Prod Cons bus processor processor processA processB thSend thRecv system
FIGURE11 – Exemple de système AADL en utilisant la syntaxe graphique du langage : 2 threads
com-muniquant via des port événements/données
de base du langage, mais nécessitent néanmoins de compléter un compilateur pouvant les prendre en compte (puisqu’il s’agit d’éléments de langage). Le processus de définition de nouvelles annexes est standardisé pour assurer la cohérence des nouvelles spécifications.
En parallèle de ces annexes, AADL permet d’étendre des ensembles de propriétés (au sens AADL). Il s’agit d’un équivalent des valeurs tagguées en UML : des attributs supplémentaires sont définis pour certains types d’éléments (par exemple, la «Période» d’un thread étend la propriété de «Temps» du langage).
Il est enfin possible de définir directement dans la spécification des composants qui en étendent d’autres, à l’aide du mot-clef extends (le mécanisme existait dans la première version du standard, via le mot-clef «refines», mais a été ensuite supprimé). De façon équivalente aux langages orientés objets comme C++ ou Java, il permet de définir un composant par héritage (héritage des types, des espaces de nommage, etc.).
3.3 Eléments de langage : attributs
Les attributs AADL, tels que présentés dans la deuxième version du standard [SAE08], se divisent en plusieurs catégories :
– Les attributs de déploiement : composants attachés à un processeur, une mémoire ;
– Les attributs liés aux éléments de communication : tailles de files de messages, politiques de ges-tion de file (pleine) ;
– Les attributs liés aux éléments de stockage : taille mémoire, tas, pile ; – Les attributs de programmation : appels de procédures, priorité ;
– Les attributs liés aux threads : priorité, traitement des événements entrants, politique de diffusion de messages ;
– Les attributs temporels : dates d’échéances, délais de communication.
Nous allons explorer ces attributs, afin de proposer un guide de lecture des méthodes formelles sus-ceptibles de les exploiter, en regard du type d’analyse à effectuer.
3.3.1 Attributs de déploiement
Ces attributs permettent de spécifier les contraintes de liaison qu’il peut y avoir entre un composant logiciel et un composant matériel (ou une catégorie de matériel).
Pour chaque attribut matériel considéré, il y a trois variations autour d’un mot clef : soit un tel mot clef, χ ; alors il y aura
→ Allowed χ Binding Class : permet de spécifier sous forme d’ensemble les classes d’élé-ments susceptibles d’être liées au composant logiciel ;
→ Allowed χ Binding : ensemble de composants susceptibles d’être liés au composant logi-ciel ;
→ Actual χ Binding : désigne l’élément matériel effectivement lié au composant logiciel. Les mots-clefs effectivement pris en compte dans le standard sont :
– Processor : si cet attribut est spécifié pour un thread, alors ce dernier peut se lier à n’importe quel élément de la liste. Si cet attribut n’est pas renseigné, alors un thread peut se lier à n’importe quel processeur de la spécification.
– Memory : indique quels sont les composants de données qui sont susceptibles d’être liés au com-posant concerné. En cas de non-spécification, n’importe quel élément de données de la spécifica-tion est un bon candidat.
– Connection : contraint, via des composants matériels (bus, processeur), les connexions entre composants. Si un port possède une telle caractéristique, alors toutes les connexions passant par ce port sont contraintes (protocole, etc.).
– Subprogram Call : spécifie quelle instance de programme caractérise un accès à un sous-programme.
Outre ces attributs, se trouvent aussi
– Ceux permettant d’indiquer si des composants sont déployés et liés sur le même matériel (regrou-pement logique des composants) ;
– Ceux qui permettant de spécifier la qualité de service attendue par les connecteurs ;
– Ceux indiquant quelles politiques sont mises en œuvre (déclenchement pour les processeurs, mode de lecture pour la mémoire, ordonnancement des tâches) ;
– Ceux exprimant des limites, comme le nombre de threads maximal géré par un processeur, ainsi que les bornes des priorités qu’on peut leur attacher.
Type d’analyse Les attributs relatifs au déploiement peuvent être exploités de différentes façons pour l’analyse du système :
– Validation de l’adéquation des composants déployés par rapport au matériel sous-jacent (respect des contraintes exprimées) ;
– Validation de la sécurité du système : flots de communications dans le système ;
– Informations pour architecturer un modèle formel (interactions entre composants logiciels et com-posants de ressources, partagées ou non).
3.3.2 Attributs liés aux communication
Ils permettent de caractériser une communication qui a lieu entre différents composants. On y dis-tingue :
– Des politiques
◦ liées à l’émission de message (Fan Out Policy) : lorsqu’un message est envoyé, il peut être diffusé à tout le monde (broadcast), choisir un destinataire à tour de rôle (round robin), ou encore envoyer le message à la demande.
3.3. Eléments de langage : attributs
◦ liées à l’arrivée de nouveaux messages dans la file : en cas de file pleine
(Overflow Handling Protocol) : il permet de supprimer de la file soit le message le plus récent, soit le plus ancien, ou encore lève une erreur.
◦ liées à la paramétrisation de la connexion : taille de file (Queue Size), ou encore le type de transmission (push, pull).
