Figure 5.21 – Caract´erisation en fr´equence du moniteur A 1

On voit que le Synchro qdi f permet grˆace au g´en´erateur de jetons de gagner un peu

de temps sur la r´esolution des quatre phases du protocole poign´ee de main. En effet, pour

des tensions d’alimentation sup´erieures `a 0,7V leSynchro qdi fpermet de d´ecoupler l’´etat

des sorties du synchroniseur de l’´etat des sorties du SYNC. Comme l’´etat des sorties du

SYNC d´epend de Clk mgt, cela permet de d´ecoupler l’´etat des sorties du synchroniseur

de l’´etat de Clk mgt. En cons´equence, l’acquittement des sorties des synchroniseurs peut

avoir lieu avant que Clk mgt ne soit pass´e dans l’´etat bas et le temps de n´ecessaire `a la

r´esolution du protocole quatre phases est diminu´e. Cette diminution de temps de cycle

permet d’augmenter la fr´equence `a partir de laquelle l’horloge est ´etir´ee. Pour des tensions

inf´erieures, cela n’est plus int´eressant car les d´elais dans les connexions et les portes sont

si importants que le temps n´ecessaire `a la r´esolution des quatre phases du protocole n’est

plus influenc´e par le couplage de l’´etat des sorties du synchroniseur avec Clk mgt.

5.5 Conclusion sur la robustesse des moniteurs

asyn-chrones

On vient de montrer qu’il ´etait possible de garantir l’insensibilit´e aux d´elais, et donc la

robustesse, de nos moniteurs asynchrones. Toutefois, afin de garantir la quasi-insensibilit´e

aux d´elais, il est indispensable de supprimer la contrainte temporelle issue du domaine

synchrone. Cette contrainte d´epend de l’horloge et il est donc n´ecessaire de contrˆoler

l’horloge. La solution de ”clock stretching” permet ce contrˆole de l’horloge uniquement

dans le cas o`u le calcul du moniteur n’est pas termin´e, dans les autres cas l’horloge n’est

pas modifi´ee. Cette solution pr´esente l’avantage d’agir uniquement sur l’horloge du circuit

`a v´erifier et non pas sur le circuit lui mˆeme.

Chapitre

6

Conclusion

Sommaire

6.1 Bilan . . . 120

6.1.1 Impl´ementation de moniteurs asynchrones . . . . 120

6.1.2 Le ”clock stretching” . . . . 120

6.2 Perspectives . . . 121

6.2.1 Am´elioration de la robustesse d’un circuit synchrone grˆace `a

l’utilisation d’un moniteur asynchrone . . . . 121

6.2.2 Moniteurs asynchrones v´erifiant des circuits asynchrones . . . . 121

6.2.3 Synchronisation entre un domaine synchrone et un domaine

asyn-chrone . . . . 122

6.1 Bilan

L’ABV se d´emocratise et est aujourd’hui support´ee par de plus en plus de simulateurs

industriels. Une partie des recherches touchant au domaine de l’ABV se concentre sur la

possibilit´e de v´erifier des propri´et´es sur un circuit en fonctionnement, embarqu´e dans un

FPGA ou sur Silicium. Des travaux ont montr´e qu’il ´etait possible d’obtenir de petits

circuits mat´eriels, les moniteurs, qui assurent cette tˆache. Les moniteurs pr´esentent un

int´erˆet dans la surveillance de circuits en fonctionnement et utiliser ces moniteurs pour la

v´erification de circuits critiques embarqu´es semble ˆetre une id´ee `a d´evelopper. Toutefois,si

les moniteurs utilisent la mˆeme technologie que le circuit critique `a v´erifier, il est impossible

de garantir la robustesse de ces derniers et donc la bonne v´erification du circuit critique.

