Méthodes pour la validation de modèles formels pour la ... - ISAE
Méthodes pour la validation de modèles formels pour la ... - ISAE
Méthodes pour la validation de modèles formels pour la ... - ISAE
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
4.4 Sélection <strong>de</strong> cas <strong>de</strong> test <strong>pour</strong> un modèle AltaRica 117<br />
– t 4 A = (A, v 4, s 4 , Φ, o 4 ) avec v 4 = {Fermeture, Ouverture}, s 4 = (ouverte, false) et<br />
o 4 = entree ;<br />
– t 5 A = (A, v 5, s 5 , Φ, o 5 ) avec v 5 = {Fermeture, Blocage}, s 5 = (fermée, true) et o 5 =<br />
nul ;<br />
Remarquons qu’ici, on ne teste pas <strong>pour</strong> conserver l’exemple simple l’influence <strong>de</strong> changements<br />
d’évaluation <strong>de</strong> <strong>la</strong> variable <strong>de</strong> flux « entree ». Les cinq tests précé<strong>de</strong>nts nous permettront<br />
ainsi <strong>de</strong> tester que les comportements spécifiés sont réalisés par le modèle AltaRica <strong>de</strong> manière<br />
correcte. Au <strong>de</strong>là <strong>de</strong> ces tests, on en génère <strong>de</strong>s supplémentaires qui nous assurerons <strong>de</strong> l’absence<br />
<strong>de</strong> comportements non spécifiés dans le modèle. L’idée principale est <strong>de</strong> traduire le fait qu’un<br />
évènement donné n’est pas tirable dans un état donné. Ainsi, les tests suivants sont générés :<br />
– t 6 A = (A, v 6, ∅, ∅, ∅) avec v 6 = {Ouverture} ;<br />
– t 7 A = (A, v 7, ∅, ∅, ∅) avec v 7 = {Blocage, Ouverture} ;<br />
– t 8 A = (A, v 8, ∅, ∅, ∅) avec v 8 = {Blocage, Fermeture};<br />
– t 9 A = (A, v 9, ∅, ∅, ∅) avec v 9 = {Blocage, Blocage};<br />
– t 1 A 0 = (A, v 10, ∅, ∅, ∅) avec v 10 = {Fermeture, Fermeture} ;<br />
– t 11<br />
A = (A, v 11, ∅, ∅, ∅) avec v 11 = {Fermeture, Blocage, Fermeture};<br />
– t 12<br />
A = (A, v 12, ∅, ∅, ∅) avec v 12 = {Fermeture, Blocage, Ouverture} ;<br />
– t 13<br />
A = (A, v 13, ∅, ∅, ∅) avec v 13 = {Fermeture, Blocage, Blocage};<br />
4.4.1.3 Validation unitaire : autres voies <strong>pour</strong> l’obtention d’un jeu <strong>de</strong> tests<br />
Que faire lorsque nous ne possédons aucune spécification du comportement <strong>de</strong> notre modèle ?<br />
Est-il possible <strong>de</strong> tout <strong>de</strong> même envisager <strong>la</strong> génération d’un jeu <strong>de</strong> tests ? ...<br />
En fait, et ce<strong>la</strong> servira <strong>de</strong> conclusion à <strong>la</strong> section, l’important est ici on le rappelle <strong>de</strong> se<br />
doter d’un jeu <strong>de</strong> tests. Le moyen d’obtention <strong>de</strong> ce jeu <strong>de</strong> tests est même re<strong>la</strong>tivement secondaire<br />
par rapport à <strong>la</strong> problématique <strong>de</strong> ce mémoire...<br />
En cas <strong>de</strong> construction d’une spécification, il peut être pertinent <strong>de</strong> l’utiliser <strong>pour</strong> obtenir<br />
ce jeu <strong>de</strong> tests. Si aucune spécification n’est disponible, il faut chercher ce jeu <strong>de</strong> tests ailleurs...<br />
Deux possibilités peuvent alors être mentionnées ici.<br />
– Une première solution peut être <strong>de</strong> définir « à <strong>la</strong> main » un ensemble <strong>de</strong> scénarios (un ensemble<br />
<strong>de</strong> tests) <strong>de</strong> référence dont on connaîtra les issues théoriques par jugement d’experts.<br />
Ainsi, un p<strong>la</strong>n <strong>de</strong> tests est défini, simulé sur le modèle AltaRica et les sorties <strong>de</strong> celui-ci sont<br />
observées. La référence n’est alors plus <strong>la</strong> spécification mais le jugement d’expert qui aura<br />
défini <strong>la</strong> sortie attendue.<br />
– Une secon<strong>de</strong> solution est <strong>de</strong> regar<strong>de</strong>r le taux <strong>de</strong> couverture atteint par les scénarios conduisant<br />
à l’occurrence <strong>de</strong>s évènements redoutés. Ces scénarios étant générés pendant <strong>la</strong> phase<br />
d’analyse du modèle, leur génération ne constitue pas, en l’absence <strong>de</strong> spécification du<br />
modèle AltaRica, une tâche supplémentaire à <strong>la</strong> charge <strong>de</strong> l’ingénieur Sûreté <strong>de</strong> Fonctionnement.<br />
Ces métho<strong>de</strong>s, bien que selon nous moins « propres » qu’une génération <strong>de</strong> tests à partir <strong>de</strong><br />
spécifications formelles, auront cependant comme objectifs d’améliorer <strong>la</strong> confiance <strong>de</strong> l’utilisateur<br />
dans son modèle. En effet, bien que ne permettant pas l’étu<strong>de</strong> d’une couverture a priori sur <strong>la</strong>