– Des informations quant aux délais et aux taux d’envoi ou de réception de messages :
◦ d’émission (Output Rate, Input Rate) : nombre de messages envoyés ou reçus par se-conde (ou par déclenchement de thread) ; (Output Time, Input Time) : moment où les messages sont envoyés ou reçus (avant le calcul du thread, après, pendant, à la date d’échéance). ◦ de transmission (Transmission Time) : temps passé par le message dans le bus.
– Des attributs caractérisant la latence du système (d’un bout à l’autre du système, pour les flots de données).
Type d’analyse Ces attributs offrent la possibilité d’analyser les communications du système : sûreté des communications en termes de perte de message, de temps d’acheminement, respect des échéances. 3.3.3 Attributs relatifs aux composants de stockage ou de transfert
Ils permettent de dimensionner le système, en indiquant, pour les threads : – la taille du tas (Source Heap Size),
– la taille de la pile (Source Stack Size), – la taille des données (Source Data Size).
Sont classés comme tels les attributs caractérisant les accès physiques à ces composants :
– Permissions d’accès en lecture et/ou écriture en mémoire ou sur le bus (Acces Right) : lecture ou écriture seule, lecture et écriture, ou encore accès uniquement via des appels de méthodes spécifiques ;
– Temps d’accès physique à la mémoire en écriture (Write Time) ; – Adresses délimitant l’espace mémoire.
Type d’analyse Ces attributs permettent d’effectuer des analyses sur la sécurité des interactions entre composants, ainsi que sur le fait que les espaces mémoire prévus sont suffisants pour le système consi-déré (analyse des ressources)
3.3.4 Attributs de programmation
Ils offrent la possibilité de spécifier le comportement des threads sur la réception d’événements ex-térieurs, provoquant le déclenchement de leur exécution. Ce sont eux qui font le lien avec l’implantation des composants d’un système.
Il existe trois variations d’attributs autour d’un mot clef : il y aura, considérant un mot clef χ : → χ Entrypoint : spécifie l’appel vers un sous-programme, qui doit être visible et accessible
pour être appelé. Il est possible de préciser dans quel langage de programmation cette implantation a été réalisée.
→ χ Entrypoint Call Sequence : permet de nommer une séquence de sous-programme qui sera exécutée une fois le thread déclenché.
→ χ Entrypoint Source Text : permet de nommer un code source implantant le sous-programme ciblé.
Les mots-clefs concernés sont les suivants :
– Compute : concerne l’exécution d’un thread une fois son déclenchement effectué. S’il s’agit de l’attribut d’un port, alors il peut être dissocié de l’attribut similaire du thread possédant le port (déclenchement sur réception d’un événement par exemple).
– Deactivate : programmes susceptibles d’être exécutés lors de la dé-sélection du thread d’un mode en cours.
– Finalize : code exécuté par un thread lorsque celui-ci termine son exécution.
– Initialize : ensemble des codes désignés pour s’exécuter lors de l’initialisation d’un thread dans le système.
– Recover : code exécuté par le thread dans le cas où celui-ci passe en mode de gestion d’er-reur (recovery).
Type d’analyse Il est possible de faire des analyses sur le respect des interfaces, des paramètres, des invariants susceptibles d’être maintenus avant, pendant et après l’exécution d’un sous-programme. 3.3.5 Attributs liés aux threads
Ils ont vocation à spécifier des informations relatives aux composants actifs de la spécification : ils permettent de renseigner les politiques de déclenchement des threads, la concurrence, et le passage d’un mode AADL à un autre.
On y trouve :
– Les informations liées au déclenchement de threads : Dispatch Protocol (apériodique, sporadique, périodique, etc.), Dispatch Trigger (spécifie la liste des points d’entrées susceptibles de déclencher le thread sur la réception d’un message).
– Les informations d’ordonnancement : POSIX Scheduling Policy : indique si le système est ordonnancé avec une politique FIFO, RR (préemptif), ou autre. En complément, viennent les attributs Piority, Criticality, Urgency et Time Slot. Un attribut supplémentaire permet d’indiquer quelle politique appliquer pour l’exclusion mutuelle
(Concurrency Control Protocol).
– Les informations liées aux politiques de traitement des messages reçus : Dequeue Protocol (traite un, plusieurs ou tous les messages).
– Les informations liées à l’activation ou la désactivation d’un thread par rapport à un mode donné. Type d’analyse Ces informations permettent d’analyser le comportement de l’application, les bornes des files de messages (tous les messages sont-ils traités ?), ou encore l’ordonnancement du système. 3.3.6 Attributs temporels
La dernière catégorie d’attributs à présenter est celle des attributs spécifiant les temps d’exécutions liés aux composants comme les threads, les périphériques ou encore l’exécutif sous-jacent.