6.1.1 Impl´ementation de moniteurs asynchrones

Bas´ee sur la m´ethode de g´en´eration des moniteurs synchrones de la plateforme

Ho-rus (une biblioth`eque de moniteurs primitifs et une m´ethode d’interconnexion),

l’impl´e-mentation des moniteurs asynchrones permet de v´erifier des propri´et´es PSL sur des circuits

synchrones en fonctionnement. La plateforme Horus permet de transformer

instantan´e-ment une propri´et´e PSL en un circuit asynchrone grˆace `a la m´ethode d’interconnexion des

moniteurs primitifs asynchrones.

Afin d’adapter la m´ethode initiale aux moniteurs asynchrones, il a fallu r´e-impl´ementer

en asynchrone tous les moniteurs primitifs et modifier les signaux d’entr´ee sortie de ces

derniers. On dispose d´esormais d’une biblioth`eque de moniteurs asynchrones primitifs.

Cette biblioth`eque est construite sur des mod`eles g´en´eriques de moniteurs primitifs

asyn-chrones. La s´emantique de l’op´erateur PSL permet de choisir quel mod`ele g´en´erique de

moniteur primitif asynchrone doit ˆetre utilis´e pour obtenir le moniteur corrrespondant `a

l’op´erateur.

Les moniteurs asynchrones ont ´et´e caract´eris´es par rapport `a leurs ´equivalents synchrones

et, bien qu’ils soient plus importants en taille `a cause de la n´ecessite d’impl´ementer le

pro-tocole quatre phases, leur croissance reste lin´eaire avec la complexit´e de la propri´et´e et

leur synth`ese est rapide et facile. De plus, `a notre connaissance, aucun travail ext´erieur

au laboratoire ne pr´esente de solution permettant la v´erification de propri´et´es PSL sur un

circuit synchrone en fonctionnement `a l’aide d’un moniteur mat´eriel asynchrone.

Pour observer les signaux du circuit `a v´erifier aux bons instants, une synchronisation

des domaines synchrone et asynchrone est n´ecessaire. Elle est r´ealis´ee par un synchroniseur.

Le principal obstacle `a la r´ealisation de moniteurs asynchrones robustes a pu ˆetre mis en

´evidence grˆace `a une ´etape de preuve de ce synchroniseur. Comme l’on souhaite v´erifier

`a l’aide des moniteurs asynchrones la validit´e de propri´et´e PSL `a chaque front montant

d’horloge du circuit `a v´erifier, il faut que le moniteur calcule son r´esultat en moins d’une

p´eriode d’horloge sans quoi on ne peut pas ´evaluer les op´erandes au cycle suivant.

Dans le but de supprimer la propagation des hypoth`eses temporelles du domaine

syn-chrone vers le domaine asynsyn-chrone, une technique a ´et´e d´evelopp´ee : le ”clock stretching”.

6.1.2 Le ”clock stretching”

Le ”clock stretching”´etire l’horloge lorsqu’un moniteur asynchrone n´ecessite plus qu’un

cycle d’horloge pour calculer le r´esultat de l’´evaluation d’une propri´et´e PSL. On ne modifie

pas le circuit `a v´erifier mais uniquement son horloge. La mise en place de cette solution

a donn´e lieu `a la cr´eation d’un bloc, le Clk manager qui peut ˆetre utilis´e pour r´esoudre

d’autres probl`emes de synchronisation entre domaine synchrone et asynchrone.

La solution a ´et´e valid´ee grˆace, d’une part, `a des simulations num´eriques et analogiques,

mais surtout grˆace `a une ´etape de preuve formelle. Cette solution permet de garantir

les propri´et´es QDI de nos moniteurs lorsque qu’ils sont utilis´es pour v´erifier un circuit

synchrone. De cette fa¸con on garantit la robustesse de nos moniteurs.

Un d´epˆot de brevet est `a l’´etude pour le Clk manager et des ´etudes plus pouss´ees sur

l’int´erˆet du ”clock stretching” dans l’am´elioration de la surveillance et la robustesse des

circuits critiques synchrones sont `a envisager.

6.2 Perspectives

6.2.1 Am´elioration de la robustesse d’un circuit synchrone grˆace

`