Méthodes pour la validation de modèles formels pour la ... - ISAE

More documents

Recommendations

Info

2.5 Autres langages pour la réalisation d’étude de Sûreté de Fonctionnement 51 textuelle) standardisée. Il permet de décrire les interfaces entre composants de l’architecture (e.g. les entrées et les sorties de chacun des composants), ainsi que le comportement de ces composants et du système modélisé. Enfin, ici, le langage AADL est pensé pour être extensible afin d’autoriser des types d’analyses que le langage « de base » ne permet pas. Concernant notre problématique, le « AADL Error Model Annex », par exemple, autorise la création, au sein d’une bibliothèque, de modèles d’erreur. Ces modèles permettent la description de caractéristiques classiques de la Sûreté de Fonctionnement comme les modes de défaillance, les potentielles réparations, les propagations de pannes... Ces modèles d’erreur sont alors instanciés et associés aux autres composants déjà présents dans le modèle AADL de l’architecture. Obtenu de la sorte, un modèle AADL permet alors de décrire le comportement dysfonctionnel d’un système. Les modèles AADL sont ensuite transformés en d’autres modèles permettant des analyses spécifiques. Par exemple, [57] propose de transformer un modèle AADL en un Réseau de Petri (RdP) et d’utiliser ensuite ces RdP pour réaliser les analyses de Sûreté de Fonctionnement. Le principe général de l’approche étant de profiter des outils disponibles sur les RdP tout en masquant leurs complexités. Ainsi, l’utilisateur maitrisant AADL et ayant des connaissances limitées sur les RdP pourra réaliser les analyses. Dans une problématique proche, [26] propose de transformer un modèle AADL en un modèle AltaRica. L’avantage de la transformation est double : le modèle AltaRica est obtenu en parcourant le modèle AADL une unique fois, alors que plusieurs itérations sont nécessaires dans le travail proposé par [57] ; l’utilisation du langage AltaRica permet la génération d’arbre de défaillance (ce que ne permet pas en standard un réseau de Petri). 2.5.1.2 East-ADL2 EAST-ADL2 [21], d’une philosophie issue de celle d’UML 4 , est un langage à l’origine développé pour la modélisation et la conception de systèmes électroniques, en particulier dans le domaine automobile. Le langage, structuré en « couches » permet une description hiérarchique du système, du niveau « véhicule » au niveau matériel. Comme AADL, EAST-ADL2 permet de représenter les composants du système ainsi que les interfaces présentes entre ces composants. En tant qu’héritier d’UML, si un modèle EAST-ADL2 représente une large quantité d’informations, son appréhension nécessite de connaître le formalisme associé au langage. D’un point de vue dysfonctionnel, les modèles écrits en EAST-ADL2 permettent de modéliser les défaillances d’un système, i.e. les défaillances d’un composant et les propagations de panne ayant lieu dans le système ensuite. Une particularité de la méthode vient du fait que la construction de ces modèles dysfonctionnels est clairement séparée de celle des modèles fonctionnels nominaux : les modèles dysfonctionnels sont alors plutôt à caractère informatif ; ceux fonctionnels plus voués à la génération automatique de code. 2.5.1.3 Nu-SMV Le langage Nu-SMV [22], fondé sur les machines à états finis, permet la réalisation de preuve sur des formules de logique temporelle. Il est utilisé pour décrire différents types de systèmes, aussi bien synchrone qu’asynchrone, à différents niveaux de détails. De manière similaire au langage AltaRica, il permet la description de systèmes hiérarchiques et encourage la réutilisation de composants déjà modélisés (i.e. encourage la réutilisation de modèle). Également à mettre en analogie avec AltaRica, Nu-SMV ne permet pas la description de données continues et prend en compte des données booléennes ou énumérées. Dans [18, 19], la description d’un système et de son comportement peut être vue en deux temps. La description du comportement nominal puis la description du comportement dysfonc- 4. Crée à la fin des années 1990, UML est destiné à la modélisation orientée objet de systèmes logiciels. Il a inspiré de nombreux autres langages parmi lesquels SysML (System Modelling Langage) pour l’ingénierie de systèmes ou EAST-ADL puis EAST-ADL2 pour le développement de systèmes électroniques automobiles.
