Vérification formelle de spécifications AADL via FIACRE - IDL

Introduction 

Le langage Fiacre 

Modélisation de protocoles de communication AADL 

Conclusions 

Vérification formelle de spécifications AADL via 

FIACRE 1 

Bernard Berthomieu Jean-Paul Bodeveix Silvano Dal Zilio 

Mamoun Filali François Vernadat 

IRIT-CNRS ; LAAS- CNRS 

Université de Toulouse, France 

Ecole d’été temps réel 

ETR’11 

29 Août - 2 Septembre , 2011 

1. Ce travail a été partiellement financé par le projet, du pôle de compétitivité 

AESE, Topcased ainsi que par la région Midi-Pyrénées et de la FRAE. 

1 / 46

Introduction 



Conclusions 

Outline 

1 Introduction 

2 Le langage Fiacre 

3 Modélisation de protocoles de communication AADL 

4 Conclusions 

2 / 46

Introduction 



Conclusions 

Introduction 

Projet Cotre. 

Projet RNTL 

AIRBUS, ENSTB, IRIT, LAAS, ONERA, TNI. 

Projet Topcased. 

Pôle de compétitivité AESE. FUI DGE. 

AIRBUS, . . . 

3 / 46

Introduction 



Conclusions 

Origines de Fiacre : Topcased 

Topcased : Toolkit in OPen-source for Critical Applications 

& SystEms Development 

2005-2010 FUI-DGE & CR Midi-Pyrénées 

Partenariat : Airbus, Continental, Astrium, Thales, C&S, 

Atos-Origin, Anyware, ..., Ellidiss INRIA, CEA, Irit, Onera, 

Laas, ... 

Réduire des couts de développement 

Pérenniser un atelier de d’eveloppement via une aproche 

open-source 

Disposer d’un processus et de l’outillage associé permettant 

de passer - sans discontinuité - de la conception du modèle 

jusqu’au code en passant par la simulation, documentation, ... 

vérification formelle. 

4 / 46

Introduction 



Conclusions 

Topcased overview 

TOPCASED 

Model editors 

TOPCASED 

Model to Model 

Transformations 

TOPCASED 

Simulator Engines 

TOPCASED 

Model to Text 

Transformations 

TOPCASED 

Formal Checking 

Configuration, Change and Requirements management 

tools communication 

1 

Source code, 

Test code, 

Documentation, 

… 

5 / 46

Introduction 



Conclusions 

Description et Vérification formelles Logiciels 

concurrents, réactifs, répartis, temps réel 

Points durs : 

Formel/Métier , Passage à l’échelle, Problèmes indécidables 

Domaines : 

Logiciels temps réel, Protocoles de communication, 

Critique/Embarqué 

6 / 46

Introduction 



Conclusions 

Fiacre : Langage pivot pour la vérification 

⇒ 

Fiacre : Format intermédiare pour l’assemblage de 

composants embarqués répartis 

Langage formel inspiré de la théorie de la concurrence, 

V-Cotre, NTIF, E-LOTOS, BIP 

7 / 46

Introduction 



Conclusions 

Topcased Chaînes de Vérification 

MetaModeller 

Modelling Languages 

Editors 

June 05 IRISATECH 

PDL 

Transformation Engine 

ATL,KERMETA,... 

Compilers 

ModelCheckers 

Simulator 

MetaModelling 

AADL SDL SYSML 

UML2.0 

Common Format 

Model Transformation 

Translation 

TINA CADP 

... 

Simulation & Formal Verification 

... 

1 

8 / 46

Traits 

Introduction 



Conclusions 

Langage formel de description de systèmes TR 

Process = composants de base 

États explicites, transitions symboliques 

Structures de contrôle classiques 

Riches types de données 

Communications (variables partagées ET messages) 

Component = compositons + contraintes 

Description des interactions entre sous-composants 

Contraintes temporelles sur interactions 

Contraintes de priorité sur interactions 

9 / 46

Introduction 



Conclusions 

Types de données 

Basiques : 

int, nat, bool 

Intervalles : 

type byte is 0..255 

Unions et énumérations : 

type color is union red | green | blue end 

type response is union Bat of nat | Bool of bool end 

Enregistrements : 

type size is record width : nat, height : nat end 

Tableaux et files de taille fixe : 

type table is array 10 of nat end 

type fifo is queue 5 of byte end 

10 / 46

Introduction 



Conclusions 

Composants de base 

Process, paramétrés par : 

des canaux de communications, typés et orientés 

des variables partagées, typées et avec contrôle d’accés 

des valeurs typées 

process Q [p : in nat] (&x : read 0..7, z : bool) 

