Méthodes pour la validation de modèles formels pour la ... - ISAE

More documents

Recommendations

Info

3.8 Formalisation des données extraites 95 On représente en fait sur ce tableau 3.7 les modes de défaillance sur les sorties des composants. Un avantage de cette méthode est la mise à disposition de scénarios de tests quasi-immédiat. En effet, pour un composant donné, le tableau obtenu nous fournit un ensemble de scénario munis de déviations d’entrées et / ou de modes de défaillance internes au composant. De ce tableau également, nous connaissons la sortie attendue du modèle. Il sera donc possible de comparer la sortie effective du modèle avec l’effet décrit dans la première colonne du tableau. Cependant, il est difficile à partir de ce formalisme d’appréhender l’historique d’un état du système, de tracer les scénarios de pannes possibles (i.e. le chemin ayant conduis à telle ou telle valeur de sortie). De plus et en l’état, ce formalisme est plutôt utilisé pour la représentation du comportement dysfonctionnel du composant. Pour aller plus loin, différents travaux présentés dans la littérature se proposent de représenter le comportement (fonctionnel et dysfonctionnel) d’un système à l’aide de diagrammes états-transitions. On trouvera alors des références utilisant UML, Statecharts, ou la méthode SCR. 3.8.4 Méthode SCR La méthode SCR (pour Software Cost Reduction [32]) est à la base une méthode se voulant permettre de spécifier formellement des exigences sur un système à l’aide d’une représentation tabulaire. Introduit à l’origine pour décrire les comportements d’un logiciel de manière précise et non ambiguë, la méthode s’est peu à peu étendue à une gamme plus large de système. Pour aider à l’application pratique de la méthode, celle-ci est supportée par une suite d’outils incluant par exemple un éditeur (pour écrire formellement l’ensemble des exigences), un outil de vérification de la cohérence de cette spécification (pour trouver des « oublis », des cas manquants dans la spécification), un simulateur interactif, un vérificateur permettant de tester si la spécification possède une propriété donnée. Le principe de la méthode SCR a des similarités avec le principe du langage AltaRica. Brièvement et pour ne présenter que très simplement la chose, un système (ou un logiciel) est représenté à l’aide de différentes variables. Nous en considérerons trois ici : des variables d’entrée, des variables de sorties et des variables d’état. La spécification, présentée sous forme tabulaire, consiste tout d’abord à décrire la logique de changement d’état, pour chaque variable d’état. Le principe est illustré sur le tableau 3.8. Remarque : Un remarque au sujet des évènements modélisés. Ils le sont par l’intermédiaire d’un changement de valeur des variables d’entrée et sont formalisés grâce à une écriture du type « @T (Changement de l’entrée) ». Dans les exemples vus dans la littérature, les défaillances propres au système ne sont pas modélisées. L’exemple est celui d’un système d’alarme observant le niveau d’eau d’une cuve. Le système reçoit en entrée un signal IN lui indiquant le niveau d’eau (ok, bas ou haut). Le logiciel traite ce signal et si besoin, renvoie en sortie un signal d’alarme OUT (OUT sera vrai si le niveau est haut ou bas). Le système possède également une entrée switch lui indiquant s’il est allumé ou éteint (switch = ON ou OFF). Valeur de départ Évènement Valeur d’arrivée ok @T(IN < Seuil bas) bas ok @T(IN > Seuil haut) haut bas @T(IN > Seuil bas) ok haut @T(IN < Seuil haut) haut Tableau 3.8 – Méthode SCR : Table de transition pour une variable d’état ST
96 Chapitre 3. Vers une méthodologie unifiée de modélisation AltaRica de systèmes physiques Une variable d’état peut donc être vue comme étant une abstraction d’une variable d’entrée. Une fois la logique de changement d’état définie, on définit les valeurs des variables de sortie (représentant ici une activation d’alarme). Le tableau 3.9 illustre la démarche. Sur ce tableau, l’alarme sera activée lorsque le niveau sera haut ou bas et que le système est en fonctionnement (switch=ON). Nom sortie Variable d’état OUT ST État Évènement haut, bas True when switch = ON @T(Switch = OFF) ok False True OUT ON OFF Tableau 3.9 – Méthode SCR : Définition de la valeur d’une variable