Abstraction syntaxique - Modélisation polychrone et évaluation de systèmes temps réel

a partir d’une échelle de temps logique donnée, on peut définir une échelle plus fine, grâce à laquelle on peut observer de possibles décalages temporels d’événements produits par le système durant son évolution. Ce raffinement temporel ne modifie pas l’ordre partiel 4_b dans les sous-graphes associés à tout comportementbdu processus. Seule l’échelle de temps change. Puisqu’il y a potentiellement plus de points d’observation sur une échelle de temps sur-échantillonné, les sous-graphes peuvent être étirés de fa¸con à préciser certains décalages temporels non visibles entre des événements sur l’échelle initiale. Par exemple, la production de la valeur de z dans le processus P≡ z := x + y nécessite un certain délai après réception des valeurs de x et y. Nous pouvons donc imaginer un schéma d’exécution2-step, composé dedeux instants logiques : le premier dénote l’acquisition des entrées (i.e., valeurs de x et y) et le second, la production des sorties (i.e., valeur de z). Cela revient tout simplement à décomposer en deux, par sur-échantillonnage, chaque instant logiquet_k de la Fig. 4.5. De fa¸con similaire, on peut continuer `

a raffiner la description jusqu’à la mise en évidence des décalages7entre les instants d’acquisition d’une part et ceux de production d’autre part. On irait alors vers un schéma d’exécutionn-step

(oùndénote le nombre d’instants logiques résultant du sur-échantillonnage de l’échelle de temps initiale). Plus généralement, le raffinement temporel d’un processus est défini comme suit :

Définition 15 (raffinement temporel) Soitp un processus défini sur un ensemble de points d’observation T1, le raffinement temporel de p sur un ensemble de points d’observation T2 tel que T1⊂ T2 est défini par la clôture par étirement dep sur T2. _✷

Nous observons ainsi que des comportements temps réel peuvent être décrits de fa¸con précise dans le modèle polychrone. Le plongement de l’ensemble des points d’observation dans une échelle de temps physique se fait alors très facilement.

∗ ∗ ∗

Le modèle polychrone offre à travers ses caractéristiques un cadre formel intéressant pour décrire et étudier différents aspects liés à la conception de systèmes temps réel. Dans les chapitres suivants, nous nous attacherons à montrer la pertinence de ce modèle à travers l’utilisation du langageSignal, qui en est le formalisme associé.

4.3 Abstraction syntaxique

Un programme Signal Pdécrit à la fois les synchronisations entre ses signaux ainsi que le calcul de leurs valeurs. L’isolation de ces aspects permet de traiter plus facilement des propriétés spécifiques du programme. Celui-ci peut donc être abstrait au travers d’un autre programme

P’ qui reflète uniquement les aspects concernés par les propriétés qu’on souhaite vérifier. Le programmeP’est obtenu à l’aide de transformations syntaxiques. Celles-ci permettent souvent des décompositions en paires du programme initialP, distinguant par exemple :

– la partiecombinatoire8, induite par les processus élémentaires statiques (fonctions instan-tanées, sous-échantillonnage et mélange déterministe) et la partie mémorisation, définie par la seule construction primitive dynamique du langage (décalage) ;

– la partie contrôle, constituée par les booléens et les horloges, et la partiecalcul.

Une présentation détaillée de ces différentes décompositions se trouve dans [166]. Nous in-troduisons ici le principe de base de ces transformations.

4.3.1 Principe

Il résulte immédiatement de la définition de la composition que pour tous processus P,P’

([[P]]|[[P’]])_|_vars_([[_P_]])⊆[[P]] On peut montrer plus pr´ecis´ement que

[[P]] = ([[P]] |[[P’]])_|_vars_([[_P_]]) ssi [[P]]_|_vars_([[_P’_]])⊆[[P’]]_|_vars_([[_P_]])

Autrement dit, tout comportement de [[P]] est compatible avec au moins un comportement de [[P’]].