Transitions : 

définies par un état initial s et un bloc d’instructions S 

définissant les actions à effectuer depuis l’état cible : from s S 

11 / 46

Introduction 



Conclusions 

Instructions (1/2) 

Affectations 

P1, . . . , Pn := E1, . . . , En 

P1, . . . , Pn := any where E 

case E of P1 → S1| . . . | Pn → Sn end 

Séquences 

S1; . . . ; Sn 

Boucles et branchements 

if E then S1 else S2 end 

foreach E do S end 

while E do S end 

12 / 46

Introduction 



Conclusions 

Instructions (2/2) 

Alternatives 

select S1 [] . . . [] Snend 

Synchronisation et Communication 

Synchronisation : p 

Emission : p!E1, . . . , En 

Réception filtrante : p?E1, . . . , En where E 

Saut vers état suivant 

to s 

loop 

13 / 46

Introduction 



Conclusions 

Un exemple (1/2) 

type index is 0..3 

type request is union getSum | getValue of int end 

type data is array 4 of nat 

14 / 46

Introduction 



Conclusions 

Un exemple (2/2) 

process ATM [req : in request, resp : out nat ] is 

states ready, sendSum, sendValue 

var c : request, i : index, sum : nat, val : data := [6,2,7,9] 

Init to ready 

from ready 

req ? c 

case c of 

req ? getSum → to sendSum 

req ? getValue i → to sendValue 

end 

from sendValue 

resp ! val[i] ; 

to ready 

from sendSum 

sum := 0 ; 

foreach i do sum := sum + val [i] end ; 

resp ! sum ; 

to ready 15 / 46

Introduction 



Conclusions 

Sémantique des transitions 

Peuvent avoir plusieurs chemins d’éxécution 

en raison des if, case, ... 

en raison du non déterminisme (select, any, ?, ...) 

Contrainte 

au plus un événement de communication/synchronisation 

ou écriture VP par chemin d’éxécution 

Transitions sont atomiques 

éxécutées entièrement (= jusqu’à un saut) ou pas du tout 

16 / 46

Introduction 



Conclusions 

Composants 

Compositions, paramétrés par : 

canaux de commnication/synchronisation typés et orientés (in, out) 

variables {partagées} typées et avec contrôle d’accés (read, write) 

Canaux locaux et variables partagées locales 

variables {partagées} 

canaux locaux {temporellement contraints} port p : 0..7 in [2, 5[ 

priorités priority p | q | r < a | b 

Comportement défini par : 

produit synchronisé d’instances de processus ou composants 

contraintes temporelles sur interactions 

contraintes de priorité sur interactions 

17 / 46

Introduction 



Conclusions 

Exemple de composant 

type msg is .... 

process P [inp, out : msg] is 

state off, on 

init off 

from off inp ; to on 

from on out ; to off 

component C is 

port a, b, c, d : msg in [1,3] 

priority c > b 

par 

b − > P [a, b] 

|| b, c − > P [b,c] 

|| c − > P [c,d] 

end 

18 / 46

Introduction 



Conclusions 

Outillage Fiacre (1/2) 

(2007-2010) 

Meta-modèle Fiacre 

Sémantique formelle 

LAAS-CNRS 

- Front : Fiacre → AT 

- Frac : AT → TTS/TINA 

(2007-2010) 

INRIA/VASY 

- Flac : AT → LOTOS/CADP 

19 / 46

Introduction 



Conclusions 

Outillage Fiacre (2/2) 

Front : front-end (commun pour Flac et Frac) 

Parser (lex, yacc) + Contrôle de types + ver. statiques → AST 

annoté 

Frac : back-end pour Tina-TTS 

Réduction des constructions dérivées (select, any, etc) → Core-AST 

Composition statique des composants → TTS abstrait 

Mise à plat, Instantiations, Passage des paramètres 

Optimisations → TTS optimisé 

Analyse des variables 

Normalisation des transitions 

Génération → .tts 

.tts = Réseau de Petri (.net) + Traitement données (.c selon 

API) 

