Méthodes pour la validation de modèles formels pour la ... - ISAE

More documents

Recommendations

Info

4.4 Sélection de cas de test pour un modèle AltaRica 115 AltaRica. Cette mesure de la couverture nous permettra d’identifier les parties du modèle non couvertes. Il sera alors possible si souhaité de générer des tests supplémentaires pour atteindre une couverture satisfaisante du modèle. Ainsi, en simulant des tests issus de la spécification sur le modèle AltaRica, une erreur rencontrée permettra de réfléchir à la fois sur le modèle et sur la spécification. En assurant une certaine couverture de ces deux documents (spécification et implémentation), il sera alors possible de traquer les informations manquantes dans le modèle et celles en surplus. 4.4 Sélection de cas de test pour un modèle AltaRica Le premier objectif de la démarche est donc de se doter d’un jeu de tests. Pour cela, nous avons évoqué que, pour la validation unitaire, l’utilisation d’une spécification formelle ou semiformelle pourrait nous permettre cette génération... Le principe étant, nous le rappelons, d’obtenir un jeu de tests dont on étudiera par la suite la couverture du modèle AltaRica (quelle portion du modèle couvre ce jeu de tests ?). Pour commencer, nous présenterons dans la section 4.4.1 la génération d’un jeu de tests pour valider un composant AltaRica élémentaire (validation unitaire). Pour cela, nous nous appuierons principalement sur la section 3.8. Cependant, la validation unitaire n’est pas en mesure (et il serait injuste de le lui reprocher) d’assurer une complète absence d’erreurs dans le modèle. En particulier, elle ne permet pas d’exhiber des erreurs liées à la présence de plusieurs composants dans le modèle (par exemple, des erreurs dans la modélisation d’un processus de reconfiguration ou dans une synchronisation). Pour ces raisons, nous introduirons dans les sections 4.4.2 et 4.4.3 la génération de cas de test pour la validation de l’intégration et la validation système. 4.4.1 Validation unitaire : Génération d’un jeu de tests pour le modèle AltaRica 4.4.1.1 Génération de tests à partir d’une spécification par AMDE formelle Nous avons vu section 3.8 que la spécification du modèle AltaRica pouvait potentiellement être écrite en formalisant les informations de l’AMDE (pour rappel : Analyse des Modes de Défaillance et de leurs Effets). On rappelle ici le principe du tableau 3.7. Mode de défaillance sur la sortie OUT = Nul Description Déviation entrée Mode de défaillance composant Taux ... IN = Nulle - - ... - E 1 1.5e −6 ... ... ... ... ... Chaque ligne de cette AMDE nous donne donc un scénario de test à appliquer sur le modèle. Les composantes de ce scénario sont soit des modes de défaillance, soit des déviations des entrées du composant, soit éventuellement une combinaison des deux. Pour chacun de ces scénarios, la valeur attendue de la sortie est indiquée dans la première colonne du tableau. Par contre et à cause du formalisme choisi, un tel tableau ne nous fournit aucune indication sur l’état attendu du modèle. 4.4.1.2 Génération de tests à partir d’une machine à état finis Ici, nous faisons référence à différents types de spécifications présentés en section 3.8 :
116 Chapitre 4. Processus pour la validation de modèle AltaRica – aux spécifications utilisant des machines à états finis : diagramme états-transitions, diagramme d’états UML, Statechart... ; – aux spécifications décrites sous forme tabulaire et utilisant une philosophie similaire à SCR (Software Cost Reduction [32]). Le traitement des deux points ci-dessus dans la même section se justifie avec le fait, déjà évoqué en section 3.8.4 que le formalisme sous-jacent à l’écriture tabulaire de SCR est un formalisme utilisant des machines à état finis. Avec de telles formes de spécifications, la génération de tests se fera avec deux objectifs distincts : valider la logique interne décrite dans la spécification (i.e. les changements d’état) et valider les calculs décrits dans la spécification (i.e. comment sont définies les sorties en fonction de l’état et des entrées). Le principe de génération est alors de : – générer des scénarios