Méthodes pour la validation de modèles formels pour la ... - ISAE

More documents

Recommendations

Info

4.5 Critère de couverture de modèles AltaRica par des tests 125 de flux d’entrée. En termes pratiques, couvrir les assertions nous permettra de valider les différentes évaluations des variables de flux de sortie dans chacune des configurations de l’automate de mode (définition 2.2). En langage AltaRica, la fonction d’assertion s’écrit à l’aide de fonctions « if - then - else » imbriquées. On trouvera souvent les assertions écrites sous formes de « case ». Le tableau ci-dessous présente la correspondance entre les deux écritures. Les p i sont des expressions booléennes sur les variables d’états et les variables de flux d’entrées. On les appellera « prédicats » dans la suite. Les ω i sont les valeurs prises par la variable de flux de sortie considérée (ω i ∈ dom(F out )). case { p 1 : ω 1 , p 2 : ω 2 , ... p n−1 : ω n−1 else ω n } ; if p 1 then ω 1 else if p 2 then ω 2 ... if p n−1 then ω n−1 else ω n end if ... end if end if Toute assertion peut donc s’écrire sous une forme « if - then - else » classique. Les critères définis en section 4.3.4 peuvent donc être adaptés à ces assertions. 4.5.2.2 Critère de couverture simple des prédicats d’une assertion Ce critère se veut permettre une prise en compte des différentes branches de l’assertion, i.e. passer au moins une fois par chaque « cas » de l’assertion. Puisque les prédicats p i sont sous Forme Normale Disjonctive, l’opération consiste à utiliser le dépliage N°1 pour le critère de couverture sur les décisions (section 4.5.1.2). Critère de couverture simple des prédicats d’une assertion : pour chaque prédicat p i d’une assertion, il existe au moins deux tests conduisant le modèle dans deux configurations satisfaisant respectivement p i = vrai et p i = faux. En d’autres termes, il faut que : – pour chaque prédicat p i il existe au moins un test amenant le modèle dans une configuration vérifiant « p i = vrai ∧ p j = faux » ∀j de s’assurer que tous les n − 1 premiers cas de l’assertion sont testés par au moins un test. Le second point assure que le jeu de tests éprouve le « else ». Ce critère est le pendant du critère de couverture des décisions défini en section 4.3.4. 4.5.2.3 Critère de couverture des conditions / décisions des prédicats En supplément du critère précédent, ce critère vise à assurer que toutes les conditions d’un prédicat p i sont évaluées au moins une fois à vrai et à faux. Ce critère est le pendant du critère de couverture des conditions / décisions défini en section 4.3.4. Nous rappelons ici que chaque prédicat p i de l’assertion peut être mis sous Forme Normale Disjonctive, i.e. sous la forme C i1 ∨ C i2 ∨ ... ∨ C ip où C ij est une conjonction élémentaire. Nous utilisons ici le dépliage N°3 pour le critère de couverture sur les conditions et les décisions défini en section 4.5.1.2.
126 Chapitre 4. Processus pour la validation de modèle AltaRica Couverture des conditions / décisions des prédicats : soit p i un prédicat écrit sous Forme Normale Disjonctive, i.e. sous la forme C i1 ∨C i2 ∨...∨C ip où C ij est une conjonction élémentaire. Le critère de couverture des conditions / décisions des prédicats sera satisfait si : – pour chaque prédicat p i de l’assertion AltaRica, on applique dans une configuration où p i = vrai et p j = faux ∀j pour le critère de couverture sur les conditions et les décisions décrit en section 4.5.1.2 ; – il existe au moins un test amenant le modèle dans une configuration vérifiant ∀i, p i = faux. Exemple : Soit l’assertion suivante : « case { c 1 ∨ c 2 : v 1 , c 3 : v 2 , else v 3 } ». On a ici deux prédicats p 1 et p 2 : p 1 = (c 1 ∨ c 2 ) ; p 2 = c 3 . Pour satisfaire le critère de couverture des conditions / décisions des prédicats, on procède de la manière suivante : – On déplie le prédicat p 1 (c 1 ∨ c 2 ) suivant le dépliage pour le critère de couverture sur les conditions et les décisions : – c 1 = vrai, – c 2 = vrai ; – p 2 étant ici une condition, on souhaite uniquement l’évaluer à vrai et à faux. Cela conduit au deux cas suivant : – c 1 = faux ∧ c 2 = faux ∧ c 3 = vrai, – c 1 = faux ∧ c 2 = faux ∧ c 3 = faux. – le dernier test permet alors d’évaluer le « else » de l’assertion. Ici, les tests [c 1 c 2 c 3 ] suivants satisfont le critère : [1 1 0], [0 0 1] et [0 0 0]. 