Librairie partagée (.dll/.so/.dylib) produite depuis .c 

20 / 46

Introduction 



Conclusions 

TINA TIme petri Net Analyzer 

nd 

Editeur graphique et textuel de réseaux temporels et d’automates 

Interfacé avec outils d’abstraction et de vérification 

tina (TIme petri Net Analyser) 

Génère abstractions de comportements 

Préservant famille choisie de propriétés 

Sortie en clair ou formats dédiés 

selt, muse, plan 

struct 

Vérificateurs de modèles pour State/Event LTL et Mu-calcul 

Analyseur/synthétiseur de chemins temporisés 

Analyse structurelle 

ktzio, ndrio, etc 

21 / 46

Introduction 



Conclusions 

Modèles pris en compte par TINA 

basés Réseaux de Petri 

Réseaux Temporels (Time Petri Nets Merlin 74, BB/MM 83, 

BB/MD 91) 

+ Données (Keller Transition Systems + time intervals) 

+ Suspension/Reprise (Stopwatch TPNs, BLRV 05, BLVR 07) 

+ Priorités (BPV 06, BPV 07) 

Structure Mathématique : Timed Transition Systems 

Etats, transitions discretes et temporisées 

22 / 46

Introduction 



Conclusions 

TPNs – Abstractions supportées par TINA 

Abstractions : Graphes de classes d’états 

Classe d’état = ensemble d’état 

classe = marquage (état discret) + polyèdre (information 

temporelle) 

Differentes constructions, préservant : 

Marquages + traces (LTL) (SCG [BM83], Essential states 

[Popova91]) 

Marquages (SCG⊂) 

Marquages + états + traces (SSCG [BV03]) 

Marquages + états (SSCG⊂) 

Marquages + états + traces + branchements (CTL ∗ ) (ASCG 

[BV03]) 

Théorème : Abstractions finies ssi réseau est borné 

23 / 46

Introduction 



Conclusions 

AADL (I) 

Logiciel avionique critique 

Langage MetaH 

Analyse temps réel 

long experience 

−−−−−−−−−−−−→ 

”good practice” 

Architecture 

Analysis 

Description 

Language 

Aujourd’hui AADL est : 

un standard de la SAE. 

une base pour le standard de l’OMG : MARTE. 

le langage de modélisation des systèmes temps réel de 

l’environnement TOPCASED (environnement générique de 

modélisation de langages). 

24 / 46

Introduction 



Conclusions 

AADL (II) 

AADL est un langage de description d’architecture : 

Components : 

Logiciel : process, thread, thread group, subprogram, and data. 

Matériel : processor, bus, memory, device. 

Système : system. 

Sémantique d’exécution précise par rapport à : 

l’ordonnancement, 

la communication, 

la synchronisation. 

25 / 46

Introduction 



Conclusions 

slide_light 

slide_warn 

handle 

handle_pos 

pressure_warn 

pres_warn 

flight_loc 

in_fligh on_ground airspeed3 airspeed2 airspeed1 

door1_ECAM door2_ECAM 

lock 

RDC_access 

door1 

RDC1 

door2 

door afdx 

closed_sensor1 

closed 

closed_sensor2 

RDC2 

closed 

lock_latched1 

ll 

lock_latched2 

ll 

lock_latched3 

ll 

iface 

AFDX 

airspeed1 

airspeed2 

airspeed3 

on_ground 

in_fligh 

door1 

door2 

dps1 

dps2 

DPS1 

dps 

DPS2 

dps 

doors_process2 

doors_process1 

door_handler1 

airspeed1 

airspeed2 door_info 

airspeed3 

door_lock 

on_ground 

in_fligh 

iface 

dps1 

dps2 

door_handler2 

OCU1 

cll 

CPIOM1 

afdx 

door1_info door2_info 

CPIOM2 

doors_mix 

door1_lock 

door_2lock 

cll 

OCU2 

cll 

cll 

26 / 46

Introduction 



Conclusions 

Le modèle d’exécution AADL (résumé à partir de la documentation 

officielle) : 

At dispatch, a thread reads its input ports 

Dispatched thread execute (i.e. access to the processor) 

during at most their WCET, until completion, under the 

control of a scheduler. 

Completion must occur before deadline for the system to be 

schedulable. 

