Méthodes pour la validation de modèles formels pour la ... - ISAE

More documents

Recommendations

Info

2.3 Sémantique du langage AltaRica : les automates de mode 45 – L’évaluation ˆF in [e 2 ← failed] est ˆF in [e 2 ← failed] = (ok, failed, failed). En notant A = (D, dom, S, F in , F out , Σ, δ, σ, I) un automate de mode, i ∈ F in et o ∈ F out , o est dite indépendante de i, noté i ⊥ 0, lorsque : ∀Ŝ ∈ dom(S), ∀ ˆF ∈ dom(F in ), ∀c ∈ dom(i), σ(Ŝ, ˆF)[o] = σ(Ŝ, ˆF[i ← c])[o] En termes plus informels, o est dite indépendante de i si la valeur de o ne varie pas quelle que soit la valeur de i et cela pour toutes les évaluations des variables d’état et d’entrée. L’indépendance entre deux variables de flux est cependant, en appliquant cette définition, couteuse à démontrer. Pour s’affranchir de cette difficulté, il est suffisant (mais pas nécessaire) de s’assurer que ni i 2 , ni i 3 n’interviennent dans le calcul de o 1 (il n’est par exemple pas impossible de connecter o 2 et i 1 ). En complément de l’indépendance entre variables, il est également indispensable que le domaine de la variable de sortie soit inclus dans celui des variables d’entrée avec lesquelles elle est connectée. Définition 2.5 : Connexion d’automate de mode Donnons maintenant une définition formelle de la connexion d’automate de mode. Nous rappelons qu’une opération de composition parallèle d’automates de mode précède toute opération de connexion d’automate de mode ; le principe de la connexion est alors, à l’intérieur d’un automate de mode, de contraindre des variables d’entrée à être égales à des variables de sortie (afin d’assurer l’absence de définition circulaire dans l’automate résultant de la connexion, on devra s’assurer lors d’une telle opération que les variables reliées sont indépendantes [Définition 2.4]). Soient un automate de mode A = (D, dom, S, F in , F out , Σ, δ, σ, I), o ∈ F out et f 1 , ..., f k ∈ F in telles que ∀i ∈ [1, k], o ⊥ f i et dom(o) ⊆ dom(f i ). Soient Fς in = F in − {f i } i=1,..,k , Ŝ ∈ dom(S) et ˆF ∈ dom(Fς in ). [ ˆF[v] si v ∈ F in Notons ˆFŜ,o/f1,...,o/f k [v] = ς σ(Ŝ, ˆF ′ )[o] sinon où ˆF ′ ∈ dom(F in ) est une extension quelconque de ˆF (Fς in ⊂ F in ). L’automate de mode dans lequel la sortie o est connectée aux entrées f 1 , ..., f k est noté A o/f1,...,o/f k = (D, dom, S, Fς in , Fς out , Σ, δ ′ , σ ′ , I) où Fς out , δ ′ et σ ′ sont définis par : – Fς out = F out − {o} ; – ∀Ŝ ∈ dom(S), ∀ ˆF ∈ dom(Fς in ), ∀e ∈ Σ, si δ(Ŝ, ˆFŜ,o/f1,...,o/f k , e) est défini, alors δ ′ (Ŝ, ˆF, e) = δ(Ŝ, ˆFŜ,o/f1,...,o/f k , e) ; – ∀Ŝ ∈ dom(S), ∀ ˆF ∈ dom(F in ς ), σ ′ (Ŝ, ˆF) = σ(Ŝ, ˆFŜ,o/f1,...,o/f k ). En pratique, cela revient à substituer les valeurs des entrées connectées f 1 ,..., f k par la valeur de la sortie o pour tous les jeux d’évaluation des états et des entrées. Exemple : Sur la figure 2.10, l’opération de connexion consistera à :
46 Chapitre 2. Modélisation formelle de systèmes – vérifier l’indépendance des variables à connecter (définition 2.4), i.e. vérifier que i 2 ⊥ o 1 et que i 3 ⊥ o 1 ; – imposer que les variables d’entrée i 2 et de i 3 de A soient égales à la variable de sortie o 1 de A (définition 2.5), i.e. que i 2 = o 1 et que i 3 = o 1 . 