Une abstraction des modes syst`emes

5.3 Les modes syst`emes

5.3.1 Une abstraction des modes syst`emes

On commence par donner une spécification des modes systèmes et plus particulièrement le protocole de changement de modes de manière indépen-dante. Cette approche nous permet de nous focaliser sur les problèmes liés au changement de mode de manière indépendante aux problèmes d’ordon-nancement et de communications.

Transition de mode atomique

On présente à ce niveau une simple transition de mode atomique. L’au-tomate de changement de mode est défini par un ensemble de constantes : l’ensemble de mode Mode, son mode de départ InitialMode, et un ensemble de transition, la fonction NextMode. L’ensemble Event définit l’ensemble des événements susceptibles de provoquer un changement de mode. L’ensemble de couples domNextMode représente le domaine de la fonction NextMode. En-fin, la fonction ModeThreads associe à chaque mode l’ensemble de ses threads actifs.

On utilise seulement deux variables, la première définit le mode courant (currentMode), et la seconde représente l’ensemble des threads en cours d’exécution (currentThreads). Lors de l’initialisation, ces variables sont ini-tialisées respectivement à la valeur InitialMode et à un sous ensemble des threads de ce mode initial.

Dans ce modèle, la transition de mode est atomique, sur la réception d’un événement déclenchant une transition, on passe dans le mode suivant. L’ensemble des threads en cours d’exécution est aussi modifié, ils doivent faire partie de l’ensemble des threads du nouveau mode.

La transition ThreadTransition est une abstraction de l’ordonnance-ment des threads. On considère que les threads du mode courant peuvent être dans deux états, prêt ou inactif. Les threads prêts correspondent au thread en cours d’exécution, en attente de donnée partagée ou en attente de la ressource processeur dans le modèle complet. Les threads du mode courant non présent dans cet ensemble sont en attente d’activation.

module atomicModes constants

Mode, InitialMode, Event, domNextMode, NextMode, Thread, ModeThreads

assume

∧ InitialMode ∈ Mode

∧ domNextMode ⊆ Mode × Event ∧ NextMode ∈ [domNextMode → Mode] ∧ ModeThreads ∈ [Mode → subset Thread ] variables currentMode, currentThreads

5.3. LES MODES SYST `EMES 95

TypeInvariant =^∆

∧ currentMode ∈ Mode

∧ currentThreads ∈ subset Thread

Invariant = currentThreads ∈ subset ModeThreads[currentMode]^∆ Init =^∆

∧ currentMode = InitialMode

∧ currentThreads ∈ subset ModeThreads[currentMode] ModeTransition(evt) =^∆

∧ hcurrentMode, evti ∈ domNextMode

∧ currentMode′ = NextMode[currentMode, evt]

∧ currentThreads′ ∈ subset ModeThreads[currentMode′] ThreadTransition =^∆

∧ currentThreads′ ∈ subset ModeThreads[currentMode] ∧ unchanged hcurrentModei

Les threads critiques

Dans un mode on peut trouver un ensemble de threads que l’on ne doit pas interrompre à n’importe quel moment. On doit attendre que ces threads aient tous terminé leur exécution. On définit pour chaque mode un ensemble de threads critique grâce à la fonction CriticalThreads. À la réception d’un événement, on commence la transition de mode. Dans un premier temps, on mémorise juste l’événement qui a déclenché la transition. Puis lorsque tous les threads critiques ont terminé leur exécution, on procède au changement de mode proprement dit.

On ajoute une variable currentEvent afin de conserver le nom de l’évé-nement qui a déclenché la transition. Le début de la transition de mode ne peut avoir lieu que si aucun événement n’a été re¸cu. À la fin de la transition, le système redevient sensible aux requêtes de changement de mode.

module Critical constants

Mode, InitialMode, Event, Thread , NextMode, domNextMode, ModeThreads, Critical

assume

∧ InitialMode ∈ Mode

∧ domNextMode ⊆ Mode × Event ∧ NextMode ∈ [domNextMode → Mode] ∧ ModeThreads ∈ [Mode → subset Thread ] ∧“NoEvent” /∈ Event

∧ Critical ∈ [Mode → subset Thread ]

AllEvent = Event ∪ {“NoEvent”}^∆

variables currentMode, currentThreads, currentEvent TypeInvariant =^∆

∧ currentMode ∈ Mode

∧ currentThreads ∈ subset Thread ∧ currentEvent ∈ AllEvent

Invariant = currentThreads ∈ subset ModeThreads[currentMode]^∆ Init =^∆

∧ currentMode = InitialMode

∧ currentThreads ∈ subset ModeThreads[currentMode] ∧ currentEvent =“NoEvent”