At completion, a thread writes its results computed from its 

input ports to its output ports. (In the following, we suppose 

each thread has only one output port). 

If two threads linked by immediate connections are dispatched 

simultaneously, the sender’s completion occurs before the 

receiver’s start of execution, immediate links transfer data at 

that time and the corresponding input ports are read again by 

the thread, thus refreshing the value obtained at dispatch. 

27 / 46

Introduction 



Conclusions 

The graph of nodes connected by immediate links should be 

acyclic. 

Delayed and unsynchronized immediate connectors read 

output ports at the sender deadline and update input ports at 

receiver dispatch. The update causally precedes the 

simultaneous reading of input ports. 

28 / 46

Introduction 



Conclusions 

Exemple d’architecture dynamique AADL 

i5 t1: 

period: 10 

o1 

i4 deadline: 10 o2 

d 

i2 

d 

d 

i i 

t3: 

period: 15 

deadline: 5 

o3 

o4 

i1 

i3 

t2: 

period: 10 

deadline: 5 

o5 

29 / 46

Introduction 



Conclusions 

Protocoles de communication AADL 

data 

event 

immediate 

data 

immediate 

data 

dispatch start of 

execution 

complete deadline 

delayed data 

immediate connection delayed connection 

30 / 46

Introduction 



Conclusions 

Modélisation Fiacre 

S0 S1 

S3 

dispatch?params_delayed 

complete!results 

computation 

S2 

execute? 

params_immediate 

31 / 46

Introduction 



Conclusions 

Mise en oeuvre 

thread 1 ... thread n 

Thread 

glue 

Complete!D 

Dispatch!... 

Event_i 

EventData_i 

Glue 

32 / 46

Introduction 



Conclusions 

Exemple de traduction 

system imm end imm ; 

system implementation imm . i 

subcomponents 

p : process p imm . i ; 

end imm . i ; 

process p imm end p imm ;−− p imm e s t un type de p r o c e s s u 

process implementation p imm . i −− c h o i x de l ’ i m p l a n t a t i o 

subcomponents 

s : thread t s e n d e r . i ; −− c h o i x de l ’ i m p l a n t a t i o n t s e n 

r : thread t r e c e i v e r . i ; −− c h o i x de l ’ i m p l a n t a t i o n t r 

connections −− e n t r e t h r e a d s 

−− s . p e s t l e p o r t emetteur r . p e s t l e p o r t r e c e p t e u r . 

data port s . p− >r . p ; −− c o n n e x i o n immediate 

end p imm . i ; 

33 / 46

Introduction 



Conclusions 

−− t h r e a d d e s c r i p t i o n s . 

thread t r e c e i v e r 

f e a t u r e s 

p : i n event port ; 

p r o p e r t i e s 

D i s p a t c h P r o t o c o l => P e r i o d i c ; 

P e r i o d => 10 Ms ; 

end t r e c e i v e r ; 

thread t s e n d e r 

f e a t u r e s 

p : out event port ; 

p r o p e r t i e s 

D i s p a t c h P r o t o c o l => P e r i o d i c ; 

P e r i o d => 10 Ms ; 

end t s e n d e r ; 

34 / 46

Introduction 



Conclusions 


texte Fiacre (génération du traducteur AADL-Fiacre) 

process t r e c e i v e r [ F d i s p a t c h : i n i n t#bool , 

F c o m p l e t e : out none , 

F d e a d l i n e : out none , 

F s c h e d u l e : i n F i n t e g e r o p t i o n , 

F CMP 3000 5000 : i n out none ] i s 

s t a t e s s0 , F c s0 , st 10756 , st 11378 , s t 1 1 6 4 0 

var p : i n t := 0 , 

p opt : F i n t e g e r o p t i o n := F i n t e g e r n o n e , 

p f r e s h : bool := f a l s e 

35 / 46

Introduction 



Conclusions 


i n i t to s0 

from s t 1 1 3 7 8 F CMP 3000 5000 ; to F c s 0 

from s t 1 0 7 5 6 F s c h e d u l e ? p opt ; 

c a s e p opt of 

( F i n t e g e r s o m e ( p ) ) → p f r e s h := true 

| F i n t e g e r n o n e → n u l l 

end ; 

i f p f r e s h then to s t 1 1 3 7 8 

e l s e to F c s 0 

end 

from s0 F d i s p a t c h ?p , p f r e s h ; to s t 1 0 7 5 6 

from s t 1 1 6 4 0 F d e a d l i n e ; to s0 

. . . 