de sortie De cette méthode SCR, il est bien entendu hors de propos de reprendre la totalité de la démarche. La méthode SCR est un processus à part entière et de nombreuses références traitent du sujet [32, 11]. Cependant, la notation tabulaire semble intéressante et semble pouvoir permettre la description des comportements d’un composant. En y regardant de plus près, cela n’a cependant rien d’étonnant puisque derrière cette notation tabulaire, se cache en fait des machines à état finis (i.e. , des diagrammes états-transitions). Les tables décrites lors de l’application de la méthode SCR peuvent donc potentiellement être considérées comme une « traduction » tabulaire des informations décrites par un diagramme étattransition. Pour faire l’analogie avec le langage AltaRica, les tables de transitions (tableau 3.8) sont analogues aux transitions AltaRica, la définition des variables de sortie (tableau 3.9) sont l’analogie des assertions AltaRica. 3.8.5 Diagrammes états-transitions Au delà de la méthode SCR (qui propose une description tabulaire du comportement d’un système), il est possible de décrire graphiquement le comportement d’un système à l’aide de diagrammes états-transitions. On trouvera différents travaux utilisant les machines à état finis, les Statecharts ou encore les diagrammes d’états du formalisme UML. Sans rentrer dans les détails et spécificités de chacun des formalismes, nous retiendrons ici que de tels formalismes permettent de décrire la logique de changement d’état à l’intérieur d’un composant. Elle nécessite donc de définir ces différents états du système puis de s’intéresser aux mécanismes (i.e. aux évènements fonctionnels ou dysfonctionnels) provoquant un changement d’état. Pour présenter différents types de diagrammes états-transitions, nous prenons l’exemple simple d’un robinet pouvant d’ouvrir et se fermer (pour l’instant on suppose que celui-ci n’a pas de mode de défaillance). La figure 3.13 fournit alors un diagramme états-transitions simple représentant le fonctionnement du robinet. Ouvert F ermeture −−−−−−−→ ←−−−−−−− Ouverture Fermé Figure 3.13 – Exemple de diagramme états-transitions
Page 1 and 2:
THÈSE En vue de l'obtention du DOC
Page 4 and 5:
Table des matières Liste des abré
Page 6 and 7:
Table des figures 1.1 Indicateurs S
Page 8:
Liste des tableaux 1.1 Critère de
Page 12 and 13:
Remerciements Fin de l’étape. ..
Page 14 and 15:
3 que du jus de carotte, même si j
Page 16 and 17:
Introduction L’objectif de cette
Page 18 and 19:
7 l’efficacité de ces activités
Page 20:
Chapitre 1 Concepts généraux auto
Page 23 and 24:
12 Chapitre 1. Concepts généraux
Page 25 and 26:
Page 27 and 28:
Page 29 and 30:
Page 31 and 32:
Page 33 and 34:
Page 35 and 36:
Page 37 and 38:
Page 39 and 40:
Page 42 and 43:
Bien que les arbres de défaillance
Page 44 and 45:
2.2 Syntaxe du langage AltaRica OCA
Page 46 and 47:
Page 48 and 49:
Page 50 and 51:
Page 52 and 53:
2.3 Sémantique du langage AltaRica
Page 54 and 55:
2.3 Sémantique du langage AltaRica
Page 56 and 57: 2.3 Sémantique du langage AltaRica
Page 58 and 59: 2.3 Sémantique du langage AltaRica
Page 60 and 61: 2.4 Outils pour la construction et
Page 62 and 63: 2.5 Autres langages pour la réalis
Page 64 and 65: 2.5 Autres langages pour la réalis
Page 66: Chapitre 3 Vers une méthodologie u
Page 69 and 70: 58 Chapitre 3. Vers une méthodolog
Page 105: 94 Chapitre 3. Vers une méthodolog
Page 112: Chapitre 4 Processus pour la valida
Page 115 and 116: 104 Chapitre 4. Processus pour la v
Page 150 and 151: « Plutôt que de répéter sans ce
Page 152 and 153: 5.1 Bilan de l’activité de modé
Page 154 and 155: 5.1 Bilan de l’activité de modé
Page 156 and 157:
5.2 Bilan de l’activité de valid
Page 158 and 159:
5.2 Bilan de l’activité de valid
Page 160 and 161:
5.3 Accent sur quelques avantages d
Page 162 and 163:
5.4 Quelques bonnes pratiques recom
Page 164:
5.5 Retours sur quelques difficult
Page 167 and 168:
156 Conclusion Cette représentatio
Page 170:
Index AltaRica Assertion, 37 Évèn
Page 173 and 174:
162 Bibliographie [14] Matthias Bie
Page 175 and 176:
164 Bibliographie [47] Jeff Offutt,
Page 177:
Résumé Pour certifier un système
show all

Méthodes pour la validation de modèles formels pour la ... - ISAE

Create successful ePaper yourself

Delete template?

Save as template?