Méthodes pour la validation de modèles formels pour la ... - ISAE

More documents

Recommendations

Info

4.1 Avant propos 4.1.1 Introduction L’approche proposée au chapitre 3 propose ainsi une méthode fondée sur l’Ingénierie Dirigée par les Modèles (IDM) et plus particulièrement sur l’utilisation de modèles de propagation de pannes pour supporter les analyses classiques de Sûreté de Fonctionnement (e.g. arbres de défaillance, AMDE - section 1.5). Cette approche permet, entre autres choses, une meilleure traçabilité entre la structure du modèle et l’architecture du système qu’il décrit grâce notamment à la mise en place d’une capitalisation et d’une documentation des informations implémentées dans le modèle (section 3.8). Ainsi, un de nos soucis majeurs est de fournir les justifications des données incluses dans le modèle, de tracer les hypothèses de modélisation et de capitaliser les abstractions définies. L’objectif de l’ensemble de ces tâches et du chapitre 3 est alors de prévenir et de minimiser le nombre d’erreurs implémentées dans le modèle. Pour aller plus loin, il est important de réaliser que si avoir un processus rigoureux d’obtention du modèle est une étape, le risque lié à l’introduction d’erreurs demeure présent tout au long du cycle de développement du modèle. En particulier, il est nécessaire et indispensable de considérer l’éventualité selon laquelle certaines erreurs puissent être potentiellement introduites lors de l’implémentation du modèle. Un comportement naturel est alors de vouloir éliminer ces erreurs et de vouloir les éliminer au plus tôt pour limiter le coût de leurs détections, de leurs éliminations et de leurs corrections. En pratique, nous souhaitons démontrer que le comportement du modèle est conforme au comportement du système qu’il décrit. Pour cela, diverses activités peuvent être envisagées comme par exemple : – des activités de revues du modèle (relecture par des ingénieurs et / ou des experts) ; – des activités de preuve ayant pour objectif de démontrer formellement que le modèle satisfait une ou plusieurs propriétés ; – des activités de simulation de tests effectuées sur le modèle. Concernant le premier point et par exemple, le projet MISSA (More Integrated System Safety Assessment - [53]) s’est penché sur la définition de « checklists ». Ces checklists posent des questions qui imposent à l’analyste de s’intéresser à un certain nombre d’aspects relatifs au modèle considéré : ses limites, ses conditions d’utilisations... Des « plans d’argumentation » sont ensuite décrits et comportent par exemple la justification de l’approche de modélisation, la justification des hypothèses de modélisation ou la justification des résultats obtenus. Ces argumentations permettent d’augmenter la confiance dans le modèle et sont sans aucun doute un premier pas vers une validation rigoureuse d’un modèle. Cependant, si une telle validation semble être un point clef pour espérer insérer une telle approche dans un processus industriel, les checklists évoquées ne s’intéressent que peu au comportement à proprement parler du modèle et restent à un stade informel. Pour aller au delà de simples revues du modèle, des activités de preuve et / ou de test peuvent être menées sur le modèle. Divers travaux se sont intéressés à la première activité et par exemple
104 Chapitre 4. Processus pour la validation de modèle AltaRica à l’utilisation du model-checking [38] pour montrer qu’un modèle satisfait une propriété donnée. Nous nous intéressons dans ce mémoire davantage à des activités de test sur le modèle. L’objectif est alors de « tester » le comportement du modèle dans le but de détecter des fautes potentiellement introduites lors de la construction du modèle (lors de la réalisation de la spécification - chapitre 3 - ou lors de l’implémentation), i.e. de détecter des écarts entre le comportement attendu du modèle et les résultats des tests. Avant de nous intéresser davantage à ce processus de validation par test de conformité d’un modèle AltaRica par rapport à sa spécification, nous pensons utile d’expliciter les différences entre preuve et test et les raisons pour lesquels nous préférons, pour notre problématique, le test. 4.1.2 Pourquoi faire du test ? Si la notion de test sera davantage explicitée dans