36 / 46

Introduction 



Conclusions 

Réalisations. 

Traducteur AADL-Fiacre. 

Annexe comportementale (contribution). 

Sémantiques de sous ensembles de AADL (B, Coq). 

Compléter la couverture AADL : modes. 

37 / 46

Introduction 



Conclusions 

Conclusions 

Retours d’expérience. 

Travaux en cours. 

38 / 46

Introduction 



Conclusions 

Retour d’expérience et travaux en cours 

+ Etudes de cas “significatives” : 

Protocoles avioniques : étude de cas APOTA. 

Protocole de communication entre le pilote et les stations au 

sol. 

Utilsation de l’outil Adele. 

Développement “sur le terrain” (CS) : (5 threads, une dizaine 

de buffers). 

Parking (Rétro Ingénierie UFSC). 

Traduction BPEL-Fiacre. E. Fares, N. Guermouche. 

Etudes de cas NRBC, Ticketing. 

Protocole de redondance (maître-esclave). 

Portes d’avion. (projet CESAR). 

. 

39 / 46

Introduction 



Conclusions 

Résultats Topcased / Fiacre 

Polychrony 

LOTOS 

CADP 

AADL 

AADL2Fiacre 

FIACRE 

Front 

Flac Frac 

TTS 

SDL 

TINA 

... 

QUARTEFT 

FNRAE 

FNRAE 

ARTEMIS 

ITEmIS 

ANR 

OPEES 

ITEA 

1 

40 / 46

Introduction 



Conclusions 

Retours d’expérience 

Quelle confiance dans les 

transformations successives ? 

– Transformations complexes 

Support de validation ⇒ 

Mécanisation Coq,B. 

Retours de vérification au 

niveau Métier. Possibilité de 

factoriser les aspects temps 

réels. 

Fiacre ⇒ RT-Fiacre 

41 / 46

Introduction 



Conclusions 

Travaux en cours 

Enrichissement du langage Fiacre. 

Etude de la validation de la chaîne de traduction. 

Mécanisation de la sémantique de sous ensembles 

“synchrones” de AADL en B, Coq (M. Garnacho). 

Support de raisonnement pour des programmes Fiacre 

“infinis”, paramétrés. 

Base sémantique pour des extensions :modularité, raffinement 

(A. Boudjadar, E. Fares). 

Extension de Fiacre : contrats (J.-B. Raclet). 

42 / 46

Introduction 



Conclusions 

Retours d’expérience 

Possibilité d’étendre Fiacre 

– Simplifier des traductions 

– Optimiser des traductions 

Expression des propriétés 

43 / 46

Introduction 



Conclusions 

Evolutions de Fiacre 

Fonctions 

Natives 

Importée depuis C (selon API publiée) 

Langage d’observation 

Autres 

Sondes (à la DTrace/Instruments) 

Observables 

Observateurs en O-Fiacre 

Polymorphisme paramétrique (un peu de) 

Déclarations locales plus souples 

. . . 

44 / 46

Introduction 



Conclusions 

Evolutions de Tina 

Optimisations en espace 

Vérification/écriture des espaces d’états à la volée 

Mémoriser ensembles plutôt que graphes 

Représentations spécialisées 

Compression des (représentations des) états 

Passage à l’échelle 

Exploration/de vérification parallèles 

Espaces d’états conservés en bases de données 

Optimisation de modèles 

Simplification/Optimisation de modèles (réductions, etc) 

Prise en compte informations spécifiques (symetries, invariants) 

Interprétation abstraite, pour systèmes infinis (Fiacre) 

45 / 46

Introduction 



Conclusions 

Trugarez 

Merci 

http ://www.topcased.org/ 

http ://gforge.enseeiht.fr/projects/quarteft/ 

http ://gforge.enseeiht.fr/projects/fiacre/ 

http ://homepages.laas.fr/bernard/fiacre/ 

http ://homepages.laas.fr/bernard/tina/ 

46 / 46

Vérification formelle de spécifications AADL via FIACRE - IDL

Create successful ePaper yourself

Delete template?

Save as template?