Les langages multi formalismes : OZS

L’un de nos objectifs est la spécification et la vérification de systèmes multi-agents ré-actifs (SMAR). Ce type de système présente des aspects aussi bien structuraux que compor-tementaux qui peuvent être assez complexes. D’autre part, les systèmes multi-agents étant des systèmes essentiellement évolutifs, les modèles du comportement revêtent un intérêt primordial. Les formalismes que nous avons présentés jusqu’à maintenant ne prennent en charge que l’aspect structurel, au sens de la structure de données, et l’aspect fonctionnel. Ils font l’impasse sur l’aspect comportement. Dans cette section nous allons présenter un formalisme de spécification où chacun des domaines, structurel et comportemental, occupe la place qui lui est propre. Ce formalisme, appelé OZS , résulte de l’intégration syntaxique et sémantique des statecharts et de Object − Z [Gruer et al., 2004].

Pour OZS, l’intégration syntaxique se fait par la présence d’un schéma de comporte-ment appelé Behavior, qui a accès aux variables de la classe. L’intégration sémantique se fait par adoption d’un domaine sémantique commun ou unique, les systèmes de transitions.

Pour illustrer les principales caractéristiques syntaxiques de OZS considérons un exemple. La classe Counters ci-dessous.

Counters

nb x, nb y : N [variables]

up, down, x , y : Event 0 ≤ nb x ≤ 32 nb y ≤ nb x INIT x = 0 [initialisations] nb y = 0 4http://www.event-b.org/

IncX ∆(nb x ) [une opération] inc? : N nb x + data? ≤ 32 nb x′ = nb x + data? IncY ∆(nb y) [une opération] inc? : N nb y + data? ≤ nb x nb y^′ = nb y + data? DecX ∆(nb x ) [une opération] inc? : N nb x − data? ≥ nb y nb x′ = nb x − data? DecY ∆(nb y) [une opération] inc? : N nb y − data? ≥ 0 nb y^′ = nb y − data? Behavior INCREASE DECREASE up down x / IncX y / IncY x / DecX y / DecY

Cette classe contient deux variables, nb x et nb y, dont la valeur est contrainte par un invariant : (0 ≤ nb x ≤ 32) ∧ (nb y ≤ nb x). L’événement x déclenche un changement de valeur de la variable nb x et l’événement y déclenche un changement de valeur de la variable nb y. Ce changement de valeur est soit un incrément (fonctions IncX et IncY ), soit un décrément (fonctions DecX et DecY ), suivant l’état actif du statechart Behavior (INCREASE ou DECREASE ). La valeur de l’incrément/décrément est donnée par la va-riable d’entrée inc?. L’évènement up instaure l’état INCREASE et l’événement down instaure l’état DECREASE .

7.4 Conclusion 97

Le formalisme OZS ne possède pas d’outil de vérification associé. Les vérifications peuvent se faire par l’intermédiaire de l’entité sémantique associé à tout modèle OZS : un système de transitions. De nombreux outils de vérification, basés principalement sur le model-checking, ont été proposés qui opèrent sur des modèles de type système de transi-tions. En particulier, nous nous sommes intéressés à la boîte à outils SAL, que nous pré-sentons par la suite. SAL inclut un langage pour l’écriture de modèles de type système de transition. La sémantique d’OZS, à quelques détails près, permet de traduire facilement un modèle OZS vers un système de transitions SAL.

7.4 Conclusion

Les SMAR apparaissent comme une approche prometteuse pour des applications réac-tives présentant un caractère naturellement distribué. De telles applications comportent au moins deux caractéristiques :

– les aspects comportementaux sont très importants car ils spécifient une dynamique d’évolution conduisant à l’émergence des résultats espérés.

– lorsque l’application inclut des agents matériels situés dans un environnement phy-sique, elle peut être soumise à la satisfaction de propriétés de sureté de fonctionne-ment.

L’acceptation des approches SMAR dans de telles classes d’applications passe par un objectif : l’adoption de méthodes formelles adaptées et la disponibilité d’outils appropriés de vérification de propriétés de sûreté. Nous allons adopter ici ce critère de sélection, pour justifier le bien fondé du choix que nous avons fait : l’adoption de OZS en tant que for-malisme de spécification et de modélisation et de SAL en tant qu’outil de vérification. Revenons donc sur les langages formels présentés ci-avant et considérons-les à la lumière de l’attention qu’ils accordent aux aspects comportementaux. D’autres aspects secondaires pourront renforcer le choix que nous avons fait.

Z et Object-Z : Malgré la place faite à la logique, aucun environnement d’aide à la preuve pour Z ou Object − Z n’est arrivé à une maturité considérable. Ce manque est l’une des raisons pour lesquelles nous n’avons adopté ni Z ni Object − Z , tel que, comme lan-gage formel. L’autre raison, peut être la plus importante, est l’absence où l’insuffisance des moyens de représentation des aspects comportementaux. La présence d’un invariant tem-porel dans une classe Object − Z apparaît comme un moyen peu adapté pour l’expression de ces aspects, particulièrement dans une perspective de conception et de mise en œuvré.

La méthode B : La maturité technique de ce langage/méthode et des outils associés, les placent parmi les plus aptes a-priori dans la perspective d’une approche formelle pour nos travaux. D’autant plus que la preuve de propriétés de sûreté se fait en B de façon naturelle, par technique inductive de preuve des invariants. Cependant, après quelques expériences d’utilisation, nous avons abandonné cette voie, pour les raisons que nous indiquons main-tenant. Comme nous l’avons signalé, le langage B ne possède pas en forme native, une représentation ou formalisation des nombres réels. Dès lors, elle peut être appliquée à la modélisation de systèmes qui incluent des variables de ce type, au prix d’une discrétisation des dites variables et une simplification des modèles. Dans ces conditions, la confiance que l’on puisse attribuer aux résultats de la vérification est en relation inverse avec la distance entre le modèle et la réalité. Une autre raison, mais secondaire, a été la haute technicité de la preuve des invariants, en particulier du prouveur interactif. Les connaissances requises pour de telles interventions peuvent sans doute être acquises, mais nous avons préféré investir nos efforts de réflexion autour de la vérification avec OZS comme langage de spécification et SAL comme outil de vérification et dans une autre problématique, qui est celle de la vérifi-cation compositionnelle.

OZS et SAL: L’outillage formel que nous avons adopté est celui constitué du langage bi-formalisme OZS et de SAL (cf. chapitre 8.3). Nous avons ainsi combiné les facilités de OZS en tant que langage pour la construction des spécifications formelles, avec le richesse de la boîte à outils SAL en termes de model-checkers. SAL inclut lui même un langage orienté vers les systèmes de transition, nous avons préféré conserver OZS parce qu’il pro-duit des modèles plus lisibles et qu’il s’adapte bien à la démarche que nous avons adoptée, qui sera décrite au chapitre 8. D’autre part, la traduction d’OZS vers SAL ne présente pas, comme nous l’avons dit plus haut, de difficulté majeure. SAL contient un model-checker qui est capable de traiter des modèles qui contiennent des variables réelles. D’autre part, ce model-checker, comme nous le verrons, propose des options de fonctionnement qui fa-cilitent la mise en pratique de la procédure de vérification compositionnelle que nous pro-posons. En particulier, la possibilité d’exécuter le model-checking en lui fournissant une hypothèse complémentaire qui encadre l’exploration de l’espace d’état est, comme il sera expliqué par la suite, une caractéristique essentielle pour notre approche de vérification.

CHAPITRE 8