Modèles formels pour AADL

Le langage AADL est riche par ses concepts architecturaux pour spécifier un système temps réels, par contre, sa sémantique n’est pas formellement définie. Plusieurs tentatives de recherche sont apparues dans la littérature pour pallier à ce manque. Dans ce langage, la description des comportements d’un système se limite à la déclaration des modes opérationnels et des propriétés. La spécification des transitions possibles entre les modes est déclenchée par réception d’événements. La spécification des propriétés décrit les conditions d’exécution des composants où elles sont déclarées.

Ainsi, le langage AADL se focalise sur les aspects architecturaux : il permet la description des dimensions des composants et leurs connexions, mais ne traite pas directement leur implantation comportementale, ni la sémantique des données manipulées. Ceci nécessite une étape d’évaluation des comportements possibles d'un système au plus tôt pour augmenter sa fiabilité, d’où le besoin d’adopter des techniques d’analyse formelle pour le comportement des composants AADL et leurs interactions.

L’émergence du langage AADL en tant que standard, durant la dernière décennie, a attiré l’attention de plusieurs équipes de recherche. Plusieurs chercheurs

se sont penchés sur la question de l’analyse formelle du comportement dans AADL.

Dans l’état de l’art, nous avons recensé un bon nombre de travaux publiés sur l’application des approches formelles à la description architecturale AADL, mais aucune étude n’a tenté d’effectuer une comparaison ou une classification de ces approches.

Pour parvenir à situer notre approche de formalisation parmi les recherches actuellement publiés, une étude comparative de ces différentes approches s’est imposée. Un effort considérable à été déployé dans le but de définir une classification des approches de formalisation des descriptions AADL. Très peu sont les publications qui contiennent une section « travaux connexes », mais dans la plupart des cas, cette section est très réduite. Cependant, plusieurs de ces publications ont été particulièrement utiles dans l’organisation de notre classification. Nous avons ainsi dégagé quatre classes de modèles formels utilisés autour de AADL. Ceux à base des systèmes de transition et de réseaux de Petri temporisés (TPN). D’autres se basent sur les machines à états abstraits (TASM) et d’autres utilisant les algèbres de processus telle que ACSR. Certains de ces travaux évitent l’utilisation directe de ces formalismes qui s’avèrent difficiles à manier et font référence à des outils de transformation du modèle AADL en un langage intermédiaire. La classification que nous proposons dans le tableau 4.1 est principalement basée sur le type de formalisme utilisé mais elle peut être influencée par l’objectif même de la formalisation, les éléments AADL spécifiés, le langage intermédiaire adopté en cas d’une transformation, le type d’analyse entrepris et les outils utilisés.

4.2.1 Modèles à base de Système de Transition Etiqueté (LTS)

Les systèmes de transitions étiquetées (LTS : Labelled Transition System) ont été à la l’origine de plusieurs travaux de formalisation du langage AADL dans la littérature. Tous ces travaux adoptent une transformation vers un langage intermédiaire plus adapté à l’analyse formelle dans le but de pouvoir utiliser des outils d’analyse et de vérification existants.

Les auteurs de [BBC⁺09] (1^ère ligne du tableau 4.1) utilisent le langage intermédiaire FIACRE pour représenter le comportement et les aspects de synchronisation des systèmes. FIACRE (Format Intermédiaire pour les Architectures de Composants Répartis Embarqués) [BPB⁺08] est un langage intermédiaire formel basé sur les systèmes de transitions temporisés (TTS). Il a été développé pour factoriser les transformations entre les langages de modélisation comme AADL, SDL et UML, et les dialectes des outils de vérification comme TINA (Time petri Net Analyser) [BRV04] et CADP [GML+07]. Le langage Fiacre est aussi intégré dans l’environnement TOPCASED. En particulier, l’outil de vérification TINA, intégré à FIACRE, a permis aux auteurs d’entreprendre l’analyse Model-checking des descriptions temporisées.

