Méthodes pour la validation de modèles formels pour la ... - ISAE

More documents

Recommendations

Info

4.2 Processus de validation du modèle AltaRica 105 Pour traiter le cas des activités, on supposera qu’une activité est formelle si ses documents d’entrées et de sorties sont formels. Ainsi : – les activités de spécification (construire la spécification du modèle AltaRica à partir des documents de conception) et de validation de la spécification du modèle ne peuvent donc pas être des activités formelles ; – l’activité d’implémentation peut potentiellement être formelle si on s’intéresse à une génération automatique du modèle à partir de la spécification de ce modèle. Dans notre cas, l’implémentation est restée manuelle et l’activité ne peut donc être qualifiée de formelle ; – les activités de vérification / validation du modèle AltaRica par rapport à sa spécification ne peuvent être formelle que si la spécification du modèle est formelle. L’activité de preuve ne pouvant être utilisée que pour comparer une implémentation à une spécification formelle, une telle activité ne peut être employée pour comparer directement la spécification du modèle AltaRica avec les documents de conception. L’utilisation de preuves pourrait cependant être étudiée et utilisée pour l’activité de vérification du modèle par rapport à sa spécification, après formalisation de celle-ci. La preuve garantira alors le lien entre la spécification et l’implémentation du modèle AltaRica. Néanmoins, le lien entre la spécification informelle (ou semi-formelle) et la spécification formelle restera encore à être garanti. Ne voulant pas seulement déplacer le problème, nous conservons notre volonté de garantir le lien entre la spécification du modèle AltaRica et son implémentation... Par essence, l’analyse de sécurité amène les analystes à produire les séquences d’évènements (en nombre borné) conduisant à l’occurrence d’un évènement redouté. En vue de la revue et de la validation des modèles construits, ces séquences doivent être lisibles et compréhensibles par des spécialistes métiers (non spécialistes Sûreté de Fonctionnement) et par les ingénieurs Sûreté de Fonctionnement en charge de la réalisation du modèle AltaRica. De plus, étant donné le déterminisme des modèles AltaRica construits, ces séquences constituent naturellement des scénarios de test pouvant être simulés sur le modèle AltaRica. Ainsi dans ce contexte, le test permet, avec un surcoût réduit, à la fois d’estimer la conformité du modèle AltaRica par rapport à sa spécification mais aussi d’aborder la validation de cette spécification via la simulation des séquences et l’examen de leurs effets. Par contre, l’examen d’un nombre limité de séquences ne peut à lui seul garantir dans tous les cas que l’implémentation du modèle AltaRica est conforme à sa spécification et au comportement du système qu’il décrit. Des mesures de couvertures restent à définir dans ce contexte afin de pouvoir accorder une confiance justifiable dans les activités de test réalisées sur le modèle AltaRica. Nous avons donc deux problèmes de validation à résoudre : celui de la spécification par rapport aux documents de conception, celui du modèle par rapport à sa spécification. Pour le premier point, le chapitre 3 adresse le problème et propose un processus de modélisation. En particulier, la section 3.8 propose diverses formalisations de cette spécification pour un composant élémentaire. Des activités de revues pourront et devront être complémentaires à ce processus de modélisation pour améliorer la confiance de l’utilisateur. Dans ce chapitre, nous traiterons majoritairement du second problème de validation, à savoir celui de l’implémentation du modèle. Nous fonderons pour cela notre approche sur des activités de test. 4.2 Processus de validation du modèle AltaRica Nous rentrons ici directement dans le vif du sujet en proposant les fondements d’un processus de validation d’un modèle AltaRica. Nous focaliserons ensuite sur un processus plus adapté à la validation d’un composant élémentaire (d’un composant d’une bibliothèque AltaRica) et développerons ce processus « unitaire » dans la suite de ce chapitre.
