective. Pour cela, il est nécessaire de pouvoir extraire une description formelle de l’architecture. Dans ce chapitre nous avons montré qu’il était possible d’établir une relation entre une description AADL et un formalisme de vérification. Nous avons choisi les réseaux de Petri pour illustrer notre propos car ils permettent une modélisation comportementale des systèmes. Nous avons établi des règles de traduction depuis les constructions AADL vers les réseaux de Petri. Cette traduction prend essentiellement en compte les éléments logiciels de la modélisation en AADL, et se fonde uniquement sur les spécifications d’exécutif que nous avons énoncées au chapitre IV ; ces hypothèses sont par ailleurs utilisées pour la génération de l’exécutif AADL (cf. chapitres V et VI). Nous avons notamment développé les mêmes concepts quant à l’intégration de descriptions comportementales dans les composants AADL. Il est donc possible d’établir une équivalence sémantique entre le réseau de Petri extrait d’une description AADL et le code source généré à partir de celle-ci. L’analyse du réseau de Petri permet d’évaluer la cohérence des flux d’exécution. Pour cela, nous avons défini un certain nombre de formules et de propriétés structurelles correspondant à des propriétés qui doivent être systématiquement vérifiées, telles que l’absence de blocage dans les threads. Des vérifications plus spécifiques, dépendant par exemple des implantations comportementales des composants peuvent également être effectuées par l’utilisateur. En faisant abstraction des considérations temporelles de la description AADL, nous avons pu établir la vérification d’un certain nombre de propriétés inhérentes à la construction de l’architecture ; les vérifications que nous avons présentées dans ce chapitre permettent donc une vérification de la cohérence du système. La modélisation en réseaux de Petri permet ainsi de détecter une mauvaise construction de l’architecture avant même de produire le système exécutable correspondant. Cette modélisation doit naturellement être couplée à d’autres méthodes d’analyse, telles que la simulation de l’ordonnancement des threads, la vérification de la taille de l’application en mémoire, de la consommation électrique, etc. Nous avons présenté ici un aspect de vérification particulier, qui est directement lié aux communications dans le système modélisé. L’utilisation d’AADL permet de centraliser toutes les informations nécessaires à l’application des différentes phases d’analyse et de génération nécessaires, ce qui permet d’avoir une représentation unique de l’architecture. c○ 2007 Thomas Vergnaud 147
Page 1 and 2:
École doctorale d’informatique,
Page 3:
Telle est la nature de l’esprit h
Page 6 and 7:
To validate this design process, we
Page 8 and 9:
Modélisation des systèmes temps-r
Page 10 and 11:
Page 12 and 13:
Page 14 and 15:
Page 16 and 17:
Page 18 and 19:
Page 20 and 21:
Page 22 and 23:
II-2.2.2 CORBA Modélisation des sy
Page 24 and 25:
II-2.2.3 RMI Modélisation des syst
Page 26 and 27:
Page 28 and 29:
Page 30 and 31:
Page 32 and 33:
II-4.4 Discussion Modélisation des
Page 34 and 35:
II-5.2.2 Connecteurs Modélisation
Page 36 and 37:
18 } Modélisation des systèmes te
Page 38 and 39:
Page 40 and 41:
Page 42 and 43:
Page 44 and 45:
11 end i486.AMD; 12 Modélisation d
Page 46 and 47:
Page 48 and 49:
Page 50 and 51:
Page 52 and 53:
1 system global 2 end global; 3 Mod
Page 54 and 55:
Page 56 and 57:
Page 58 and 59:
Page 60 and 61:
Page 62 and 63:
16 Modélisation des systèmes temp
Page 64 and 65:
Page 66 and 67:
Page 68 and 69:
Page 70 and 71:
Page 72 and 73:
phase 1 phase 2 Modélisation des s
Page 74 and 75:
Page 76 and 77:
Page 78 and 79:
Page 80 and 81:
Page 82 and 83:
Page 84 and 85:
descriptions comportementales Modé
Page 86 and 87:
Page 88 and 89:
Page 90 and 91:
17 end sp.impl; Modélisation des s
Page 92 and 93:
Page 94 and 95:
Page 96 and 97:
Page 98 and 99:
Page 100 and 101:
Page 102 and 103:
13 Modélisation des systèmes temp
Page 104 and 105:
Page 106 and 107:
Page 108 and 109: Modélisation des systèmes temps-r
Page 116 and 117: autre nœud Modélisation des syst
Page 124 and 125: 10 features Modélisation des syst
Page 126 and 127: VI-3.4.6 Activation Modélisation d
Page 138 and 139: donnee (a) donnée Modélisation de
Page 144 and 145: 53 end global.impl; Modélisation d
Page 154 and 155: 15 end sspg_b; Modélisation des sy
Page 156 and 157: 1 data donnee 2 end donnee; 3 4 thr
Page 172 and 173: 19 use Partition; 20 Modélisation
Page 174 and 175: 23 begin Modélisation des système
Page 178 and 179: VIII-3.1 Motifs AADL de base Modél
show all

Modélisation des systèmes temps-réel répartis embarqués pour la ...

Create successful ePaper yourself

Delete template?

Save as template?