4.5.2.4 Couverture des conditions modifiées des prédicats Ce critère étend le critère de couverture précédent en introduisant l’exigence selon laquelle chaque condition d’un prédicat p i doit affecter indépendamment des autres conditions la valeur de ce prédicat. Pour chaque condition d’un prédicat, il faut ainsi définir deux tests couvrant le prédicat (un test fait prendre à p i la valeur vrai ; un autre lui fait prendre la valeur faux) en fixant les valeurs des autres conditions de p i . Ce critère est le pendant du critère MC/DC défini en section 4.3.4. Nous rappelons ici que chaque prédicat p i de l’assertion peut être mis sous Forme Normale Disjonctive, i.e. sous la forme C i1 ∨ C i2 ∨ ... ∨ C ip où C ij est une conjonction élémentaire. Nous utilisons ici le dépliage N°4 pour critère de couverture MC/DC défini en section 4.5.1.2. Couverture des conditions modifiées des prédicats : soit p i un prédicat écrit sous Forme Normale Disjonctive, i.e. sous la forme C i1 ∨C i2 ∨...∨C ip où C ij est une conjonction élémentaire. Le critère de couverture des conditions modifiées des prédicats sera satisfait si : – pour chaque prédicat p i de l’assertion AltaRica, on applique dans une configuration où p i = vrai et p j = faux ∀j pour le critère de couverture MC/DC décrit en section 4.5.1.2 ; – il existe au moins un test amenant le modèle dans une configuration vérifiant ∀i, p i = faux.
Page 1 and 2:
THÈSE En vue de l'obtention du DOC
Page 4 and 5:
Table des matières Liste des abré
Page 6 and 7:
Table des figures 1.1 Indicateurs S
Page 8:
Liste des tableaux 1.1 Critère de
Page 12 and 13:
Remerciements Fin de l’étape. ..
Page 14 and 15:
3 que du jus de carotte, même si j
Page 16 and 17:
Introduction L’objectif de cette
Page 18 and 19:
7 l’efficacité de ces activités
Page 20:
Chapitre 1 Concepts généraux auto
Page 23 and 24:
12 Chapitre 1. Concepts généraux
Page 25 and 26:
Page 27 and 28:
Page 29 and 30:
Page 31 and 32:
Page 33 and 34:
Page 35 and 36:
Page 37 and 38:
Page 39 and 40:
Page 42 and 43:
Bien que les arbres de défaillance
Page 44 and 45:
2.2 Syntaxe du langage AltaRica OCA
Page 46 and 47:
Page 48 and 49:
Page 50 and 51:
Page 52 and 53:
2.3 Sémantique du langage AltaRica
Page 54 and 55:
Page 56 and 57:
Page 58 and 59:
Page 60 and 61:
2.4 Outils pour la construction et
Page 62 and 63:
2.5 Autres langages pour la réalis
Page 64 and 65:
2.5 Autres langages pour la réalis
Page 66:
Chapitre 3 Vers une méthodologie u
Page 69 and 70:
58 Chapitre 3. Vers une méthodolog
Page 71 and 72:
Page 73 and 74:
Page 75 and 76:
Page 77 and 78:
Page 79 and 80:
Page 81 and 82:
Page 83 and 84:
Page 85 and 86: 74 Chapitre 3. Vers une méthodolog
Page 112: Chapitre 4 Processus pour la valida
Page 115 and 116: 104 Chapitre 4. Processus pour la v
Page 135: 124 Chapitre 4. Processus pour la v
Page 150 and 151: « Plutôt que de répéter sans ce
Page 152 and 153: 5.1 Bilan de l’activité de modé
Page 154 and 155: 5.1 Bilan de l’activité de modé
Page 156 and 157: 5.2 Bilan de l’activité de valid
Page 158 and 159: 5.2 Bilan de l’activité de valid
Page 160 and 161: 5.3 Accent sur quelques avantages d
Page 162 and 163: 5.4 Quelques bonnes pratiques recom
Page 164: 5.5 Retours sur quelques difficult
Page 167 and 168: 156 Conclusion Cette représentatio
Page 170: Index AltaRica Assertion, 37 Évèn
Page 173 and 174: 162 Bibliographie [14] Matthias Bie
Page 175 and 176: 164 Bibliographie [47] Jeff Offutt,
Page 177: Résumé Pour certifier un système
show all

Méthodes pour la validation de modèles formels pour la ... - ISAE

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?