Composition des éléments Pola - Assemblage des éléments

5.7 Assemblage des ´el´ements

5.7.3 Composition des ´el´ements Pola

Il est temps de donner la sémantique de composition des éléments du langage Pola. En réalité elle est très simple, puisqu’elle se contente des deux opérations ◦ et⊙. La juxtaposition de réseaux ◦

est utilisée pour la composition des éléments déclaratifs, tandis que ⊙ est utilisée pour composer un comportement au reste du système.

Chaque élément déclaratif est traduit dans un motif x qui sont regroupés dans un ensembles M. De même tous les comportements spécifiques sont stockés dans l’ensemble C. La sémantique de la spécification du modèlePola est donné par la composition suivante, dont le résultat est le réseau de Petri P :

P = (^K

y∈C

y)⊙(x∈Mx) (5.13) Tous les noms de places et de transitions des comportements sont protégés (c’est-à-dire qu’il ne peut y avoir de conflits de noms entre les comportements et entre les motifs et les comportements), par conséquent seule la composition par étiquette peut rendre ces réseaux interdépendant du réseau généré donnant la sémantique du cœur déclaratif du langage.

La composition des motifs du cœur d´eclaratif est accomplie par la fusion des places qui servent d’interface aux motifs.

5.8 Conclusion

Nous avons donné dans ce chapitre la sémantique du langage Polaen terme de réseaux de Petri à inhibitions/permissions. Notre objectif initial était d’apprécier, en ce faisant, l’adéquation desipTPN

pour la modélisation du sous-ensemble des systèmes temps réel dont le périmètre est défini parPola. Nous avons vu que le formalisme desipTPN permet effectivement de donner une sémantique àPola. Seule la sémantique des politiques dynamiques n’a pas été donnée, mais il a été remarqué que certaines de ces politiques dynamiques sont traduisibles, tandis que pour d’autres, cette traduction est très vraisemblablement impossible à donner.

Nous avons également vu que la sémantique d’un ordonnanceur en ipTPN est hautement explosif, ce qui correspond à la forte combinatoire de l’élément allocation. Dans cette traduction, la combinatoire est reportée dans le modèle, mais pourrait être sûrement déportée uniquement dans l’analyse en utilisant des données et des structures de contrôle plus flexibles pour spécifier cet ordonnanceur de manière plus concise.

113

Chapitre 6

L’outil Pola : Etudes de cas et

exp´erimentations

La sémantique du langagePolapermet de donner une représentation du langage exprimée selon le formalisme des réseaux de PetriipTPN. La traduction issue de la sémantique donnée dans le chapitre précédent, ainsi que la chaˆıne de vérification automatique a fait l’objet d’une implémentation que nous présentons dans ce chapitre. La vérification desipTPN n’étant pas encore suffisamment mature, nous avons préféré utiliser une implémentation antérieure n’utilisant qu’une variante de la relation d’inhibition, la relation de priorité utilisée dans [BPV07]. La traduction dePola dans ce formalisme n’est que partielle, car il souffre de problèmes de composition, mais permet néanmoins la vérification des cas d’études proposés. Le lecteur pourra oublier ce fait au cours de la lecture du chapitre, tout en gardant à l’esprit que les nombres issus de la vérification ne sont donc qu’indicatifs. En effet, la traduction utilisant uniquement la relation de priorité introduit des comportements passagers étrangers `

a la sémantique de Pola qui ne sont présents qu’à des fins de codage de la sémantique, grossissant ainsi la taille du graphe de comportement.

La chaˆıne de vérification de l’outil Pola est expérimentée sur des exemples reprenant les cas d’études étudiés dans le chapitre 4. Ces modèles sont déclinés en variations nous permettant d’exhiber des facteurs de complexité et de donner une estimation des limites de l’approche automatique.

