Méthodes pour la validation de modèles formels pour la ... - ISAE

More documents

Recommendations

Info

4.7 Retours sur l’approche de validation unitaire proposée 135 Remarque : Au sujet de la non activation souhaitée de certains drapeaux, nous faisons en particulier référence aux assertions et à leurs clauses « else ». En effet, les chemins conduisant à passer dans le « else » sont moins explicite que les chemins activés par les autres cas de l’assertion. Ainsi et pour garder la maîtrise de l’assertion, il est parfois préféré par l’analyste de rendre non évaluable cette clause i.e. de ne volontairement pas permettre que cette branche de l’instruction soit évaluée. Par exemple, au lieu de « OUT = case{c 1 = true : v 1 , else v 2 } » on écrira « OUT = case{c 1 = true : v 1 , c 1 = false : v 2 , else v x } » où v x ∈ dom(OUT ). Dans ce deuxième cas, la clause « else » ne sera jamais évaluée. Modèle Drapeaux Description N° Test Commentaires AltaRica ... ... ... ... ... Tableau 4.2 – Table de traçabilité entre le drapeau activé et le test qui l’active La table présentée sera ainsi complétée tout au long des différentes simulations. À la suite de chacun des tests, l’analyste en charge de la simulation vérifiera la valeur de chacun des drapeaux implémentés et complétera si besoin cette table de traçabilité. À tout moment et en particulier lorsque tous les tests auront été simulés, il sera aisé de rendre compte, de manière quasi instantanée, des drapeaux ayant été activés et ceux ne l’ayant pas été. Pour ces derniers, on pourra au choix : – simuler davantage de tests provenant d’une source annexe (jugements experts, scénarios issus du retour d’expérience...) ; – générer un scénario activant un drapeau particulier (à partir de l’outil de génération de séquences lié au langage AltaRica) ; – justifier que ce drapeau n’est pas couvert par la phase de test. 4.7.2 Retours sur l’implémentation proposée L’implémentation des critères de couverture sur un modèle AltaRica, proposée en section 4.6, est fondée sur l’insertion de drapeaux directement au sein du modèle AltaRica (i.e. du code AltaRica). L’approche est donc « intrusive » et son influence sur le modèle est multiple : – ajout de nouvelles transitions ; – ajout de variables d’état supplémentaires ; – ajout de transitions supplémentaires. Bien qu’en théorie et en se rappelant le principe de ces drapeaux, la dynamique implémentée du composant ne soit pas modifiée (les changements de valeur des variables d’état déjà implémentées restent inchangés ; les assertions restent inchangées), le risque lié à l’introduction de ces drapeaux ne peut être totalement considéré comme nul. Sans proposer pour autant une « validation de la validation » (ce qui nous entraînerait facilement dans une boucle pouvant potentiellement ne pas avoir de fin), nous recommandons la plus grande prudence lors de l’implémentation de ces drapeaux. Pour aller plus loin et lors de futurs travaux, on envisagera une implémentation automatisé de ces drapeaux selon le critère de la section 4.5 choisi. Brièvement, la première étape consistera à la mise de l’expression booléenne sous Forme Normale Disjonctive (section 4.5.1). Une fois cette écriture obtenue, le dépliage de
136 Chapitre 4. Processus pour la validation de modèle AltaRica l’expression peut être systématisé en appliquant de manière itérative les dépliages définis en section 4.5.1.2. Le dépliage pertinent étant obtenu, la création des drapeaux, leurs initialisations et l’écriture des transitions sont triviales. 4.7.3 Retours sur la phase de simulation D’une manière générale et pour les travaux futurs, l’automatisation de la phase de simulation des scénarios de test présente plusieurs axes de travail. Le premier besoin se situe au niveau de la simulation à proprement parler. Pour l’instant, les cas d’études restent « scolaires » et le processus reste manuel. En particulier, la génération de tests se fait à partir de la spécification du modèle AltaRica (e.g. d’un diagramme états-transitions) et la simulation est réalisée par l’analyste sur le modèle AltaRica. Une amélioration utile serait d’écrire, de manière automatique, ce jeu de tests sous forme de séquences directement lisibles par