106 Chapitre 4. Processus pour la validation de modèle AltaRica 4.2.1 Différents niveaux de validation Pour augmenter l’efficacité de l’activité de validation, nous souhaitons détecter au plus tôt les potentielles erreurs d’implémentation dans le modèle. Dans cette optique, nous découpons l’approche de validation en trois phases distinctes : – une phase de validation unitaire qui consistera à valider le comportement de chacun des composants de la ou des bibliothèques; – une phase de validation de l’intégration qui focalisera son objectif sur la validation des interfaces que chaque composant possède avec son environnement (i.e. avec les autres composants du modèle) ; – une phase de validation système qui s’intéressera, comme son nom l’indique, au comportement du modèle représentant le système. Ainsi, la validation unitaire aura pour but de démontrer que chaque composant effectue la fonction prévue et seulement cette fonction. On pourra distinguer dans cette validation la validation de la logique interne du composant (valider les états et les transitions entre états) et la validation des calculs réalisés par le composant (est ce que les effets des évènements sont correctement implémentées ?). La validation de l’intégration aura pour objectif de démontrer que les composants sont correctement interfacés les uns avec les autres. La validation système validera le comportement du modèle complet représentant le système considéré. Une vue du processus de validation est résumée sur la figure 4.2. Méthodologie de modélisation Chapitre 3 ↓ Validation unitaire de la bibliothèque AltaRica ↓ Validation de l’intégration ↓ Validation système du modèle AltaRica Figure 4.2 – Processus de validation haut niveau 4.2.2 Proposition de processus général Nous décrivons dans un premier temps un processus général de validation que nous croyons applicable aux différents niveaux de validation décrits auparavant (unitaire, intégrée et système). Ce processus est présenté sur la figure 4.3 qui montre comment les différentes étapes se succèdent les unes aux autres. Brièvement, la stratégie générale de l’approche consiste à : – se doter d’un jeu de tests (i.e. d’un jeu de scénarios à simuler sur le modèle) ; – simuler ce jeu de tests sur le modèle AltaRica et de comparer les résultats obtenus par rapport aux résultats attendus ; – étudier le niveau de revue des modèles atteint lors de la simulation du jeu de tests (détecter les portions de modèle éprouvées par les tests et celles ne l’étant pas) ;
Page 1 and 2:
THÈSE En vue de l'obtention du DOC
Page 4 and 5:
Table des matières Liste des abré
Page 6 and 7:
Table des figures 1.1 Indicateurs S
Page 8:
Liste des tableaux 1.1 Critère de
Page 12 and 13:
Remerciements Fin de l’étape. ..
Page 14 and 15:
3 que du jus de carotte, même si j
Page 16 and 17:
Introduction L’objectif de cette
Page 18 and 19:
7 l’efficacité de ces activités
Page 20:
Chapitre 1 Concepts généraux auto
Page 23 and 24:
12 Chapitre 1. Concepts généraux
Page 25 and 26:
Page 27 and 28:
Page 29 and 30:
Page 31 and 32:
Page 33 and 34:
Page 35 and 36:
Page 37 and 38:
Page 39 and 40:
Page 42 and 43:
Bien que les arbres de défaillance
Page 44 and 45:
2.2 Syntaxe du langage AltaRica OCA
Page 46 and 47:
Page 48 and 49:
Page 50 and 51:
Page 52 and 53:
2.3 Sémantique du langage AltaRica
Page 54 and 55:
Page 56 and 57:
Page 58 and 59:
Page 60 and 61:
2.4 Outils pour la construction et
Page 62 and 63:
2.5 Autres langages pour la réalis
Page 64 and 65:
2.5 Autres langages pour la réalis
Page 66: Chapitre 3 Vers une méthodologie u
Page 69 and 70: 58 Chapitre 3. Vers une méthodolog
Page 112: Chapitre 4 Processus pour la valida
Page 115: 104 Chapitre 4. Processus pour la v
Page 119 and 120: 108 Chapitre 4. Processus pour la v
Page 150 and 151: « Plutôt que de répéter sans ce
Page 152 and 153: 5.1 Bilan de l’activité de modé
Page 154 and 155: 5.1 Bilan de l’activité de modé
Page 156 and 157: 5.2 Bilan de l’activité de valid
Page 158 and 159: 5.2 Bilan de l’activité de valid
Page 160 and 161: 5.3 Accent sur quelques avantages d
Page 162 and 163: 5.4 Quelques bonnes pratiques recom
Page 164: 5.5 Retours sur quelques difficult
Page 167 and 168:
156 Conclusion Cette représentatio
Page 170:
Index AltaRica Assertion, 37 Évèn
Page 173 and 174:
162 Bibliographie [14] Matthias Bie
Page 175 and 176:
164 Bibliographie [47] Jeff Offutt,
Page 177:
Résumé Pour certifier un système
show all

Méthodes pour la validation de modèles formels pour la ... - ISAE

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?