Méthodes pour la validation de modèles formels pour la ... - ISAE

More documents

Recommendations

Info

2.4 Outils pour la construction et l’analyse de modèles AltaRica 49 – les mots clés et les opérateurs utilisés dans les transitions et les assertions ; – que toute variable utilisée ait auparavant bien été déclarée ; – le fait que tout évènement soit relié à au moins une transition ; – le fait que toute variable de flux de sortie soit définie par une assertion ; – l’absence de boucles instantanées (définition circulaire d’une variable de flux de sortie : au même instant logique, la sortie S dépends de l’entrée E qui dépends elle-même, directement ou non, de S) dans le modèle... Notons que ces tests fournissent des renseignements et nous assurent de la forme syntaxiquement correcte du modèle mais ne s’intéresse pas ou peu à la sémantique, i.e. au sens du modèle. Ce problème étant pourtant selon nous un problème capital, il sera traité dans un prochain chapitre. L’outil Cecilia TM OCAS possède également un simulateur interactif permettant de « jouer » les différents évènements du modèle et d’observer l’évolution de celui-ci. Ainsi, il est possible de comparer si, lors de la simulation d’évènement, le comportement du modèle est conforme au résultat attendu. À noter que cette vérification est rendue relativement aisée par l’outil puisque chaque variable d’état et chaque variable de flux est complètement et totalement observable, i.e. à tout instant, il est possible de visionner la valeur d’une variable d’état ou de flux. Grâce à cette possibilité, nous pourrons vérifier après l’occurrence d’un évènement le nouvel état ainsi que la sortie d’un composant donné. 2.4.3 Analyse des modèles AltaRica Précisons d’ores et déjà que différentes méthodes d’analyses de modèles AltaRica sont possibles : génération d’arbre de défaillance, simulation de Monte Carlo, analyse par chaîne de Markov, model-checking ou encore génération de séquences conduisant le système dans une configuration redoutée. Toutes ne sont cependant pas citées ci-dessous. 2.4.3.1 Arbre de défaillance / Génération de séquences L’outil Cecilia TM OCAS permet le support des analyses qualitatives et quantitatives (l’outil Cecilia TM ARBOR est alors utilisé en complément) d’un modèle AltaRica. En ce qui concerne les analyses qualitatives, deux philosophies différentes peuvent être utilisées : la génération d’arbres de défaillance ou la recherche de scénarios conduisant le modèle dans une configuration donnée. Le générateur d’arbres de défaillance produit un arbre décrivant l’ensemble des combinaisons d’évènements conduisant le modèle dans une configuration donnée. L’arbre obtenu l’est dans un format exportable et lisible par Cecilia TM ARBOR. Ainsi, des analyses quantitatives peuvent être réalisées. Cependant, l’algorithme de génération de ces arbres a été prouvé sûr pour un fragment du langage AltaRica. En effet, la génération d’un de ces arbres pour, par exemple, un modèle d’un système reconfigurable n’est pas chose triviale. L’utilisation de transitions instantanées (loi de probabilité de l’évènement de la transition en Dirac(0) - section 2.2.3) ou de variables de flux d’entrée dans les gardes des transitions pose des problèmes lors de la génération de l’arbre. Des arbres incorrects ou des erreurs lors de la génération peuvent être obtenus dans de tels cas. Un modèle représentant un système réel possédant couramment ce genre d’artifice, Cecilia TM OCAS possède un générateur de séquences qui explore l’espace d’état du modèle à la recherche de séquences (de longueur bornée) conduisant le système dans la configuration étudiée. Ce générateur de séquence fournit donc à l’utilisateur l’ensemble des combinaisons d’évènements qui conduisent le système dans un état donné. La taille maximum de ces combinaisons (i.e. l’ordre maximum des séquences recherchées) doit être précisée par l’utilisateur. De plus et contrairement au générateur