On a donc, lorsque vars([[P]]) =vars([[P’]])

[[P]] |[[P’]] = [[P]] ssi [[P]]⊆[[P’]]

SiP’ dénote une propriétéQ, elle sera donc satisfaite par tous les comportements de Pssi

[[P]] |[[Q]] = [[P]]

L’abstraction syntaxique par décomposition d’un programme Signal P consiste à dériver syntaxiquement, à partir des équations qui constituent celui-ci, un autre programme α(P), où

α d´enote cette abstraction. α(P) est ensuite utilisable pour analyser P.

Définition 16 (abstraction syntaxique par décomposition) Etant donné un processus^´ P, le processus α(P) tel que vars([[α(P)]]) ⊆ vars([[P]]) résulte d’une abstraction syntaxique par décomposition α de Pssi :

[[P]] |[[α(P)]] = [[P]]

ou de fa¸con ´equivalente ssi :

[[P]]⊆[[α(P)]]

✷

Puisque l’abstraction α d’un programme P repose sur une décomposition, elle induit une relation de complémentarité entre α(P) et une partie de P. Si ρ(P) dénote une telle partie (ρ

est mis pour “résidu”), à une abstractionα d’un programme SignalP, on peut associer une⁹ décomposition syntaxique (α, ρ) définie par un ensemble de règles de récriture :

P −→ α(P) |ρ(P)

8. Appel´ee aussi partiestatique. 9. En fait, parmi une infinit´e.

satisfaisant :

[[P]] = [[α(P) |ρ(P)]] On montre que α(P) est bien une abstraction deP; en effet,

[[P]] |[[α(P)]] = [[α(P) |ρ(P)]]|[[α(P)]] (par définition) = [[α(P)]]|[[ρ(P)]]|[[α(P)]] (par définition de |) = [[α(P)]]|[[α(P)]]|[[ρ(P)]] (par commutativité de|) = [[α(P)]]|[[ρ(P)]] (par idempotence de|) = [[α(P) |ρ(P)]] (par définition de|) = [[P]]

L’abstractionα résultant de cette décomposition doit de plus être un endomorphisme idem-potent : lorsqu’on abstrait par α un programmeP’, issu déjà d’une première application de la même abstraction à un programmeP, le résultatP’’ne doit pas induire de nouveau relâchement de la sémantique deP’.

Définition 17 (décomposition syntaxique) On appelle décomposition syntaxique tout couple de transformations (α, ρ) satisfaisant pour tout processus élémentaire P:

[[α(P) |ρ(P)]] = [[P]]

et tel que α est idempotente :

[[α(α(P))]] = [[α(P)]]

La d´ecomposition syntaxique (α, ρ) est alors d´efinie inductivement pour la composition et le confinement :

α(P₁ | P₂) =α(P₁) | α(P₂) et ρ(P₁ | P₂) =ρ(P₁) |ρ(P₂)

α(P/x) = (α(P))/x et ρ(P/x) = (ρ(P))/x

✷

Exemples d’utilisations :

– Pour ´etudier la consistance des contraintes de synchronisation de P, on abstrait le pro-gramme en ne gardant que ses synchronisations. Celles-ci correspondent `a la plus grande relation qui lie les horloges de P(cf.Fig. 4.10).

– Pour étudier la dynamique du système d’équations formant P, on abstrait celui-ci par ses variables d’état. Elles sont définies par les opérateurs dynamiques du langage (cf. Fig. 4.8). Par conséquent, on ne s’intéresse spécifiquement qu’à ces opérateurs.

Dans [166], l’abstraction α a été reformulée dans le cadre de l’interprétation abstraite [72] qui est une théorie générale permettant d’approximer la sémantique des systèmes dynamiques discrets. L’interprétation abstraite exprime l’analyse statique comme une correspondance for-melle entre la sémantique concrète d’un programme et une sémantique abstraite guidée par la propriété à prouver. Une propriété importante de α qui a été démontrée dans [166] est sa monotonie.