la suite, nous donnons ici, des définitions intuitives des termes preuve et test. – Une preuve est une démonstration formelle qu’un modèle satisfait une propriété. Ainsi, on peut s’assurer qu’une propriété est vraie pour toutes les exécutions possibles du modèle. – Un test consiste à tester un chemin d’exécution du modèle. On fournit au modèle des entrées et on observe la sortie obtenue. On compare ensuite la sortie obtenue avec celle attendue. Pour aller plus loin à ce stade, il est nécessaire de connaître, dans le processus de développement du modèle, quelles activités et quels documents peuvent être formels et lesquels ne peuvent pas l’être. Pour cela, la figure 4.1 inspirée de [29] présente une vision concise de ce processus de développement d’un modèle. On distinguera dans cette figure les documents (représentés par des boîtes) et les activités (représentées par des flèches). Documents de conception Chap.3−Activité −−−−−−−−−−−→ de spécification ←−−−−−−− V alidation Spécification du modèle AltaRica Implémentation −−−−−−−−−−→ V érification ←−−−−−−−− V alidation Modèle AltaRica Figure 4.1 – Processus de développement d’un modèle Remarque : L’activité de « vérification » consiste à s’assurer que le modèle construit l’est de manière correcte. On souhaite démontrer que les exigences spécifiées sont satisfaites par le modèle. L’activité de validation vise quant à elle à s’assurer de la pertinence du modèle par rapport au système réel qu’il représente (a-t-on construit le bon modèle ?). Sur la figure 4.1, on s’intéresse à ce qui peut être formel et à ce qui ne peut pas l’être. L’argumentation est pour cela reprise de [29]. On s’intéresse dans un premier temps aux documents : les documents de conception, la spécification du modèle AltaRica et le modèle AltaRica. – Les documents de conceptions sont par nature informels. Il s’agira par exemple de spécifications de conception écrites en langage naturel, de schémas techniques ou de connaissances experts. – La spécification du modèle AltaRica est d’après notre expérience rarement totalement formelle. En accord avec la section 3.8, elle peut être semi-formelle. – Le modèle peut lui aussi être formel si on suppose que le langage utilisé l’est. Dans le cas du langage AltaRica, le modèle est donc formel.
Page 1 and 2:
THÈSE En vue de l'obtention du DOC
Page 4 and 5:
Table des matières Liste des abré
Page 6 and 7:
Table des figures 1.1 Indicateurs S
Page 8:
Liste des tableaux 1.1 Critère de
Page 12 and 13:
Remerciements Fin de l’étape. ..
Page 14 and 15:
3 que du jus de carotte, même si j
Page 16 and 17:
Introduction L’objectif de cette
Page 18 and 19:
7 l’efficacité de ces activités
Page 20:
Chapitre 1 Concepts généraux auto
Page 23 and 24:
12 Chapitre 1. Concepts généraux
Page 25 and 26:
Page 27 and 28:
Page 29 and 30:
Page 31 and 32:
Page 33 and 34:
Page 35 and 36:
Page 37 and 38:
Page 39 and 40:
Page 42 and 43:
Bien que les arbres de défaillance
Page 44 and 45:
2.2 Syntaxe du langage AltaRica OCA
Page 46 and 47:
Page 48 and 49:
Page 50 and 51:
Page 52 and 53:
2.3 Sémantique du langage AltaRica
Page 54 and 55:
Page 56 and 57:
Page 58 and 59:
Page 60 and 61:
2.4 Outils pour la construction et
Page 62 and 63: 2.5 Autres langages pour la réalis
Page 64 and 65: 2.5 Autres langages pour la réalis
Page 66: Chapitre 3 Vers une méthodologie u
Page 69 and 70: 58 Chapitre 3. Vers une méthodolog
Page 112: Chapitre 4 Processus pour la valida
Page 117 and 118: 106 Chapitre 4. Processus pour la v
Page 150 and 151: « Plutôt que de répéter sans ce
Page 152 and 153: 5.1 Bilan de l’activité de modé
Page 154 and 155: 5.1 Bilan de l’activité de modé
Page 156 and 157: 5.2 Bilan de l’activité de valid
Page 158 and 159: 5.2 Bilan de l’activité de valid
Page 160 and 161: 5.3 Accent sur quelques avantages d
Page 162 and 163: 5.4 Quelques bonnes pratiques recom
Page 164:
5.5 Retours sur quelques difficult
Page 167 and 168:
156 Conclusion Cette représentatio
Page 170:
Index AltaRica Assertion, 37 Évèn
Page 173 and 174:
162 Bibliographie [14] Matthias Bie
Page 175 and 176:
164 Bibliographie [47] Jeff Offutt,
Page 177:
Résumé Pour certifier un système
show all

Méthodes pour la validation de modèles formels pour la ... - ISAE

Create successful ePaper yourself

Delete template?

Save as template?