Méthodes pour la validation de modèles formels pour la ... - ISAE
Méthodes pour la validation de modèles formels pour la ... - ISAE
Méthodes pour la validation de modèles formels pour la ... - ISAE
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
104 Chapitre 4. Processus <strong>pour</strong> <strong>la</strong> <strong>validation</strong> <strong>de</strong> modèle AltaRica<br />
à l’utilisation du mo<strong>de</strong>l-checking [38] <strong>pour</strong> montrer qu’un modèle satisfait une propriété donnée.<br />
Nous nous intéressons dans ce mémoire davantage à <strong>de</strong>s activités <strong>de</strong> test sur le modèle. L’objectif<br />
est alors <strong>de</strong> « tester » le comportement du modèle dans le but <strong>de</strong> détecter <strong>de</strong>s fautes potentiellement<br />
introduites lors <strong>de</strong> <strong>la</strong> construction du modèle (lors <strong>de</strong> <strong>la</strong> réalisation <strong>de</strong> <strong>la</strong> spécification - chapitre 3 -<br />
ou lors <strong>de</strong> l’implémentation), i.e. <strong>de</strong> détecter <strong>de</strong>s écarts entre le comportement attendu du modèle<br />
et les résultats <strong>de</strong>s tests.<br />
Avant <strong>de</strong> nous intéresser davantage à ce processus <strong>de</strong> <strong>validation</strong> par test <strong>de</strong> conformité d’un<br />
modèle AltaRica par rapport à sa spécification, nous pensons utile d’expliciter les différences entre<br />
preuve et test et les raisons <strong>pour</strong> lesquels nous préférons, <strong>pour</strong> notre problématique, le test.<br />
4.1.2 Pourquoi faire du test ?<br />
Si <strong>la</strong> notion <strong>de</strong> test sera davantage explicitée dans <strong>la</strong> suite, nous donnons ici, <strong>de</strong>s définitions<br />
intuitives <strong>de</strong>s termes preuve et test.<br />
– Une preuve est une démonstration formelle qu’un modèle satisfait une propriété. Ainsi, on<br />
peut s’assurer qu’une propriété est vraie <strong>pour</strong> toutes les exécutions possibles du modèle.<br />
– Un test consiste à tester un chemin d’exécution du modèle. On fournit au modèle <strong>de</strong>s entrées<br />
et on observe <strong>la</strong> sortie obtenue. On compare ensuite <strong>la</strong> sortie obtenue avec celle attendue.<br />
Pour aller plus loin à ce sta<strong>de</strong>, il est nécessaire <strong>de</strong> connaître, dans le processus <strong>de</strong> développement<br />
du modèle, quelles activités et quels documents peuvent être <strong>formels</strong> et lesquels ne peuvent<br />
pas l’être. Pour ce<strong>la</strong>, <strong>la</strong> figure 4.1 inspirée <strong>de</strong> [29] présente une vision concise <strong>de</strong> ce processus <strong>de</strong><br />
développement d’un modèle. On distinguera dans cette figure les documents (représentés par <strong>de</strong>s<br />
boîtes) et les activités (représentées par <strong>de</strong>s flèches).<br />
Documents <strong>de</strong><br />
conception<br />
Chap.3−Activité<br />
−−−−−−−−−−−→<br />
<strong>de</strong> spécification<br />
←−−−−−−−<br />
V alidation<br />
Spécification du<br />
modèle AltaRica<br />
Implémentation<br />
−−−−−−−−−−→<br />
V érification<br />
←−−−−−−−−<br />
V alidation<br />
Modèle<br />
AltaRica<br />
Figure 4.1 – Processus <strong>de</strong> développement d’un modèle<br />
Remarque : L’activité <strong>de</strong> « vérification » consiste à s’assurer que le modèle construit l’est <strong>de</strong><br />
manière correcte. On souhaite démontrer que les exigences spécifiées sont satisfaites<br />
par le modèle. L’activité <strong>de</strong> <strong>validation</strong> vise quant à elle à s’assurer <strong>de</strong> <strong>la</strong> pertinence<br />
du modèle par rapport au système réel qu’il représente (a-t-on construit le bon<br />
modèle ?).<br />
Sur <strong>la</strong> figure 4.1, on s’intéresse à ce qui peut être formel et à ce qui ne peut pas l’être. L’argumentation<br />
est <strong>pour</strong> ce<strong>la</strong> reprise <strong>de</strong> [29]. On s’intéresse dans un premier temps aux documents :<br />
les documents <strong>de</strong> conception, <strong>la</strong> spécification du modèle AltaRica et le modèle AltaRica.<br />
– Les documents <strong>de</strong> conceptions sont par nature in<strong>formels</strong>. Il s’agira par exemple <strong>de</strong> spécifications<br />
<strong>de</strong> conception écrites en <strong>la</strong>ngage naturel, <strong>de</strong> schémas techniques ou <strong>de</strong> connaissances<br />
experts.<br />
– La spécification du modèle AltaRica est d’après notre expérience rarement totalement formelle.<br />
En accord avec <strong>la</strong> section 3.8, elle peut être semi-formelle.<br />
– Le modèle peut lui aussi être formel si on suppose que le <strong>la</strong>ngage utilisé l’est. Dans le cas<br />
du <strong>la</strong>ngage AltaRica, le modèle est donc formel.