6.1 Architecture

Le but d’un langage spécifique est de permettre à l’utilisateur d’utiliser un langage le plus proche sémantiquement des systèmes qu’il a à modéliser et à vérifier. Une attention toute particulière a été apportée pour que ce soit le seul langage qu’il ait à manipuler : il serait dommage qu’il soit obligé de manipuler d’autres formalismes, pas forcément aussi bien adaptés à son domaine, lors des étapes de la chaˆıne de vérification. Ceci est bien sûr une ligne de conduite idéale qu’il n’est pas toujours possible de tenir. Néanmoins ce but a conditionné la construction de notre architecture. Puisque seul le langage

Polaest supposé connu, tout le reste du processus de vérification doit être au maximum déduit. La première étape de la chaˆıne de vérification consiste en la génération d’un réseau de Petri tem-porel (avec les extensions nécessaires). Associé à ce réseau, une batterie de formuleLTLest extraite du modèlePola, selon les propriétés attendues dans le modèle. Le réseau est ensuite passé en entrée d’un explorateur d’états, permettant la construction d’un graphe d’états exhaustif, représentant l’ensemble des comportements du système et préservant la logiqueLTL. La validité des formules générées un peu plus tôt est alors vérifiée par unmodel checker. Le résultat de la vérification de l’ensemble des formules est alors transmis à l’utilisateur.

L’architecture que nous venons de présenter est résumé par le schéma de la figure 6.1.

Ceci donne l’aspect idéal du processus automatique. Mais cette automaticité n’est pas toujours possible. Deux raisons (et un troisième moins importante) à cela.

Fig.6.1 – Architecture de l’outil Pola

exploiter la sémantique est soumis à une barrière théorique, appelée indécidabilité affirmant qu’au delà d’une certaine expressivité, il existe des questions pour lesquelles il n’est plus possible d’utiliser un unique procédé (un algorithme) y répondant à tous les coups (c’est-à-dire pour tout modèle que l’on a voulu soumettre à la question1). C’est le cas pour les réseaux de Petri temporels utilisant des chronomètres : il n’est pas possible d’avoir un algorithme (donc terminant au bout d’un temps fini) permettant de donner tous les états accessiblesà coup sûr. Par contre, il est possible d’avoir un

«algorithme_»donnant une réponse (en temps fini) pour certains modèles. Le terme desemi-algorithme est préféré et c’est un telsemi-algorithme d’exploration que nous utilisons pour obtenir l’ensemble des comportements d’un réseau utilisant des arcs à chronomètre.

Il est donc certains modèles que notre processus ne pourra pas traiter pour une cause théorique, mais en plus de cela, il est un autre problème, pratique cette fois, empêchant le processus de donner une réponse. Lorsqu’on souhaite savoir si le système respecte telle ou telle propriété, il est présupposé que c’est pour tous les cas possibles. C’est-à-dire que certaines propriétés, comme “il n’y a jamais de panne dans le système”, doivent s’assurer de l’absence de panne pour toutes les exécutions et/ou configurations possibles. Nous l’avons déjà vu, c’est le graphe qui représente le comportement du système, et c’est à partir de lui qu’une propriété est contrôlée. Cela signifie qu’il est primordial d’avoir l’ensemble du graphe pour obtenir une réponse correcte à une question du type absence de pannes. Or plus un système est complexe, plus son graphe de comportement est gros, sans que l’on puisse ni imposer, ni prévoir de borne maximale à la taille du graphe complet. Par contre, la mémoire dans laquelle est rangée ce graphe est, elle, bornée. D’où l’impossibilité pratique de stocker en mémoire certains comportement trop importants (soit par leur complexité, soit par leur longueurs, etc. Les causes étant très nombreuses). Ce phénomène est appeléexplosion combinatoire, en raison du rapport de taille entre le modèle que l’on souhaite vérifier et son graphe de comportement.

Plutôt qu’un problème de taille mémoire, il existe une version temporelle de l’explosion combina-toire : l’ensemble des états étant si long à calculer que le coût de l’analyse devient prohibitif, même si le graphe peut effectivement tenir en mémoire.

Un troisième aspect, moins critique, est que la formule donnée en entrée du model-checker n’est pas fournie explicitement par l’utilisateur. En effet, comme nous l’avons déjà précisé, l’utilisateur n’a pas à avoir de connaissances sur le langage de formules utilisé et de plus nous n’avons pas de moyens, `

a l’heure actuelle, de spécifier à l’intérieur d’un modèlePolales propriétés attendues. C’est pourquoi nous avons utilisé des propriétés très courantes, utiles dans beaucoup de situations. Pour prendre en compte d’autres propriétés, il faut donc ajouter manuellement les formules correspondantes. Mais, une fois cette étape accomplie, le processus redevient automatique.

6.1. Architecture 115

Dans le document Réseaux de Petri temporels à inhibitions/permissions - Application à la modélisation et vérification de systèmes de tâches temps réel (Page 112-116)