StartModeTransition(evt) =^∆

∧ hcurrentMode, evti ∈ domNextMode ∧ currentEvent =“NoEvent”

∧ currentEvent′ = evt

∧ unchanged hcurrentMode, currentThreadsi EndModeTransition =^∆

∧ currentEvent 6=“NoEvent” ∧ currentEvent′ =“NoEvent”

∧ currentMode′ = NextMode[currentMode, currentEvent] ∧ currentThreads′ ∈ subset ModeThreads[currentMode′] ∧ currentThreads ∩ Critical [currentMode] ⊆ currentThreads′

ThreadTransition =^∆

∧ currentThreads′ ∈ subset ModeThreads[currentMode] ∧ unchanged hcurrentMode, currentEventi

Next =^∆

∨ ∃ e ∈ Event : StartModeTransition(e) ∨ EndModeTransition

∨ ThreadTransition

Les threads zombies

Certaines activités ne peuvent être arrêtées instantanément. À titre d’exemple, une telle activité devra arrêter un équipement avant de disparaˆıtre. Pour cela, on introduit un nouveau type de threads, les zombies, ces threads ne sont pas critiques, mais ne doivent pas être arrêtés brutalement. On va donc leur permettre de terminer leur exécution dans le nouveau mode. Au mo-ment de la transition de mode, on calcule l’ensemble des zombies actifs.

5.3. LES MODES SYST `EMES 97

L’ensemble des threads actif dans le nouveau mode sera un sous ensemble des threads du nouveau mode plus l’ensemble des zombies actifs. Enfin, on considère que la transition de mode est finie lorsque tous les zombies ont été supprimés.

module zombies constants

Mode, InitialMode, Event, Thread , NextMode, domNextMode, ModeThreads, Critical , Zombies

assume

∧ InitialMode ∈ Mode

∧ domNextMode ⊆ Mode × Event

∧ NextMode ∈ [domNextMode → Mode] a mode transition is deterministic ∧ ModeThreads ∈ [Mode → subset Thread ]

∧“NoEvent” /∈ Event

∧ Critical ∈ [Mode → subset Thread ] ∧ Zombies ∈ [Mode → subset Thread ]

∧ ∀ m ∈ Mode : Zombies[m] ∩ ModeThreads[m] = {} AllEvent = Event ∪ {“NoEvent”}^∆

variables

currentMode, currentThreads, currentEvent, zombies TypeInvariant =^∆

∧ currentMode ∈ Mode ∧ currentEvent ∈ AllEvent

∧ currentThreads ∈ subset ModeThreads[currentMode] ∪ zombies ∧ zombies ∈ subset Zombies[currentMode]

assume

∧ currentEvent 6=“NoEvent”❀ currentThreads ∩ Critical[currentMode] = {} Init =^∆

∧ currentMode = InitialMode

∧ currentThreads ∈ subset ModeThreads[currentMode] ∧ zombies = {}

∧ currentEvent =“NoEvent” StartModeTransition(evt) =^∆

∧ hcurrentMode, evti ∈ domNextMode ∧ currentEvent =“NoEvent”

∧ currentEvent′ = evt ∧ zombies = {}

∧ unchanged hzombies, currentMode, currentThreadsi EndModeTransition =^∆

∧ currentEvent 6=“NoEvent” ∧ currentEvent′ =“NoEvent”

∧ currentMode′ = NextMode[currentMode, currentEvent]

∧ currentThreads ∩ Critical [currentMode] ∈ subset ModeThreads[currentMode′] ∧ zombies′ = currentThreads ∩ Zombies[currentMode′]

∧ currentThreads′ ∈ subset ModeThreads[currentMode′] ∪ zombies′

ThreadTransition =^∆

∧ currentThreads′ ∈ subset ModeThreads[currentMode] ∧ zombies 6= {} ⇒ zombies′ ∈ subset zombies

∧ currentThreads′ ∈ subset ModeThreads[currentMode] ∪ zombies′

∧ unchanged hcurrentMode, currentEventi

Pr´eemptions et priorit´es

On veut rendre le protocole pr´esent´e plus flexible :

– les transitions de mode ne sont plus considérées comme atomiques. On introduit la possibilité d’interrompre un changement de mode durant la prise en compte d’une transition de mode ;

– on introduit un ordre sur les transitions de fa¸con `a pouvoir prendre en compte leur importance relative ;

– enfin le traitement associ´e `a un changement de mode ne s’exprime plus uniquement en fonction du mode courant mais en fonction du mode courant et de la transition en cours.