Il existe deux variations d’attributs autour d’un mot clef : soit un tel mot clef, χ ; alors il y aura → χ Deadline : délai maximal autorisé pour effectuer l’opération χ ;
→ χ Execution Time : temps estimé pour exécuter l’opération χ. Les mots-clef autour desquels ont lieu ces variations :
– Activate : délais associés à l’activation d’un thread pour un mode d’exécution ; – Compute : délais liés à l’exécution d’un thread une fois son déclenchement effectué ;
– Deactivate : programmes susceptibles d’être exécutés lors de la dé-sélection du thread d’un mode en cours ;
3.3. Eléments de langage : attributs
– Initialize : délai maximal pour effectuer de l’initialisation d’un thread dans le système ; – Recover : délai maximal entre la détection d’une erreur et le moment où le thread est en attente
de déclenchement ;
– Startup : concerne l’initialisation des éléments matériels (processeurs, bus). En sus, nous avons d’autres attributs :
– Ceux concernant le temps de chargement d’un thread dans le système ; – Period, qui donne le délai minimal entre deux déclenchements d’un thread ;
– Ceux qui concernent la notion de temps au sein de la plate-forme d’exécution : le Jitter de l’hor-loge matérielle, le temps pour l’exécutif d’effectuer un changement de contexte pour les processus, le temps mis pour effectuer un changement de contexte pour les threads d’un même processus, etc. Type d’analyse Ces attributs permettent d’effectuer de nombreuses analyses temporelles sur l’en-semble du système, voire même d’affiner des analyses comportementales en éliminant, à l’aide des contraintes qu’ils expriment, des comportements fautifs qui ne peuvent se produire du fait de l’ordon-nanceur mis en place, comme par exemple les politiques FIFO Within Priorites ou PCP qui interdisent les interblocages dans le cas où il n’y a qu’un seul processeur.
3.3.7 Synthèse
Nous avons présenté les différentes catégories d’attributs AADL dans l’optique de les classer afin d’en faciliter l’analyse formelle. Nous allons indiquer, pour chacun de ces ensembles d’attributs, s’ils contiennent des informations permettant de caractériser :
– des propriétés structurelles, – des propriétés qualitatives, – des propriétés quantitatives. Ceci est résumé dans le tableau 3.1.
Propriétés structurelles : elles sont liées à la structure du système, comme : – Les connexions et la cohérence entre les interfaces des composants du système ; – Les invariants à maintenir dans le système ;
– Fault-tree analysis (dépendance entre les composants quand l’un deux tombe en panne).
La plupart de ces propriétés doivent être établies très tôt dans le processus de développement, souvent à faible granularité. Elles peuvent être raffinées ou enrichies quand la conception du système évolue. Propriétés qualitatives : elles sont relatives au comportement du système, c’est-à-dire quant à son or-donnancement, la détection de famine, d’interblocage, ou encore les liens de causalité entre composants. Pour traiter de telles propriétés, le comportement du système doit être défini. Elles sont tradition-nellement décrites plus tard dans le processus de développement, quand les informations relatives au comportement des composants deviennent accessibles.
Si on passe trop rapidement de l’étape de spécification à celle d’implantation (par exemple, en passant d’un diagramme de classes UML au codage), alors il est plus difficile d’établir ces propriétés (cela est complexe à partir d’un langage de programmation). A noter que des travaux vont en ce sens [HJ04, Hol00, HS02, Hol07, EKP+05]
Propriétés quantitatives : elles sont utilisées pour évaluer les performances du système ou pour éva-luer son comportement selon des critères probabilistiques, ou de temps d’exécution. Pour établir ce type de propriétés, des informations sur les temps d’exécution sont requises.
❵ ❵ ❵ ❵ ❵ ❵ ❵ ❵ ❵ ❵ ❵ Attributs AADL
Impact Structurel Qualitatif Quantitatif
Déploiement × ×
Communication × × ×
Programmation × ×
Threads × × ×
Temps ×
TABLE3.1 – Impact des attributs AADL sur les propriétés d’analyse 3.3.8 Guide de lecture des éléments AADL en vue d’analyses
Nous avons étudié les deux types d’éléments présents dans une spécification AADL : les composants et leurs attributs.
Nous allons maintenant présenter, pour chacun de ces type d’éléments, un récapitulatif des informa-tions ou des facilités qu’ils apportent selon le type d’analyse visée.
Le tableau de la figure 3.2 le propose. Il présente deux niveaux de lecture.
Les colonnes catégorisent différents types d’analyses qu’il est possible d’effectuer sur un système. Les lignes sont divisées en deux catégories :
– Les attributs AADL : pour chaque élément AADL, le tableau indique sur quel type d’analyse la valeur de l’attribut aura un impact ;
– Les méthodes d’analyse : le tableau indique quels types d’analyses sont susceptibles d’être effec-tués avec chacune d’entre elles.
Cohér
ence
d’interfaces Invariants Système Fault-T
ree
Analysis Ordonnancement Viv
acité
Causalité Interblocages Analyse
de perf ormances Eléments AADL Déploiement × × × × Temps × × × Communication × × × Programmation × × × × Threads × × × × × × Méthodes d’analyse Simulation × Analyse sémantique × × × Vérification de type × Preuve de théorème × × × × × Model Checking... × × × × × ...temporel × ...stochastique ×
TABLE3.2 – Croisement des attributs et de leur impact en terme d’analyse Nous sommes maintenant en mesure de répondre aux questions suivantes :