50 Chapitre 2. Modélisation formelle de systèmes d’arbre de défaillance, ce générateur de séquence autorise que l’ordre des évènements ait une influence sur l’état final du système. Suivant le résultat attendu, il est possible d’obtenir les coupes, minimales ou non, ainsi que les séquences, minimales ou non. Contrairement aux séquences, les coupes ne prennent pas en compte l’ordre des évènements. 2.4.3.2 Model-Checking Sans rentrer dans une explication détaillée de ce qu’est le model-checking, précisons ici qu’il s’agit d’une méthode ayant pour objectif de vérifier formellement un modèle. Elle permet d’évaluer si telle ou telle propriété attendue d’un système est réellement satisfaite par le modèle du système. Couramment, ces propriétés sont exprimées en logique temporelle linéaire (LTL) ou arborescente (CTL) ; le choix dépendant du model checker (outil supportant l’activité de modelchecking) utilisé. Une fois la propriété exprimée dans le formalisme adapté, sa vérification est faite automatiquement et de façon exhaustive par le model checker. Dans le cas où la propriété exprimée n’est pas valide, le model checker nous renvoie un contre-exemple (i.e. un scénario) violant la propriété. Concernant AltaRica, il existe différents moyens de faire du model-checking. Par exemple, MecV [66] effectue du model-checking sur un modèle écrit en langage AltaRica originel. Concernant les langages AltaRica Data-Flow et AltaRica OCAS, il est possible d’utiliser le model checker SMV [13]. L’approche se fait alors en deux étapes. Le modèle AltaRica est dans un premier temps traduit en SMV 3 . Ensuite, les propriétés (ici des propriétés LTL) sont également écrites en SMV. Si le modèle AltaRica ne satisfait pas la propriété, un contre-exemple est renvoyé par SMV. Dans [37], un exemple de model-checking a été traité sur un système AltaRica à échelle industrielle. 2.5 Autres langages pour la réalisation d’étude de Sûreté de Fonctionnement Le présent chapitre a donc été l’occasion de présenter le langage AltaRica et son extension, le langage AltaRica OCAS. Bien que ce langage ce veuille supporter la réalisation d’analyse de sécurité de type arbres de défaillance, il n’est pas le seul à posséder cette prétention. Parmi les différentes alternatives disponibles dans la littérature, nous pouvons distinguer deux types de travaux : – les langages dédiés à la réalisation d’analyse de SdF ; – d’autres langages dotés d’extension pour les études de SdF. Nous présentons dans cette section plusieurs de ces travaux. 2.5.1 Langages étendus pour la Sûreté de Fonctionnement 2.5.1.1 AADL La conception de systèmes demeurant une tâche complexe, des approches utilisant des langages de description d’architecture ont vu le jour et ont pour but de maitriser cette complexité. En particulier, le langage AADL (Architecture Analysis and Design Language) a été développé pour faciliter la conception et l’analyse de systèmes informatiques complexes critiques temps réel dans les domaines de l’aéronautique, de l’automobile ou encore du spatial. AADL [58] est utilisé pour décrire des architectures matérielles ou logicielles et possède pour cela une notation (graphique et 3. Pour supporter cette activité, un outil de traduction, alta2smv, permet de passer d’un modèle AltaRica à un modèle SMV.
Page 1 and 2:
THÈSE En vue de l'obtention du DOC
Page 4 and 5:
Table des matières Liste des abré
Page 6 and 7:
Table des figures 1.1 Indicateurs S
Page 8:
Liste des tableaux 1.1 Critère de
Page 12 and 13: Remerciements Fin de l’étape. ..
Page 14 and 15: 3 que du jus de carotte, même si j
Page 16 and 17: Introduction L’objectif de cette
Page 18 and 19: 7 l’efficacité de ces activités
Page 20: Chapitre 1 Concepts généraux auto
Page 23 and 24: 12 Chapitre 1. Concepts généraux
Page 42 and 43: Bien que les arbres de défaillance
Page 44 and 45: 2.2 Syntaxe du langage AltaRica OCA
Page 52 and 53: 2.3 Sémantique du langage AltaRica
Page 62 and 63: 2.5 Autres langages pour la réalis
Page 64 and 65: 2.5 Autres langages pour la réalis
Page 66: Chapitre 3 Vers une méthodologie u
Page 69 and 70: 58 Chapitre 3. Vers une méthodolog
Page 112:
Chapitre 4 Processus pour la valida
Page 115 and 116:
104 Chapitre 4. Processus pour la v
Page 117 and 118:
Page 119 and 120:
Page 121 and 122:
Page 123 and 124:
Page 125 and 126:
Page 127 and 128:
Page 129 and 130:
Page 131 and 132:
Page 133 and 134:
Page 135 and 136:
Page 137 and 138:
Page 139 and 140:
Page 141 and 142:
Page 143 and 144:
Page 145 and 146:
Page 147 and 148:
Page 150 and 151:
« Plutôt que de répéter sans ce
Page 152 and 153:
5.1 Bilan de l’activité de modé
Page 154 and 155:
5.1 Bilan de l’activité de modé
Page 156 and 157:
5.2 Bilan de l’activité de valid
Page 158 and 159:
5.2 Bilan de l’activité de valid
Page 160 and 161:
5.3 Accent sur quelques avantages d
Page 162 and 163:
5.4 Quelques bonnes pratiques recom
Page 164:
5.5 Retours sur quelques difficult
Page 167 and 168:
156 Conclusion Cette représentatio
Page 170:
Index AltaRica Assertion, 37 Évèn
Page 173 and 174:
162 Bibliographie [14] Matthias Bie
Page 175 and 176:
164 Bibliographie [47] Jeff Offutt,
Page 177:
Résumé Pour certifier un système
show all

Méthodes pour la validation de modèles formels pour la ... - ISAE

Create successful ePaper yourself

Delete template?

Save as template?