Dans un premier temps, on va modifier le type de la fonction Critical. Dans la première version de cette fonction, l’ensemble des threads critiques ne dé-pend que du mode courant. Or il nous parait utile de définir cet ensemble en fonction de l’événement qui déclenche la transition. La taille de cet ensemble dimensionne directement le temps d’attente avant le changement effectif de mode. Plus cet ensemble est réduit, plus le changement de mode sera rapide. Or certains changements de modes peuvent être plus urgents que d’autres. Par exemple, une requête de changement de mode résultant d’une détection de panne matérielle devra être traitée plus rapidement qu’un changement de mode prévu dans l’exécution du système.

Enfin, on introduit des priorités sur les changements de mode. Ainsi lorsqu’une transition de mode a débuté, que le système attend la fin des threads critiques, si une requête de changement de mode plus prioritaire arrive la transition de mode est interrompue.

module advanced modes extendsNaturals

constants

5.3. LES MODES SYST `EMES 99

ModeThreads, Critical , Zombies, Priority AllEvent = Event ∪ {“NoEvent”}^∆

assume

∧ InitialMode ∈ Mode

∧ domNextMode ⊆ Mode × Event

∧ NextMode ∈ [domNextMode → Mode] a mode transition is deterministic ∧ ModeThreads ∈ [Mode → subset Thread ]

∧“NoEvent” /∈ Event

∧ Critical ∈ [domNextMode → subset Thread ] ∧ Zombies ∈ [Mode → subset Thread ]

∧ ∀ m ∈ Mode : Zombies[m] ∩ ModeThreads[m] = {} ∧ Priority ∈ [AllEvent → Nat]

∧ Priority[“NoEvent”] = 0 ∧ ∀ e ∈ Event : Priority[e] > 0 variables

currentMode, currentThreads, currentEvent, zombies TypeInvariant =^∆

∧ currentMode ∈ Mode

∧ currentThreads ∈ subset Thread ∧ zombies ∈ subset Thread

∧ currentEvent ∈ AllEvent Invariant =^∆

∧ currentThreads ⊆ (ModeThreads[currentMode] ∪ zombies) ∧ zombies ∩ ModeThreads[currentMode] = {}

∧ zombies ⊆ Zombies[currentMode]

∧ currentEvent 6=“NoEvent”⇒ zombies = {} Init =^∆

∧ currentMode = InitialMode

∧ currentThreads ∈ subset ModeThreads[currentMode] ∧ zombies = {}

∧ currentEvent =“NoEvent” StartModeTransition(evt) =^∆

∧ hcurrentMode, evti ∈ domNextMode ∧ Priority[evt] > Priority[currentEvent] ∧ currentEvent′ = evt

∧ zombies′ = {}

∧ currentThreads′ = currentThreads \ zombies ∧ unchanged hcurrentModei

currentEvent = ”N oEvent” ∧zombies 6= ∅

currentEvent = ”N oEvent” currentEvent6= ”N oEvent” ∧zombies = ∅ ∧zombies = ∅ StartModeTransition ModeTransition EndModeTransition StartModeTransition StartModeTransition ThreadTransition ThreadTransition ThreadTransition

Normal behavior Wainting for critical threads

Wainting for zombie threads

Fig. 5.6 – Automate de gestion des modes

∧ currentEvent 6=“NoEvent” ∧ currentEvent′ =“NoEvent”

∧ currentMode′ = NextMode[currentMode, currentEvent] ∧ currentThreads ∩ Critical [currentMode, currentEvent]

∈ subset ModeThreads[currentMode′]

∧ zombies′ = currentThreads ∩ Zombies[currentMode′]

∧ currentThreads′ ∈ subset (ModeThreads[currentMode′] ∪ zombies′) ∧ currentThreads ∩ Critical [currentMode, currentEvent] ⊆ currentThreads′

EndModeTransition =^∆ ∧ zombies = {}

∧ unchanged hcurrentMode, currentThreads, zombies, currentEventi ThreadTransition =^∆

∧ currentThreads′ ∈ subset ModeThreads[currentMode] ∧ if zombies 6= {} then

∧ zombies′ ∈ subset zombies

∧ currentThreads′ ∈ subset (ModeThreads[currentMode] ∪ zombies′) else

∧ currentThreads′ ∈ subset ModeThreads[currentMode] ∧ unchanged hzombiesi

∧ unchanged hcurrentMode, currentEventi

La figure 5.6 représente cette spécification TLA sous la forme d’un au-tomate. Sur cette figure on ne représente que le nom des transitions TLA.

Dans le document Développement et validation d'architectures dynamiques (Page 107-113)