Méthodes pour la validation de modèles formels pour la ... - ISAE

More documents

Recommendations

Info

4.3 Vocabulaire du test 109 par le modèle considéré lors de la simulation. Cette activité est donc une activité indispensable et complémentaire de celle présentée au chapitre 3. Selon [43], le but de l’activité de test n’est cependant pas de démontrer l’absence d’erreur dans le programme ou de démontrer que le programme satisfait certaines propriétés attendues. Ainsi une définition préférée serait plutôt celle définissant le test comme une activité visant à détecter des erreurs dans un logiciel (ou dans notre cas, dans un modèle). Ainsi, « tester » un modèle peut être aperçu comme une « mise à l’épreuve » de ce modèle dans le but de détecter le plus grand nombre d’erreurs possibles. Remarquons alors que deux principaux types d’erreurs peuvent être présents dans un modèle : lorsque le modèle ne fait pas (ou fait de manière erronée) ce qu’il est supposé faire ; lorsque le modèle fait ce qu’il n’est pas censé faire. L’activité de test aura pour vocation de détecter ces erreurs pour permettre leurs corrections. 4.3.2 Test et jeu de tests De façon relativement intuitive, un test est un couple (entrée, sortie) où l’entrée est un ensemble d’évènements à simuler sur le modèle et où la sortie est le résultat attendu. Ainsi, un test peut être décrit simplement par une phrase du type « si on joue un évènement donné sur le modèle, alors la sortie devra être égale à une valeur v ». De manière formelle, nous définirons un test comme un 4-uplet t = (M, v, Φ, o) où : – M est le modèle étudié, i.e. le modèle sur lequel on va effectuer les tests ; – v = (e i ) i≥0 un vecteur d’évènements ; – Φ un observateur du modèle, i.e. une sortie du modèle ; – o ∈ dom(Φ) la valeur attendue de Φ. De manière spécifique aux automates de modes, on peut définir un test comme un 5-uplet t A = (A, v, s, Φ, o) où : – A = (D, dom, S, F in , F out , Σ, δ, σ, I) est un automate de mode (Cf. section 2.3) ; – v = (e i ) i≥0 un vecteur d’évènements où ∀i, e i ∈ Σ ; – s une évaluation des variables de S (s ∈ dom(S)) représentant l’état attendu de A à la suite de v ; – Φ un observateur du modèle : Φ ∈ F out ; – o ∈ dom(Φ) la valeur attendue de Φ à la suite de v. On se donne également la possibilité de définir des tests spécifiant l’impossibilité de réaliser un vecteur d’évènements. Un tel test sera défini de façon analogue à la définition précédente en fixant s = ∅, Φ = ∅ et o = ∅. Un tel test sera ainsi de la forme t A = (A, v, ∅, ∅, ∅). Remarque : La définition de test proposée ne précise les valeurs de sortie attendues qu’après la séquence d’évènements. C’est un choix. Dans d’autres contextes (protocoles de télécommunication, systèmes temps réel), on peut aussi préciser les valeurs attendues en sortie après chaque action de la séquence. Remarque : Dans les deux définitions ci-dessus, on suppose que les modèles testés sont déterministes. Un même scénario de test conduira donc toujours à la même valeur des variables de sortie. On définira ensuite, pour ces automates de modes un ensemble de tests (un jeu de tests) T = (t i A ) i≥1 où chaque t i A est un 5-uplet (A, v i, s i , Φ i , o i ).
110 Chapitre 4. Processus pour la validation de modèle AltaRica 4.3.3 Test boîte noire - Test boîte blanche 4.3.3.1 Test boîte noire L’approche de test de type « boîte noire » (aussi nommé test fonctionnel) est une des deux principales approches de conception des tests appliqués aux logiciels pour vérifier la conformité d’un logiciel par rapport à sa spécification. On cherche ainsi à détecter les différents cas où le comportement du modèle est différent de celui attendu, i.e. dans quelles circonstances le comportement du modèle est différent de celui prédit par sa spécification ? En suivant cette approche, les différents cas de test sont construits à partir de l’examen de la spécification, sans se référer à la structure du code testé. La spécification permet de déterminer à la fois les cas importants à considérer et les valeurs attendues dans les cas sélectionnés. Une préoccupation importante est alors celle de la complétude des cas de test considérés par rapport à