Propri´et´e 2 Pour tous programmes P1 et P2, on a

4.3.2 Abstractions usuelles

Nous pr´esentons dans cette section deux exemples d’application d’abstractions syntaxiques `

a un programme Signal pour en extraire des informations. Ces exemples concernent plus précisément l’extraction de la partie statique (i.e., la partie qui ne comporte aucune expression définie à l’aide de constructions dynamiques comme le retard), et l’extraction de la partie définissant le contrôle d’un programme.

Abstraction statique (ou combinatoire). Une d´efinition de cette abstraction est obtenue `

a travers le partitionnement des constructions du noyau de Signal en deux classes : d’une part, les primitives portant sur des données purement combinatoires (fonctions instantanées, filtrage et mélange déterministe) et d’autre part, l’unique primitive sur signaux qui induit une

mémorisation (retard). En utilisant ce partitionnement, un programme P est décomposé syn-taxiquement en une partie statiqueα_stat(P) et une partie dynamique ρ_stat(P).

La Fig. 4.8 indique les parties αstat(P) et ρstat(P) pour chaque construction de base sur signaux. On remarquera que pour le retard, il existe aussi une partie statique qui exprime le fait que les signaux impliqués sont synchrones. On vérifie facilement que α_stat préserve bien la sémantique des programmes et elle est sémantiquement idempotente. Pour tout processus élémentaireP, on montre que

[[αstat(P)]] |[[P]] = [[P]]

En effet, pour les fonctions instantanées, le filtrage et le mélange déterministe, on le vérifie par idempotence de la composition. En ce qui concerne l’opérateur de retard, la propriété reste vraie puisque l’équationy ^= x n’ajoute aucune contrainte supplémentaire à celle qui correspond à

P(c’est-`a-dire, y := x $ 1 init c).

P αstat(P) ρstat(P)

y := f(x1,...,xn) y := f(x1,...,xn) ∅

y := x $ 1 init c y ^= x y := x $ 1 init c

y := x when b y := x when b ∅

y := u default v y := u default v ∅

Figure 4.8 – Parties statiques et dynamiques des processus primitifs sur signaux.

Abstraction par le contrôle. Le contrôle d’un programme Signal est formé d’une part, de sa partie purement booléenne, et d’autre part, des synchronisations. Pour l’extraire, nous considérons donc deux abstractions intermédiaires permettant d’obtenir les deux parties qui le composent.

– Abstraction purement bool´eenne. Etant donn´e un programme^´ P, cette abstraction consiste `

a isoler autant que possible le composant α_bool(P) défini uniquement sur des variables de type booléen. Des raisonnements purement booléens peuvent ainsi être appliqués à ce composant. La Fig. 4.9 illustre une décomposition syntaxique de P qui permet de définir α_bool(P) ainsi que sa partie complémentaire ρ_bool(P). Dans le tableau, expr¹⁰,

non_bool_expr¹¹ etbool_expr¹² représentent des expressions élémentaires, c’est-à-dire,

10. Toute expression de valeur non bool´eenne.

11. Typiquement, toute expression définie avec un opérateur de comparaison arithmétique comme<,<=,>ou >=.

définies à l’aide d’opérateurs élémentaires, où les opérandes sont des variables ou des constantes.

P αbool(P) ρbool(P)

x := expretDom(x)6=B ∅ P

x := non bool expretDom(x) =B ∅ P

x := bool expret Dom(x) =B P ∅

Figure 4.9 – Séparation des parties booléennes et non booléennes d’un processus.