La transformation d’un modèle AADL, adopté par les auteurs de [ACD⁺08], utilise le langage intermédiaire IF (2^ième ligne du tableau de classification) pour produire un modèle d’automate temporisé. IF est un langage d’implantation intermédiaire des modèles, dont la sémantique opérationnelle est exprimée en termes de systèmes de transitions étiquetés en vue d’effectuer des vérifications formelles de propriétés. Le but de cette transformation est de pouvoir intégrer un processus d’analyse d’accessibilité et d’interblocage en exploitant le simulateur de modèles IF. Ce dernier permet de générer un graphe d’accessibilité représentant l’ensemble de toutes les actions possibles du modèle.

Une autre méthodologie de translation de plusieurs constructions du langage AADL (tels que les threads, les processus et les processeurs), ainsi que la spécification même de l’annexe de comportement, dans le langage intermédiaire BIP [CRB⁺08], a aussi utilisé les systèmes de transitions comme base sémantique. BIP (Behavior Interaction Priority), étant un langage formel développé par [Sif05] qui a une sémantique opérationnelle formelle définie en termes de systèmes de transitions étiquetées. L’outil développé autour de BIP fournit un atelier de développement logiciel basé sur une théorie de composition incrémentale de composants hétérogènes, ainsi que la génération de code. La translation en BIP a permis la simulation des

systèmes décrits en AADL [CRB⁺08] ainsi que la détection de l’inter-blocage basé composant [PBF09].

4.2.2 Modèles à base de Réseaux de Petri Temporisés (TPN)

Plusieurs autres travaux, dans la littérature, tentent de formaliser la description architecturale AADL tout en la transformant à d’autres langages possédant une sémantique formelle et plus adaptés aux outils de simulation et de vérification existants. Cette transformation peut être vue comme une base pour établir une sémantique formelle pour les modèles d’exécution AADL et exécuter la vérification des modèles AADL. Nous recensons dans cette classe de formalisation deux types de travaux. Les premiers utilisent une transformation de VTS (Visual Timed event Scenarios) aux réseaux de Petri temporisés (TPN) proposée dans [MOY⁺08]. VTS [ABK⁺04], est un langage visuel pour définir des propriétés complexes sur l’occurrence d’événements dans le temps, comme la réponse bornée, la corrélation d’événements, etc. Le formalisme sous-jacent est basé sur des ordres partiels. Dans le cas de AADL, la description VTS concerne des scénarios modélisant les interactions entre composants AADL, par exemple, l’envoi ou la réception d’un message, une interaction sur un changement interne d’état. Cette transformation permet la vérification des propriétés décrites en VTS avec des outils de model-checking basés sur les réseaux de Petri temporisés TPN tels que la sûreté et la vivacité.

Parallèlement à ce premier type de travaux, les auteurs dans [RKH09a] et [RKH09b] proposent une approche globale pour la construction des modèles de RdP à partir d’une architecture décrite en utilisant AADL. Il s’agit, dans ce cas, d’une transformation directe des spécifications AADL vers les notations des réseaux de Petri. Le but de cette transformation est d’élaborer une abstraction mathématique appropriée pour vérifier des propriétés comme l’absence d’inter-blocage (deadlock) ou les conditions de sécurité, tout en profitant pleinement des outils et techniques d’analyse spécifiques comme l’outil de vérification TINA.

Tableau 4.1 : Classification des approches de formalisation d’une description architecturale AADL Modèle Formel

de Base

Eléments AADL

Spécifiés ^{Langage Utilisé Type d’Analyse Outil} TTS (Système de

Transition Temporisé X FIACRE ^{Model-Checking TINA, CADP}

Système de Transition

Etiqueté X IF ^{Accessibilité,} _Interblocage ^{Simulateur IF}

Système de Transition Etiqueté

Thread, Processus,

Processeurs ^{BIP Interblocage Aldebaran Toolset}

TPN (Ordres Partiels) Interactions ^VTS Accessibilité, Interblocage Outils Model Checking pour TPN