52 Chapitre 2. Modélisation formelle de systèmes A A Choix ? A F M1 (a) (b) Figure 2.12 – Principe de modélisation en Nu-SMV (a) Modèle nominal ; (b) Modèle nominal + dysfonctionnel tionnel. Pour cela et comme se propose de le montrer la figure 2.12, on ajoute au modèle nominal d’un composant autant de variables que de modes de défaillance (Ici A F M1 ). Une logique (correspondant à la boîte « Choix ? ») permet ensuite de « choisir » la sortie à appliquer selon qu’un mode de défaillance ait eu lieu ou non. Une chose intéressante à noter est alors que le même cadre de modélisation est utilisé pour le modèle nominal et le modèle dysfonctionnel. Sur ce type de modèle, les propriétés souhaitant être étudiées sont décrites en logique temporelle LTL ou CTL (LTL : Linear Temporal Logic ; CTL : Computation Tree Logic, i.e. logique temporelle respectivement linéaire ou arborescente). Sans décrire de telles logiques ici, les propriétés peuvent être vues comme des expressions booléennes simples auxquelles on adjoint divers opérateurs temporels. Par exemple, en LTL, la formule Always (a&b) sera vraie si a&b est vraie pour tous les chemins. De telles propriétés sont en pratique utilisées pour vérifier que le modèle satisfait des exigences fournies par une spécification. Des outils (de simulation et de model-checking) sont disponibles pour supporter ces vérifications. Il est également possible de générer l’arbre de défaillance correspondant à un évènement redouté. 2.5.1.4 SCADE Le langage SCADE est une notation graphique formelle fondée sur le langage formel LUSTRE [31] initialement crée pour spécifier des logiciels réactifs 5 (ou réflexes). C’est donc un langage formel, synchrone à flot de données. Il est supporté par un environnement muni d’un éditeur graphique, d’un moteur de simulation, d’un générateur de code et d’un model-checker permettant de vérifier, sur un modèle écrit en SCADE, des propriétés. Dans [1] et comme pour Nu-SMV, la description d’un système et de son comportement peut être vu en deux temps : une modélisation nominale et une dysfonctionnelle (le cadre de modélisation est donc là aussi identique pour le comportement nominal et celui dysfonctionnel). Les propriétés sont ici également à exprimer en langage SCADE : on peut ainsi observer directement sur le modèle SCADE si ces propriétés sont satisfaites ou non. Cette vérification de propriété permet également de générer un ensemble de coupes minimales. Pour cela, il est nécessaire de définir un ou plusieurs observateurs directement sur le modèle sous forme de propriété. Pour mieux comprendre, aidons nous d’un exemple. Considérons un composant A quelconque dont la sortie S A prend ses valeurs dans {ok, degrade, ko} et imaginons que l’on souhaite obtenir les séquences conduisant à obtenir S A = ko. Dans un tel cas, la première étape consiste à définir un observateur qui fournira la valeur vrai si S A ≠ ko (et donc faux si S A = ko). Ensuite, en demandant au model-checker si la propriété est vraie (si la sortie de l’observateur est vraie), celui ci va nous fournir un contre-exemple violant la propriété (s’il en existe). 5. Un système réactif est un système qui répond constamment aux sollicitations de son environnement en produisant des actions sur celui-ci.
Page 1 and 2:
THÈSE En vue de l'obtention du DOC
Page 4 and 5:
Table des matières Liste des abré
Page 6 and 7:
Table des figures 1.1 Indicateurs S
Page 8:
Liste des tableaux 1.1 Critère de
Page 12 and 13: Remerciements Fin de l’étape. ..
Page 14 and 15: 3 que du jus de carotte, même si j
Page 16 and 17: Introduction L’objectif de cette
Page 18 and 19: 7 l’efficacité de ces activités
Page 20: Chapitre 1 Concepts généraux auto
Page 23 and 24: 12 Chapitre 1. Concepts généraux
Page 42 and 43: Bien que les arbres de défaillance
Page 44 and 45: 2.2 Syntaxe du langage AltaRica OCA
Page 52 and 53: 2.3 Sémantique du langage AltaRica
Page 60 and 61: 2.4 Outils pour la construction et
Page 64 and 65: 2.5 Autres langages pour la réalis
Page 66: Chapitre 3 Vers une méthodologie u
Page 69 and 70: 58 Chapitre 3. Vers une méthodolog
Page 112:
Chapitre 4 Processus pour la valida
Page 115 and 116:
104 Chapitre 4. Processus pour la v
Page 117 and 118:
Page 119 and 120:
Page 121 and 122:
Page 123 and 124:
Page 125 and 126:
Page 127 and 128:
Page 129 and 130:
Page 131 and 132:
Page 133 and 134:
Page 135 and 136:
Page 137 and 138:
Page 139 and 140:
Page 141 and 142:
Page 143 and 144:
Page 145 and 146:
Page 147 and 148:
Page 150 and 151:
« Plutôt que de répéter sans ce
Page 152 and 153:
5.1 Bilan de l’activité de modé
Page 154 and 155:
5.1 Bilan de l’activité de modé
Page 156 and 157:
5.2 Bilan de l’activité de valid
Page 158 and 159:
5.2 Bilan de l’activité de valid
Page 160 and 161:
5.3 Accent sur quelques avantages d
Page 162 and 163:
5.4 Quelques bonnes pratiques recom
Page 164:
5.5 Retours sur quelques difficult
Page 167 and 168:
156 Conclusion Cette représentatio
Page 170:
Index AltaRica Assertion, 37 Évèn
Page 173 and 174:
162 Bibliographie [14] Matthias Bie
Page 175 and 176:
164 Bibliographie [47] Jeff Offutt,
Page 177:
Résumé Pour certifier un système
show all

Méthodes pour la validation de modèles formels pour la ... - ISAE

Create successful ePaper yourself

Delete template?

Save as template?