la spécification. Dans l’idéal, un test exhaustif de toutes les entrées du modèle permettrait de s’assurer du bon comportement de celui-ci, quelles que soient les circonstances. Bien souvent cependant et à cause de la complexité des modèles à éprouver, une telle exhaustivité sera impossible à satisfaire. Pour répondre à cette question, on pourra établir des critères de couverture de la spécification utilisée pour construire les tests. La notion peut être facilement transposée aux tests de modèle si la spécification du modèle est connue. L’approche consiste alors à considérer le modèle comme une boîte noire dont on ne considère pas la structure interne : on soumet des entrées choisies à partir de la spécification du modèle, on regarde la sortie (on ne sait pas comment celle-ci est obtenue) et la spécification du modèle est à nouveau utilisée pour décider de l’acceptabilité de la sortie obtenue. 4.3.3.2 Test boîte blanche L’autre approche de conception des tests est le test « boîte blanche » ou test structurel. Dans ce cas, on suppose la structure interne du modèle connue et la sélection des jeux de tests tient compte de la logique implémentée dans le modèle. Cette approche permet, entre autre, d’affiner la définition des tests fonctionnels en leur permettant d’explorer des parties relativement distinctes du programme/modèle évalué. La complétude des parties du programme/modèle exercées par les tests peut alors être mesurée à l’aide de critère de couverture structurelle de l’implémentation. Dans notre cas, le but sera, par exemple, de passer par tous les chemins du modèle et permettra par exemple, d’exécuter des scénarios improbables voire non souhaités (scénarios auxquels potentiellement le programmeur ou l’utilisateur n’avait pas pensé). On parlera alors de critère de couverture du modèle (Cf. section 4.3.4). 4.3.3.3 Exemple En pratique, il est important de combiner les deux types d’approche de conception des tests comme le montre l’exemple ci-dessous. Imaginons donc que l’on souhaite implémenter un programme calculant la somme de deux entiers modulo 10000 et que nous l’implémentions de la façon, fausse, suivante :
Page 1 and 2:
THÈSE En vue de l'obtention du DOC
Page 4 and 5:
Table des matières Liste des abré
Page 6 and 7:
Table des figures 1.1 Indicateurs S
Page 8:
Liste des tableaux 1.1 Critère de
Page 12 and 13:
Remerciements Fin de l’étape. ..
Page 14 and 15:
3 que du jus de carotte, même si j
Page 16 and 17:
Introduction L’objectif de cette
Page 18 and 19:
7 l’efficacité de ces activités
Page 20:
Chapitre 1 Concepts généraux auto
Page 23 and 24:
12 Chapitre 1. Concepts généraux
Page 25 and 26:
Page 27 and 28:
Page 29 and 30:
Page 31 and 32:
Page 33 and 34:
Page 35 and 36:
Page 37 and 38:
Page 39 and 40:
Page 42 and 43:
Bien que les arbres de défaillance
Page 44 and 45:
2.2 Syntaxe du langage AltaRica OCA
Page 46 and 47:
Page 48 and 49:
Page 50 and 51:
Page 52 and 53:
2.3 Sémantique du langage AltaRica
Page 54 and 55:
Page 56 and 57:
Page 58 and 59:
Page 60 and 61:
2.4 Outils pour la construction et
Page 62 and 63:
2.5 Autres langages pour la réalis
Page 64 and 65:
2.5 Autres langages pour la réalis
Page 66:
Chapitre 3 Vers une méthodologie u
Page 69 and 70: 58 Chapitre 3. Vers une méthodolog
Page 112: Chapitre 4 Processus pour la valida
Page 115 and 116: 104 Chapitre 4. Processus pour la v
Page 119: 108 Chapitre 4. Processus pour la v
Page 150 and 151: « Plutôt que de répéter sans ce
Page 152 and 153: 5.1 Bilan de l’activité de modé
Page 154 and 155: 5.1 Bilan de l’activité de modé
Page 156 and 157: 5.2 Bilan de l’activité de valid
Page 158 and 159: 5.2 Bilan de l’activité de valid
Page 160 and 161: 5.3 Accent sur quelques avantages d
Page 162 and 163: 5.4 Quelques bonnes pratiques recom
Page 164: 5.5 Retours sur quelques difficult
Page 167 and 168: 156 Conclusion Cette représentatio
Page 170:
Index AltaRica Assertion, 37 Évèn
Page 173 and 174:
162 Bibliographie [14] Matthias Bie
Page 175 and 176:
164 Bibliographie [47] Jeff Offutt,
Page 177:
Résumé Pour certifier un système
show all

Méthodes pour la validation de modèles formels pour la ... - ISAE

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?