2.3.4 Synchronisation d’automate de mode Remarque : En référence à la section 2.2.7, il s’agit ici de l’opération de synchronisation « forte ». On ne traite donc pas les opérations de type diffusion ou défaillance de cause commune. Les automates de mode, fondant leurs évolutions sur l’occurrence d’évènement plutôt que sur l’écoulement du temps, sont asynchrones. Ainsi, deux transitions ne peuvent pas, en principe, avoir lieu de manière simultanée. La synchronisation permet de s’affranchir de cette limite. Préalablement à la définition d’une synchronisation, définissons quelques notions préliminaires. Définition 2.6 : Compatibilité de variables Soient V un ensemble de variables (e.g. variables d’état, d’entrée ou de sortie) et ˆV , ˆV φ , ˆV ψ ∈ dom(V ) trois évaluations de V . ˆV [v] désigne la valeur de la variable v dans l’évaluation ˆV de V . On dit que ˆV φ et ˆV ψ sont incompatibles par rapport à ˆV si ∃v ∈ V tel que ˆV [v], ˆV φ [v], ˆV ψ [v] soient tous distincts. Si ˆVφ et ˆV ψ ne sont pas incompatibles, alors elles sont dites compatibles par rapport à ˆV . En d’autres termes, ˆVφ et ˆV ψ seront dites compatibles par rapport à ˆV si, pour chacune des composantes v de V , il existe au moins deux valeurs identiques parmi ˆV [v], ˆVφ [v] et ˆV ψ [v]. Exemple : Soit V = {v 1 , v 2 , v 3 } et dom(v i ) = {a, b, c} ∀i ∈ [1, 3]. Alors par exemple : – ˆV φ = (b, b, c) et ˆV ψ = (c, b, c) sont incompatibles par rapport à ˆV = (a, b, c) ; – ˆV φ = (b, b, c) et ˆV ψ = (a, a, c) sont compatibles par rapport à ˆV = (a, b, a). Définition 2.7 : Composition de variables Remarque : On ne confondra pas la notion de composition présentée ici avec celle de « composition parallèle » relative à des automates de mode et présentée section 2.3.2. Soient V un ensemble de variables (e.g. variables d’état, d’entrée ou de sortie) et ˆV , ˆVφ et ˆV ψ ∈ dom(V ) trois évaluations de V . La composition de ˆV φ et ˆV ψ par rapport à ˆV est une évaluation de V définie telle que : { ∀v ∈ V , ( ˆV ˆVφ [v] si ˆVφ [v] ≠ φ ◦ ˆV ˆVψ )[v] = ˆV [v] ˆV ψ [v] sinon
Page 1 and 2:
THÈSE En vue de l'obtention du DOC
Page 4 and 5:
Table des matières Liste des abré
Page 6 and 7: Table des figures 1.1 Indicateurs S
Page 8: Liste des tableaux 1.1 Critère de
Page 12 and 13: Remerciements Fin de l’étape. ..
Page 14 and 15: 3 que du jus de carotte, même si j
Page 16 and 17: Introduction L’objectif de cette
Page 18 and 19: 7 l’efficacité de ces activités
Page 20: Chapitre 1 Concepts généraux auto
Page 23 and 24: 12 Chapitre 1. Concepts généraux
Page 42 and 43: Bien que les arbres de défaillance
Page 44 and 45: 2.2 Syntaxe du langage AltaRica OCA
Page 52 and 53: 2.3 Sémantique du langage AltaRica
Page 60 and 61: 2.4 Outils pour la construction et
Page 62 and 63: 2.5 Autres langages pour la réalis
Page 64 and 65: 2.5 Autres langages pour la réalis
Page 66: Chapitre 3 Vers une méthodologie u
Page 69 and 70: 58 Chapitre 3. Vers une méthodolog
Page 107 and 108:
96 Chapitre 3. Vers une méthodolog
Page 109 and 110:
98 Chapitre 3. Vers une méthodolog
Page 112:
Chapitre 4 Processus pour la valida
Page 115 and 116:
104 Chapitre 4. Processus pour la v
Page 117 and 118:
Page 119 and 120:
Page 121 and 122:
Page 123 and 124:
Page 125 and 126:
Page 127 and 128:
Page 129 and 130:
Page 131 and 132:
Page 133 and 134:
Page 135 and 136:
Page 137 and 138:
Page 139 and 140:
Page 141 and 142:
Page 143 and 144:
Page 145 and 146:
Page 147 and 148:
Page 150 and 151:
« Plutôt que de répéter sans ce
Page 152 and 153:
5.1 Bilan de l’activité de modé
Page 154 and 155:
5.1 Bilan de l’activité de modé
Page 156 and 157:
5.2 Bilan de l’activité de valid
Page 158 and 159:
5.2 Bilan de l’activité de valid
Page 160 and 161:
5.3 Accent sur quelques avantages d
Page 162 and 163:
5.4 Quelques bonnes pratiques recom
Page 164:
5.5 Retours sur quelques difficult
Page 167 and 168:
156 Conclusion Cette représentatio
Page 170:
Index AltaRica Assertion, 37 Évèn
Page 173 and 174:
162 Bibliographie [14] Matthias Bie
Page 175 and 176:
164 Bibliographie [47] Jeff Offutt,
Page 177:
Résumé Pour certifier un système
show all

Méthodes pour la validation de modèles formels pour la ... - ISAE

Create successful ePaper yourself

Delete template?

Save as template?