permettant de visiter chacun des états de la spécification ; – générer, dans chacun de ces états, des scénarios pour tester les équations définissant les valeurs des sorties ; – mettre en place des critères de couverture sur la spécification pour assurer et garantir la mise à l’épreuve des différentes transitions entre états et des différentes équations de sorties. On pourra trouver dans les références [47, 15, 46] divers travaux traitant de la génération de tests à partir de diagrammes états-transitions (sous forme graphique ou tabulaire) et de la mise en place de critères de couverture sur ce type de spécification. Nous développerons pour notre part plus en détails et à partir de la section 4.5 de tels mécanismes appliqués aux modèles AltaRica et aux automates de mode. Exemple : Pour illustrer le principe général de la génération de tests à partir d’une spécification, nous reprenons l’exemple de la valve dont la spécification de comportement est indiquée figure 2.1 (page 34). Nous la rappelons ici : etat=ouverte bloque=false .................. sortie = entree Fermeture ↓ ↑ Ouverture etat=fermée bloque=false .................. sortie = nul Blocage −−−−→ Blocage −−−−→ etat=ouverte bloque=true .................. sortie = entree etat=fermée bloque=true .................. sortie = nul Ici et sans passer en revue les différents critères de couverture pouvant être définis sur une telle spécification, on souhaitera tester les différents états et dans chacun des états, tester les différentes évaluations de la variable de flux « sortie ». Une génération de tests possible ici est (A désigne l’automate de mode considéré ici, s i désigne une évaluation du couple (etat, bloque), Φ désigne la variable de flux « sortie ») : – t 1 A = (A, v 1, s 1 , Φ, o 1 ) avec v 1 = ∅, s 1 = (ouverte, false) et o 1 = entree ; – t 2 A = (A, v 2, s 2 , Φ, o 2 ) avec v 2 = {Blocage}, s 2 = (ouverte, true) et o 2 = entree ; – t 3 A = (A, v 3, s 3 , Φ, o 3 ) avec v 3 = {Fermeture}, s 1 = (fermée, false) et o 3 = nul ;
Page 1 and 2:
THÈSE En vue de l'obtention du DOC
Page 4 and 5:
Table des matières Liste des abré
Page 6 and 7:
Table des figures 1.1 Indicateurs S
Page 8:
Liste des tableaux 1.1 Critère de
Page 12 and 13:
Remerciements Fin de l’étape. ..
Page 14 and 15:
3 que du jus de carotte, même si j
Page 16 and 17:
Introduction L’objectif de cette
Page 18 and 19:
7 l’efficacité de ces activités
Page 20:
Chapitre 1 Concepts généraux auto
Page 23 and 24:
12 Chapitre 1. Concepts généraux
Page 25 and 26:
Page 27 and 28:
Page 29 and 30:
Page 31 and 32:
Page 33 and 34:
Page 35 and 36:
Page 37 and 38:
Page 39 and 40:
Page 42 and 43:
Bien que les arbres de défaillance
Page 44 and 45:
2.2 Syntaxe du langage AltaRica OCA
Page 46 and 47:
Page 48 and 49:
Page 50 and 51:
Page 52 and 53:
2.3 Sémantique du langage AltaRica
Page 54 and 55:
Page 56 and 57:
Page 58 and 59:
Page 60 and 61:
2.4 Outils pour la construction et
Page 62 and 63:
2.5 Autres langages pour la réalis
Page 64 and 65:
2.5 Autres langages pour la réalis
Page 66:
Chapitre 3 Vers une méthodologie u
Page 69 and 70:
58 Chapitre 3. Vers une méthodolog
Page 71 and 72:
Page 73 and 74:
Page 75 and 76: 64 Chapitre 3. Vers une méthodolog
Page 112: Chapitre 4 Processus pour la valida
Page 115 and 116: 104 Chapitre 4. Processus pour la v
Page 125: 114 Chapitre 4. Processus pour la v
Page 150 and 151: « Plutôt que de répéter sans ce
Page 152 and 153: 5.1 Bilan de l’activité de modé
Page 154 and 155: 5.1 Bilan de l’activité de modé
Page 156 and 157: 5.2 Bilan de l’activité de valid
Page 158 and 159: 5.2 Bilan de l’activité de valid
Page 160 and 161: 5.3 Accent sur quelques avantages d
Page 162 and 163: 5.4 Quelques bonnes pratiques recom
Page 164: 5.5 Retours sur quelques difficult
Page 167 and 168: 156 Conclusion Cette représentatio
Page 170: Index AltaRica Assertion, 37 Évèn
Page 173 and 174: 162 Bibliographie [14] Matthias Bie
Page 175 and 176: 164 Bibliographie [47] Jeff Offutt,
Page 177:
Résumé Pour certifier un système
show all

Méthodes pour la validation de modèles formels pour la ... - ISAE

Create successful ePaper yourself

Delete template?

Save as template?