Méthodes pour la validation de modèles formels pour la ... - ISAE
Méthodes pour la validation de modèles formels pour la ... - ISAE
Méthodes pour la validation de modèles formels pour la ... - ISAE
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
2.5 Autres <strong>la</strong>ngages <strong>pour</strong> <strong>la</strong> réalisation d’étu<strong>de</strong> <strong>de</strong> Sûreté <strong>de</strong> Fonctionnement 51<br />
textuelle) standardisée. Il permet <strong>de</strong> décrire les interfaces entre composants <strong>de</strong> l’architecture (e.g.<br />
les entrées et les sorties <strong>de</strong> chacun <strong>de</strong>s composants), ainsi que le comportement <strong>de</strong> ces composants<br />
et du système modélisé. Enfin, ici, le <strong>la</strong>ngage AADL est pensé <strong>pour</strong> être extensible afin d’autoriser<br />
<strong>de</strong>s types d’analyses que le <strong>la</strong>ngage « <strong>de</strong> base » ne permet pas.<br />
Concernant notre problématique, le « AADL Error Mo<strong>de</strong>l Annex », par exemple, autorise <strong>la</strong><br />
création, au sein d’une bibliothèque, <strong>de</strong> <strong>modèles</strong> d’erreur. Ces <strong>modèles</strong> permettent <strong>la</strong> <strong>de</strong>scription<br />
<strong>de</strong> caractéristiques c<strong>la</strong>ssiques <strong>de</strong> <strong>la</strong> Sûreté <strong>de</strong> Fonctionnement comme les mo<strong>de</strong>s <strong>de</strong> défail<strong>la</strong>nce, les<br />
potentielles réparations, les propagations <strong>de</strong> pannes... Ces <strong>modèles</strong> d’erreur sont alors instanciés et<br />
associés aux autres composants déjà présents dans le modèle AADL <strong>de</strong> l’architecture. Obtenu <strong>de</strong><br />
<strong>la</strong> sorte, un modèle AADL permet alors <strong>de</strong> décrire le comportement dysfonctionnel d’un système.<br />
Les <strong>modèles</strong> AADL sont ensuite transformés en d’autres <strong>modèles</strong> permettant <strong>de</strong>s analyses<br />
spécifiques. Par exemple, [57] propose <strong>de</strong> transformer un modèle AADL en un Réseau <strong>de</strong> Petri<br />
(RdP) et d’utiliser ensuite ces RdP <strong>pour</strong> réaliser les analyses <strong>de</strong> Sûreté <strong>de</strong> Fonctionnement. Le<br />
principe général <strong>de</strong> l’approche étant <strong>de</strong> profiter <strong>de</strong>s outils disponibles sur les RdP tout en masquant<br />
leurs complexités. Ainsi, l’utilisateur maitrisant AADL et ayant <strong>de</strong>s connaissances limitées sur les<br />
RdP <strong>pour</strong>ra réaliser les analyses. Dans une problématique proche, [26] propose <strong>de</strong> transformer un<br />
modèle AADL en un modèle AltaRica. L’avantage <strong>de</strong> <strong>la</strong> transformation est double : le modèle<br />
AltaRica est obtenu en parcourant le modèle AADL une unique fois, alors que plusieurs itérations<br />
sont nécessaires dans le travail proposé par [57] ; l’utilisation du <strong>la</strong>ngage AltaRica permet <strong>la</strong><br />
génération d’arbre <strong>de</strong> défail<strong>la</strong>nce (ce que ne permet pas en standard un réseau <strong>de</strong> Petri).<br />
2.5.1.2 East-ADL2<br />
EAST-ADL2 [21], d’une philosophie issue <strong>de</strong> celle d’UML 4 , est un <strong>la</strong>ngage à l’origine développé<br />
<strong>pour</strong> <strong>la</strong> modélisation et <strong>la</strong> conception <strong>de</strong> systèmes électroniques, en particulier dans le<br />
domaine automobile. Le <strong>la</strong>ngage, structuré en « couches » permet une <strong>de</strong>scription hiérarchique<br />
du système, du niveau « véhicule » au niveau matériel. Comme AADL, EAST-ADL2 permet <strong>de</strong><br />
représenter les composants du système ainsi que les interfaces présentes entre ces composants. En<br />
tant qu’héritier d’UML, si un modèle EAST-ADL2 représente une <strong>la</strong>rge quantité d’informations,<br />
son appréhension nécessite <strong>de</strong> connaître le formalisme associé au <strong>la</strong>ngage.<br />
D’un point <strong>de</strong> vue dysfonctionnel, les <strong>modèles</strong> écrits en EAST-ADL2 permettent <strong>de</strong> modéliser<br />
les défail<strong>la</strong>nces d’un système, i.e. les défail<strong>la</strong>nces d’un composant et les propagations <strong>de</strong> panne<br />
ayant lieu dans le système ensuite. Une particu<strong>la</strong>rité <strong>de</strong> <strong>la</strong> métho<strong>de</strong> vient du fait que <strong>la</strong> construction<br />
<strong>de</strong> ces <strong>modèles</strong> dysfonctionnels est c<strong>la</strong>irement séparée <strong>de</strong> celle <strong>de</strong>s <strong>modèles</strong> fonctionnels nominaux :<br />
les <strong>modèles</strong> dysfonctionnels sont alors plutôt à caractère informatif ; ceux fonctionnels plus voués<br />
à <strong>la</strong> génération automatique <strong>de</strong> co<strong>de</strong>.<br />
2.5.1.3 Nu-SMV<br />
Le <strong>la</strong>ngage Nu-SMV [22], fondé sur les machines à états finis, permet <strong>la</strong> réalisation <strong>de</strong><br />
preuve sur <strong>de</strong>s formules <strong>de</strong> logique temporelle. Il est utilisé <strong>pour</strong> décrire différents types <strong>de</strong> systèmes,<br />
aussi bien synchrone qu’asynchrone, à différents niveaux <strong>de</strong> détails. De manière simi<strong>la</strong>ire au<br />
<strong>la</strong>ngage AltaRica, il permet <strong>la</strong> <strong>de</strong>scription <strong>de</strong> systèmes hiérarchiques et encourage <strong>la</strong> réutilisation<br />
<strong>de</strong> composants déjà modélisés (i.e. encourage <strong>la</strong> réutilisation <strong>de</strong> modèle). Également à mettre en<br />
analogie avec AltaRica, Nu-SMV ne permet pas <strong>la</strong> <strong>de</strong>scription <strong>de</strong> données continues et prend en<br />
compte <strong>de</strong>s données booléennes ou énumérées.<br />
Dans [18, 19], <strong>la</strong> <strong>de</strong>scription d’un système et <strong>de</strong> son comportement peut être vue en <strong>de</strong>ux<br />
temps. La <strong>de</strong>scription du comportement nominal puis <strong>la</strong> <strong>de</strong>scription du comportement dysfonc-<br />
4. Crée à <strong>la</strong> fin <strong>de</strong>s années 1990, UML est <strong>de</strong>stiné à <strong>la</strong> modélisation orientée objet <strong>de</strong> systèmes logiciels.<br />
Il a inspiré <strong>de</strong> nombreux autres <strong>la</strong>ngages parmi lesquels SysML (System Mo<strong>de</strong>lling Langage) <strong>pour</strong> l’ingénierie <strong>de</strong><br />
systèmes ou EAST-ADL puis EAST-ADL2 <strong>pour</strong> le développement <strong>de</strong> systèmes électroniques automobiles.