le simulateur AltaRica (par exemple, par l’outil Cecilia TM OCAS). Ainsi, l’analyste n’aurait plus besoin de simuler « à la main » chacun des évènements composant les différents scénarios de test. Le second besoin se situe dans l’observation des drapeaux activés lors de la simulation. En effet, après chacune des simulations, il est nécessaire de regarder quels drapeaux ont été activés par le scénario et de remplir la table de traçabilité (section 4.7.1). Avant de lancer une nouvelle simulation (i.e. avant de simuler un nouveau scénario de test), le modèle est réinitialisé et avec lui, l’ensemble des drapeaux. L’opération est identique tout au long du jeu de tests et reste manuelle. Il n’est donc pas possible, en l’état, de visionner de manière totalement automatique l’ensemble des drapeaux ayant été activés par le jeu de tests. Ce besoin, combiné au précédent permettrait une automatisation complète de la phase de simulation. Les différentes phases d’une telle approche seraient : – de transformer le jeu de tests en un jeu de séquences {seq 1 , seq 2 , ..., seq n } lisible par l’outil supportant la simulation de modèle AltaRica ; – à partir de ces séquences, d’obtenir une unique séquence ξ : seq 1 × reset × seq 2 × reset × ... × seq n , où « reset » est une ré-initialisation du modèle (cet évènement devrait donc être disponible) et où seq 1 × seq 2 signifie que seq 2 est simulée à la suite de seq 1 ; – de simuler cette séquence ξ sur le modèle ; – d’observer l’ensemble des drapeaux activés par cette séquence. Cela permettrait d’obtenir rapidement la couverture d’un jeu de tests sur le modèle. En contrepartie, l’observation du modèle par l’analyste à la suite de chacun des scénarios n’est plus possible. Le processus décrit ci-dessus n’est alors pas applicable en l’état sur les outils disponibles à l’heure actuelle. Cela ne représente que des possibilités qui devront être davantage étudiées dans de futurs travaux.
Page 1 and 2:
THÈSE En vue de l'obtention du DOC
Page 4 and 5:
Table des matières Liste des abré
Page 6 and 7:
Table des figures 1.1 Indicateurs S
Page 8:
Liste des tableaux 1.1 Critère de
Page 12 and 13:
Remerciements Fin de l’étape. ..
Page 14 and 15:
3 que du jus de carotte, même si j
Page 16 and 17:
Introduction L’objectif de cette
Page 18 and 19:
7 l’efficacité de ces activités
Page 20:
Chapitre 1 Concepts généraux auto
Page 23 and 24:
12 Chapitre 1. Concepts généraux
Page 25 and 26:
Page 27 and 28:
Page 29 and 30:
Page 31 and 32:
Page 33 and 34:
Page 35 and 36:
Page 37 and 38:
Page 39 and 40:
Page 42 and 43:
Bien que les arbres de défaillance
Page 44 and 45:
2.2 Syntaxe du langage AltaRica OCA
Page 46 and 47:
Page 48 and 49:
Page 50 and 51:
Page 52 and 53:
2.3 Sémantique du langage AltaRica
Page 54 and 55:
Page 56 and 57:
Page 58 and 59:
Page 60 and 61:
2.4 Outils pour la construction et
Page 62 and 63:
2.5 Autres langages pour la réalis
Page 64 and 65:
2.5 Autres langages pour la réalis
Page 66:
Chapitre 3 Vers une méthodologie u
Page 69 and 70:
58 Chapitre 3. Vers une méthodolog
Page 71 and 72:
Page 73 and 74:
Page 75 and 76:
Page 77 and 78:
Page 79 and 80:
Page 81 and 82:
Page 83 and 84:
Page 85 and 86:
Page 87 and 88:
Page 89 and 90:
Page 91 and 92:
Page 93 and 94:
Page 95 and 96: 84 Chapitre 3. Vers une méthodolog
Page 112: Chapitre 4 Processus pour la valida
Page 115 and 116: 104 Chapitre 4. Processus pour la v
Page 145: 134 Chapitre 4. Processus pour la v
Page 150 and 151: « Plutôt que de répéter sans ce
Page 152 and 153: 5.1 Bilan de l’activité de modé
Page 154 and 155: 5.1 Bilan de l’activité de modé
Page 156 and 157: 5.2 Bilan de l’activité de valid
Page 158 and 159: 5.2 Bilan de l’activité de valid
Page 160 and 161: 5.3 Accent sur quelques avantages d
Page 162 and 163: 5.4 Quelques bonnes pratiques recom
Page 164: 5.5 Retours sur quelques difficult
Page 167 and 168: 156 Conclusion Cette représentatio
Page 170: Index AltaRica Assertion, 37 Évèn
Page 173 and 174: 162 Bibliographie [14] Matthias Bie
Page 175 and 176: 164 Bibliographie [47] Jeff Offutt,
Page 177: Résumé Pour certifier un système
show all

Méthodes pour la validation de modèles formels pour la ... - ISAE

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?