Les variables booléennes qui ne sont pas définies dans la partie α_bool(P) sont considérées comme des entrées du programme abstrait. La transformation α_bool vérifie bien les pro-priétés d’une abstraction syntaxique :

[[α_bool(P)]]|[[P]] = [[P]]

– Abstraction par les synchronisations. Pour définir cette abstraction, on se base sur le fait qu’une équation Signal spécifie une relation portant à la fois sur les valeurs des variables impliquées et sur les horloges des variables (représentant les synchronisations). L’abstraction α_sync, illustrée sur la Fig. 4.10, consiste alors à ne garder que les infor-mations d’horloges d’un programme P. Le programme α_sync(P) résultant est en relation de complémentarité avec P lui-même (i.e. ρsync(P) = P). D’autre part, puisqu’il n’induit aucune contrainte supplémentaire surP, on montre trivialement que :

[[αsync(P)]]|[[P]] = [[P]] P αsync(P) y := f(x1,...,xn) y ^= x1 ^= ... ^= xn y := x $ 1 init c y ^= x y := x when b y ^= x when b y := u default v y ^= u ^+v

Figure4.10 – Extraction des synchronisations.

On observe queαsyncreprésente une abstraction de l’abstraction statique αstat déjà men-tionnée, c’est-à-dire :

[[αstat(P)]]⊆[[αsync(P)]]

Au moyen des abstractions α_bool etα_sync, le contrôle d’un programmeSignal Pest déduit en composant les sous-programmes résultant de l’application de celles-ci à P. On peut donc définir l’abstraction par le contrôle comme suit :

α_cont(P) =α_bool(P)|α_sync(ρ_bool(P))

Celle-ci est en relation de complémentarité avec la partie calculs (représentée par ρ_cont(P) qui peut être défini commeρ_bool(P). En effet, de P=α_bool(P)|ρ_bool(P), on décompose ρ_bool(P) sui-vant les synchronisations ; on obtient alors P = α_bool(P) | (α_sync(ρ_bool(P)) | ρ_bool(P)), d’où on déduit l’égalité suivante : P=αcont(P) |ρ_bool(P))).

Le programme αcont(P) convient pour la vérification de propriétés sur P à l’aide de l’outil de model-checking Sigali [160], disponible dans Polychrony. Cet outil utilise un encodage du programme fourni en entrée dans le corps Z/₃_Z, représenté par l’ensemble {−1,0,1} : les valeurs−1, 1 et 0 dénotent respectivement la “présence avec la valeurfaux”, la “présence avec

la valeur vrai” et l’ “absence”. Cet encodage prend en compte complètement la valeur des signaux booléens, mais pas celle des signaux numériques. Nous reviendrons plus en détail sur

Sigalidans le chapitre 6. L’analyse statique effectuée par le compilateurSignal, appeléecalcul d’horloges [39] [16] [167], se base sur la partiecontrôle statiquedeP. Cette partie est équivalente au programmeα_stat(α_cont(P)).

Concrètement, étant donné un programme P à analyser par le compilateur, ses parties contrôle et traitements de données sont d’abord séparées¹³[39] [16]. Ensuite, uneanalyse struc-turelle est effectuée sur la partie contrôle statique du programme : cela consiste en un ensemble de transformations sémantiquement préservantes au système d’équations d’horloges. Il en résulte alors une forme dite résolue de P. La représentation interne de celle-ci, adoptée par le compi-lateur, est appelée graphe hiérarchisé aux dépendances conditionnées (ou GHDC). Ce graphe sert de base à toutes les analyses proposées à la compilation. Chacun de ses nœuds contient un ensemble de signaux présents à une même horloge. Cela permet par exemple d’étudier la consistance des flots de données spécifiés dans un processus (i.e., la compatibilité des contraintes imposées sur les horloges des signaux). On peut aussi vérifier des propriétés comme l’absence to-tale de réaction de la part du système décrit (en d’autres termes, les contraintes dans le système d’équations d’horloges imposent à toutes les horloges d’être nulles). Par ailleurs, la forme résolue facilite l’établissement d’un ordre suivant lequel le programme pourrait être exécuté. Le calcul correspondant s’appuie en partie sur l’ordre partiel des horloges, qui correspond à l’inclusion des ensembles d’instants (une horloge pouvant être plus fréquente qu’une autre).

Dans le document Modélisation polychrone et évaluation de systèmes temps réel (Page 99-104)