Méthodes pour la validation de modèles formels pour la ... - ISAE
Méthodes pour la validation de modèles formels pour la ... - ISAE
Méthodes pour la validation de modèles formels pour la ... - ISAE
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
4.2 Processus <strong>de</strong> <strong>validation</strong> du modèle AltaRica 105<br />
Pour traiter le cas <strong>de</strong>s activités, on supposera qu’une activité est formelle si ses documents<br />
d’entrées et <strong>de</strong> sorties sont <strong>formels</strong>. Ainsi :<br />
– les activités <strong>de</strong> spécification (construire <strong>la</strong> spécification du modèle AltaRica à partir <strong>de</strong>s<br />
documents <strong>de</strong> conception) et <strong>de</strong> <strong>validation</strong> <strong>de</strong> <strong>la</strong> spécification du modèle ne peuvent donc<br />
pas être <strong>de</strong>s activités formelles ;<br />
– l’activité d’implémentation peut potentiellement être formelle si on s’intéresse à une génération<br />
automatique du modèle à partir <strong>de</strong> <strong>la</strong> spécification <strong>de</strong> ce modèle. Dans notre cas,<br />
l’implémentation est restée manuelle et l’activité ne peut donc être qualifiée <strong>de</strong> formelle ;<br />
– les activités <strong>de</strong> vérification / <strong>validation</strong> du modèle AltaRica par rapport à sa spécification<br />
ne peuvent être formelle que si <strong>la</strong> spécification du modèle est formelle.<br />
L’activité <strong>de</strong> preuve ne pouvant être utilisée que <strong>pour</strong> comparer une implémentation à une<br />
spécification formelle, une telle activité ne peut être employée <strong>pour</strong> comparer directement <strong>la</strong> spécification<br />
du modèle AltaRica avec les documents <strong>de</strong> conception. L’utilisation <strong>de</strong> preuves <strong>pour</strong>rait<br />
cependant être étudiée et utilisée <strong>pour</strong> l’activité <strong>de</strong> vérification du modèle par rapport à sa spécification,<br />
après formalisation <strong>de</strong> celle-ci. La preuve garantira alors le lien entre <strong>la</strong> spécification<br />
et l’implémentation du modèle AltaRica. Néanmoins, le lien entre <strong>la</strong> spécification informelle (ou<br />
semi-formelle) et <strong>la</strong> spécification formelle restera encore à être garanti. Ne vou<strong>la</strong>nt pas seulement<br />
dép<strong>la</strong>cer le problème, nous conservons notre volonté <strong>de</strong> garantir le lien entre <strong>la</strong> spécification du<br />
modèle AltaRica et son implémentation...<br />
Par essence, l’analyse <strong>de</strong> sécurité amène les analystes à produire les séquences d’évènements<br />
(en nombre borné) conduisant à l’occurrence d’un évènement redouté. En vue <strong>de</strong> <strong>la</strong> revue et<br />
<strong>de</strong> <strong>la</strong> <strong>validation</strong> <strong>de</strong>s <strong>modèles</strong> construits, ces séquences doivent être lisibles et compréhensibles<br />
par <strong>de</strong>s spécialistes métiers (non spécialistes Sûreté <strong>de</strong> Fonctionnement) et par les ingénieurs<br />
Sûreté <strong>de</strong> Fonctionnement en charge <strong>de</strong> <strong>la</strong> réalisation du modèle AltaRica. De plus, étant donné<br />
le déterminisme <strong>de</strong>s <strong>modèles</strong> AltaRica construits, ces séquences constituent naturellement <strong>de</strong>s<br />
scénarios <strong>de</strong> test pouvant être simulés sur le modèle AltaRica. Ainsi dans ce contexte, le test<br />
permet, avec un surcoût réduit, à <strong>la</strong> fois d’estimer <strong>la</strong> conformité du modèle AltaRica par rapport<br />
à sa spécification mais aussi d’abor<strong>de</strong>r <strong>la</strong> <strong>validation</strong> <strong>de</strong> cette spécification via <strong>la</strong> simu<strong>la</strong>tion <strong>de</strong>s<br />
séquences et l’examen <strong>de</strong> leurs effets.<br />
Par contre, l’examen d’un nombre limité <strong>de</strong> séquences ne peut à lui seul garantir dans tous les<br />
cas que l’implémentation du modèle AltaRica est conforme à sa spécification et au comportement<br />
du système qu’il décrit. Des mesures <strong>de</strong> couvertures restent à définir dans ce contexte afin <strong>de</strong><br />
pouvoir accor<strong>de</strong>r une confiance justifiable dans les activités <strong>de</strong> test réalisées sur le modèle AltaRica.<br />
Nous avons donc <strong>de</strong>ux problèmes <strong>de</strong> <strong>validation</strong> à résoudre : celui <strong>de</strong> <strong>la</strong> spécification par<br />
rapport aux documents <strong>de</strong> conception, celui du modèle par rapport à sa spécification. Pour le<br />
premier point, le chapitre 3 adresse le problème et propose un processus <strong>de</strong> modélisation. En<br />
particulier, <strong>la</strong> section 3.8 propose diverses formalisations <strong>de</strong> cette spécification <strong>pour</strong> un composant<br />
élémentaire. Des activités <strong>de</strong> revues <strong>pour</strong>ront et <strong>de</strong>vront être complémentaires à ce processus<br />
<strong>de</strong> modélisation <strong>pour</strong> améliorer <strong>la</strong> confiance <strong>de</strong> l’utilisateur. Dans ce chapitre, nous traiterons<br />
majoritairement du second problème <strong>de</strong> <strong>validation</strong>, à savoir celui <strong>de</strong> l’implémentation du modèle.<br />
Nous fon<strong>de</strong>rons <strong>pour</strong> ce<strong>la</strong> notre approche sur <strong>de</strong>s activités <strong>de</strong> test.<br />
4.2 Processus <strong>de</strong> <strong>validation</strong> du modèle AltaRica<br />
Nous rentrons ici directement dans le vif du sujet en proposant les fon<strong>de</strong>ments d’un processus<br />
<strong>de</strong> <strong>validation</strong> d’un modèle AltaRica. Nous focaliserons ensuite sur un processus plus adapté<br />
à <strong>la</strong> <strong>validation</strong> d’un composant élémentaire (d’un composant d’une bibliothèque AltaRica) et<br />
développerons ce processus « unitaire » dans <strong>la</strong> suite <strong>de</strong> ce chapitre.