Méthodes pour la validation de modèles formels pour la ... - ISAE

More documents

Recommendations

Info

4.5 Critère de couverture de modèles AltaRica par des tests 129 Critère de couverture simple sur les transitions : Pour toute transition du modèle AltaRica de la forme garde(s, f in ) |− e → s ′ , il existe au moins un scénario de test v = (e 1 , ..., e p−1 , e, e p+1 ...) tel que le scénario (e 1 , ..., e p−1 ) conduise dans une configuration du modèle satisfaisant garde(s, f in ). En d’autres termes, pour toutes les transitions du modèle, il existe au moins un test qui permet son franchissement. Pratiquement la mise en œuvre d’un tel critère consiste, lorsque « garde(s, f in ) » est sous Forme Normale Disjonctive, à utiliser le dépliage N°1 pour le critère de couverture sur les décisions (section 4.5.1.2). Ce critère, bien que facile à mettre en œuvre, est cependant trop simple pour éprouver de manière suffisante le modèle. En effet, il suffira de satisfaire la garde d’une manière quelconque pour satisfaire le critère. Par exemple, si la garde est « c 1 ∨ c 2 », franchir la transition avec le couple (c 1 , c 2 )=(1, 0) suffira à satisfaire le critère. Nous n’aurons pas besoin de tester le franchissement avec c 2 =1... Pour faire l’analogie avec les critères présentés en section 4.3.4, ce critère est le pendant du critère de couverture d’instruction. 4.5.3.3 Critère de couverture des conjonctions élémentaires d’une transition On rappelle dès ici qu’on appelle conjonction élémentaire une expression booléenne de la forme c 1 ∧ c 2 ∧ ... ∧ c n , n ≥ 0 où chaque c i est une condition (expression booléenne ne pouvant être décomposée sous forme de conjonction ou de disjonction). Nous rappelons ici que la garde « garde(s, f in ) » est écrite sous Forme Normale Disjonctive (FND), i.e. sous une forme similaire à C 1 ∨ C 2 ∨ ... ∨ C p où chaque C j est une conjonction élémentaire. Pour définir le critère de couverture, nous utiliserons le dépliage N°3 de la FND pour le critère de couverture sur les conditions et les décisions (section 4.5.1.2) et décomposerons donc « garde(s, f in ) » en p cas différents : C i = vrai ∀i ∈ [1, p]. Critère de couverture des conjonctions élémentaires des transitions : pour toute transition du modèle AltaRica de la forme garde(s, f in ) |− e → s ′ où garde(s, f in ) est de la forme C 1 ∨C 2 ∨...∨ C p , il existe pour chaque conjonction élémentaire C i un scénario v i = (e i1 , ..., e i(p−1) , e, e i(p+1) ...) tel que le scénario (e i1 , ..., e i(p−1) ) conduise le modèle dans une configuration vérifiant C i =vrai. 4.5.3.4 Critère de couverture des conjonctions élémentaires indépendantes d’une transition Si le critère précédent permet de s’assurer que lors des différents franchissements d’une transition celle-ci est franchie en évaluant au moins une fois chaque conjonction élémentaire à la valeur vrai, il n’assure pas encore que la transition est franchie grâce à chaque conjonction élémentaire. Par exemple, pour la transition « c 1 ∨ c 2 |− e → », faire deux tests (c 1 , c 2 ) = (1,0) et (c 1 , c 2 ) = (1,1) permet de satisfaire le critère précédent et l’influence de c 2 sur le franchissement de la transition n’est pas incontestable... Pour cela nous définissons un nouveau critère de couverture sur les transitions inspiré du critère MC/DC. On suppose toujours ici que la garde de la transition est mise sous Forme Normale Disjonctive, i.e. de la forme C 1 ∨ C 2 ∨ ... ∨ C p où C p est une conjonction élémentaire. Nous utilisons le dépliage N°4 de la FND pour le critère de couverture MC/DC (section 4.5.1.2) qui décompose « C 1 ∨ C 2 ∨ ... ∨ C p » en p cas : ∀i ∈ [1, p], C i =vrai and (C j ) j≠i = faux. Critère de couverture des conjonctions élémentaires indépendantes des transitions : pour toute transition du modèle AltaRica de la forme garde(s, f in ) |− e → s ′ où garde(s, f in ) est de la forme C 1 ∨ C 2 ∨ ... ∨ C p , il existe pour chaque conjonction élémentaire C i un scénario v i = (e i1 , ..., e i(p−1) , e, e i(p+1) ...) tel que le scénario (e i1 , ..., e i(p−1) ) conduise dans une configuration du modèle satisfaisant C i = vrai et (C j ) j≠i = faux.
