Preuve de vivacit´e des syst`emes hybrides

8.2 Perspectives

8.2.4 Preuve de vivacit´e des syst`emes hybrides

Les analyses que nous avons pr´esent´ees dans cette th`ese permettent avant tout d’obtenir des invariants plus pr´ecis pour les valeurs du programme en consid´erant l’environnement physique avec lequel il interagit. Ceci permettrait donc d’am´eliorer les preuves de propri´et´es de sˆuret´e des pro-grammes embarqu´es (comme l’absence de RTE par exemple). Cependant, pour les propro-grammes embarqu´es, prouver ces propri´et´es ne nous semble pas ˆetre suffisant pour garantir le bon fonc-tionnement d’un syst`eme. Prenons en effet l’exemple des erreurs de calcul dues `a l’utilisation de nombre `a virgule flottante que calcule l’outil Fluctuat. Le lien entre l’erreur de calcul et le mau-vais fonctionnement du programme est peu ´evident : on peut tr`es bien imaginer des programmes dont l’erreur de calcul soit tr`es ´elev´ee mais tel que cette erreur ne gˆene pas le fonctionnement du programme. La notion de comportement que nous utilisons ici est une vue fonctionnelle du pro-gramme : on voit un propro-gramme comme une boˆıte noire dont le but est de contrˆoler les variables continues avec lesquelles il interagit. Dans cette optique, prouver des propri´et´es de sˆuret´e sur le programme est certes n´ecessaire mais ne constitue pas une fin en soi : ce qui compte n’est pas tant que le programme ne fasse pas d’erreurs mais qu’il contrˆole bien les variables qu’il est cens´e contrˆoler. Apr`es une premi`ere analyse des propri´et´es de sˆuret´e nous voulons donc mettre en place une analyse de propri´et´es de vivacit´e.

Les propri´et´es que nous souhaitons prouver sont des propri´et´es de la forme : si le programme re¸coit une valeurX (via les capteurs), alors avant un d´elait, l’actionneurmsera activ´e. Ce genre de propri´et´es se d´ecrit g´en´eralement par une formule de logique lin´eaire temporelle (linear temporal logic, ou LTL) et c’est souvent dans cette logique que sont exprim´ees les propri´et´es `a prouver pour la v´erification des automates hybrides [HM00]. Pour la v´erification des programmes, il faudra sˆurement utiliser une variante du µ-calcul [Koz83] comme dans [CC00] et [Mas02]. D´etaillons pour finir la propri´et´e principale que nous aimerions pouvoir prouver. On voit un programme embarqu´e comme une boˆıte noire et on ne s’int´eresse qu’aux transitions entre cette boˆıte noire et l’environnement ext´erieur. On peut donc voir l’ex´ecution du programme dans son environnement comme une suite d’actions (capteurs et actionneurs) effectu´ees `a des temps d´etermin´es. Selon que le programme utilise des nombres r´eels ou des nombres flottants, cette suite d’actions peut ˆetre l´eg`erement modifi´ee (voir figure 8.1). Nous voulons alors montrer que malgr´e les erreurs de calcul flottant, les deux suites sont suffisamment proches, c’est-`a-dire qu’il existe un tempsτ tel que, si le programme ex´ecut´e avec des nombres r´eels effectue une action `a un instant t, alors le mˆeme programme ex´ecut´e avec des nombres `a virgule flottante effectuera la mˆeme action `a un instant t ∈[t−τ, t+τ]. On cherche donc une sorte de bisimulation faible approch´ee entre le programme utilisant des nombres r´eels et le programme utilisant des nombres `a virgule flottante : peu importe si leur fonctionnement interne est tr`es diff´erent, on ne peut pasobserver de diff´erences notables entre les deux.

Programme en arithm´etique r´eelle


Programme en arithm´etique flottante

t Mod`ele


Mod`ele continu

Fig.8.1 – Crit`ere de sˆuret´e sur les programmes embarqu´es. `A chaque action qu’effectuerait le pro-gramme en utilisant des nombres r´eels doit correspondre une action effectu´ee par le propro-gramme avec des nombres `a virgule flottante `a un temps proche. Les fl`eches rouges correspondent aux donn´ees transmises par les capteurs, les fl`eches bleues sont les commandes envoy´ees par les action-neurs. Dans cet exemple, le programme n’est pas sˆur car la troisi`eme action n’est pas ex´ecut´ee en arithm´etique flottante alors qu’elle aurait due l’ˆetre.