130 Chapitre 4. Processus pour la validation de modèle AltaRica Ainsi ce critère de couverture pour les transitions d’un modèle AltaRica vise à assurer que, lors d’une disjonction dans la garde, la transition est indépendamment franchie grâce à chacun des termes de la disjonction. 4.5.3.5 Critère de couverture des conjonctions élémentaires multiples d’une transition Il s’agit ici de tester l’ensemble des combinaisons possibles des valeurs des conjonctions élémentaires de la transition. Critère de couverture des conjonctions élémentaires multiples des transitions : pour toute transition du modèle AltaRica de la forme garde(s, f in ) |− e → s ′ où garde(s, f in ) est de la forme C 1 ∨ C 2 ∨ ... ∨ C p , il existe pour chaque combinaison de conjonctions élémentaires vérifiant garde(s, f in ) = vrai un scénario v i = (e i1 , ..., e i(p−1) , e, e i(p+1) ...) tel que le scénario (e i1 , ..., e i(p−1) ) conduise dans une configuration du modèle satisfaisant la configuration en question. Exemple : Soit la transition « c 1 ∨ c 2 |− e → s » où c 1 et c 2 sont deux conditions. Ce critère sera vérifié avec un jeu de tests composé de trois scénarios : – un scénario v 1 = (e 11 , ..., e 1(p−1) , e, e 1(p+1) ...) tel que (e 11 , ..., e 1(p−1) ) conduise à c 1 = vrai et c 2 = vrai ; – un scénario v 2 = (e 21 , ..., e 2(p−1) , e, e 2(p+1) ...) tel que (e 21 , ..., e 2(p−1) ) conduise à c 1 = faux et c 2 = vrai ; – un scénario v 3 = (e 31 , ..., e 2(p−1) , e, e 3(p+1) ...) tel que (e 31 , ..., e 3(p−1) ) conduise à c 1 = vrai et c 2 = faux. 4.6 Implémentation des critères de couverture La section précédente ayant permis la définition et la mise en place de critères de couverture sur les transitions et les assertions d’un modèle AltaRica, nous souhaitons à présent mettre en place un moyen pratique de mesurer leurs satisfactions directement sur le modèle AltaRica. Pour cela, la méthode proposée est une méthode ayant pour objectif l’insertion de « drapeaux » directement dans le modèle AltaRica. Chaque « drapeau » correspondra à une partie du modèle que nous souhaitons éprouver. Nous verrons que ces drapeaux se formalisent à l’aide de variables d’état booléennes qui seront initialisées à la valeur faux. L’implémentation d’un critère consistera à la création d’un certain nombre de ces drapeaux (le nombre en question dépendant du critère) permettant ainsi une traçabilité entre le scénario de test et la partie de modèle éprouvé. En effet, nous verrons que l’activation d’une partie du modèle entraînera la mise à la valeur vrai des drapeaux correspondants. Le taux de couverture du jeu de tests sur le modèle pourra être calculé classiquement à l’aide d’une formule du type : Taux de couverture = Nombre de drapeaux à la valeur vrai Nombre total de drapeaux 4.6.1 Implémentation des critères de couverture d’une transition 4.6.1.1 Idée générale Notre objectif est ici de savoir, selon le critère choisi, si une transition donnée a été franchie et de quelle manière s’est fait ce franchissement.
Page 1 and 2:
THÈSE En vue de l'obtention du DOC
Page 4 and 5:
Table des matières Liste des abré
Page 6 and 7:
Table des figures 1.1 Indicateurs S
Page 8:
Liste des tableaux 1.1 Critère de
Page 12 and 13:
Remerciements Fin de l’étape. ..
Page 14 and 15:
3 que du jus de carotte, même si j
Page 16 and 17:
Introduction L’objectif de cette
Page 18 and 19:
7 l’efficacité de ces activités
Page 20:
Chapitre 1 Concepts généraux auto
Page 23 and 24:
12 Chapitre 1. Concepts généraux
Page 25 and 26:
Page 27 and 28:
Page 29 and 30:
Page 31 and 32:
Page 33 and 34:
Page 35 and 36:
Page 37 and 38:
Page 39 and 40:
Page 42 and 43:
Bien que les arbres de défaillance
Page 44 and 45:
2.2 Syntaxe du langage AltaRica OCA
Page 46 and 47:
Page 48 and 49:
Page 50 and 51:
Page 52 and 53:
2.3 Sémantique du langage AltaRica
Page 54 and 55:
Page 56 and 57:
Page 58 and 59:
Page 60 and 61:
2.4 Outils pour la construction et
Page 62 and 63:
2.5 Autres langages pour la réalis
Page 64 and 65:
2.5 Autres langages pour la réalis
Page 66:
Chapitre 3 Vers une méthodologie u
Page 69 and 70:
58 Chapitre 3. Vers une méthodolog
Page 71 and 72:
Page 73 and 74:
Page 75 and 76:
Page 77 and 78:
Page 79 and 80:
Page 81 and 82:
Page 83 and 84:
Page 85 and 86:
Page 87 and 88:
Page 89 and 90: 78 Chapitre 3. Vers une méthodolog
Page 112: Chapitre 4 Processus pour la valida
Page 115 and 116: 104 Chapitre 4. Processus pour la v
Page 139: 128 Chapitre 4. Processus pour la v
Page 150 and 151: « Plutôt que de répéter sans ce
Page 152 and 153: 5.1 Bilan de l’activité de modé
Page 154 and 155: 5.1 Bilan de l’activité de modé
Page 156 and 157: 5.2 Bilan de l’activité de valid
Page 158 and 159: 5.2 Bilan de l’activité de valid
Page 160 and 161: 5.3 Accent sur quelques avantages d
Page 162 and 163: 5.4 Quelques bonnes pratiques recom
Page 164: 5.5 Retours sur quelques difficult
Page 167 and 168: 156 Conclusion Cette représentatio
Page 170: Index AltaRica Assertion, 37 Évèn
Page 173 and 174: 162 Bibliographie [14] Matthias Bie
Page 175 and 176: 164 Bibliographie [47] Jeff Offutt,
Page 177: Résumé Pour certifier un système
show all

Méthodes pour la validation de modèles formels pour la ... - ISAE

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?