Probl´ematique et contributions

A l’inverse du B classique, une spécification B événementiel n’est pas directement

implan-table, car elle est décrite par des événements qui se déclenchent spontanément et que le choix du

déclenchement peut être non-déterministe. Par contre, le raffinement d’une spécification B

évé-nementiel permet de raffiner non seulement la représentation de ses données et ses algorithmes,

comme en B classique, mais aussi son contrôle. Raffiner le contrôle consiste à modifier l’ensemble

des comportements (des traces d’ex´ecution) possibles du syst`eme. Pour ce faire, il est possible de

renforcer les gardes des événements ou d’introduire de nouveaux événements. Cependant, pour

que cette modification pr´eserve la notion de raffinement, il est n´ecessaire que l’ensemble des traces

d’exécution du raffinement soit inclus, modulo les nouveaux événements, dans l’ensemble des traces

d’ex´ecution de l’abstraction. L. Lamport [Lam94b] propose l’exemple d’une horloge donnant l’heure

et les minutes qui peut ˆetre affin´ee pour donner aussi les secondes.

1.4 Probl´ematique et contributions

1.4.1 Probl´ematique

Comme nous l’avons vu, l’un des principaux verrous technologiques des d´eveloppements logiciels

en général, mais que l’on retrouve dans l’utilisation des méthodes formelles, est la vérification de

la conformité d’un modèle par rapport à un cahier des charges. C’est pourquoi, nous proposons de

1.4. Probl´ematique et contributions

faciliter cette vérification, en mettant en évidence un autre aspect du modèle, complémentaire à sa

description en langage B: ses comportements.

Terminologie. Dans cette th`ese, nous avons choisi d’appeler lescomportementsd’un mod`ele, l’ensemble

de ses traces d’exécution ; c’est-à-dire l’ensemble des séquences d’événements ou d’opérations qu’il autorise.











Seq

=

ôc1 ôc2 ôc3 ôc4 ôc5 ôcn

Seq

=

ôc’1 ôc’2 ôc’3 ôc’4 ôc’5 ôc’m

. . .

L’idée est d’aider le spécifieur en lui fournissant un autre point de vue sur son modèle. De plus,

en utilisant un formalisme plus accessible aux non informaticiens, nous voulons donner la possibilit´e

au client de vérifier lui même les principales propriétés du système. Enfin, nous proposons de prendre

en compte le processus de raffinement B´ev´enementiel, qui permet de raffiner les comportements.

L’approche proposée (figure1.4) consiste à calculer une représentation de l’ensemble des

compor-tements d’un modèleBconstruit par raffinement. Cette approche a pour but l’aide à la compréhension

du pas entre le formel et l’informel. Les descriptions ainsi produites peuvent donc ˆetre utilis´ees pour

documenter ou pr´esenter le mod`ele.

Intégration par raffinement du cahier des charges des différents aspects

Cahier des charges

Exigences fonctionnelles Propriétés Spécification formelle Système raffiné automatique Génération Documentation Représentations graphiques Confrontation pour validation présentation Support de ère 1 modélisation

Fig. 1.4 – Int´egration de notre approche dans le processus de d´eveloppement

Un développement B événementiel commence généralement par la réalisation d’un diagramme

informel décrivant les comportements attendus du système. Cela permet de structurer la réflexion

pour formaliser les besoins et choisir les données à intégrer dans chaque niveau de description. Ce

diagramme informel peut ensuite être ajouté au cahier des charges s’il est validé par le client. Il est

alors intéressant de pouvoir comparer cette ébauche des comportements prévus du système avec

une représentation de ceux réellement décrits. Nous nous intéressons donc aussi à la vérification de

propriétés de sécurité.

– construire et repr´esenter graphiquement les comportements d’une sp´ecification B;

– mettre en évidence le processus de raffinement dans les représentations d’un modèle ;

– exploiter la représentation comportementale d’un modèle pour le vérifier par rapport à une

propri´et´e.

Nous d´etaillons successivement chacun de ces points dans les trois sections suivantes.

1.4.2 Complémentarité des vues : orientées données / comportements

Un modèleBévénementiel est décrit en termes de ses données, dans le sens où chaque événement

est défini par une condition de déclenchement portant sur les valeurs des données et par une action

modifiant ces données. Cependant, la sémantique d’un système B événementiel est définie par

l’ensemble de ses comportements.

Bien que cette information des enchaˆınements possibles des ´ev´enements soit sous-jacente dans

tout système Bévénementiel, elle n’y est pas explicitement décrite. On n’écrit pas, par exemple,

qu’₍₍après l’événement oc

₁

, l’´ev´enement oc

₂

se d´eclenche₎₎. Classiquement, on oppose les

descrip-tions basées sur les données aux descripdescrip-tions comportementales (basées sur les événements). Les

premières décrivent finement l’action effectuée par chaque événement sur les données, tandis que

les secondes permettent de mettre en ´evidence des comportements. Les deux styles de description

sont complémentaires, car ils donnent deux points de vue différents d’une même spécification.

Par exemple, les deux descriptions suivantes sont ´equivalentes et sp´ecifient toutes deux que

l’action S

₁

est suivie de l’action S

₂

. Dans une description orient´ee comportement (Cas B.) on se

contente de dire queS

₁

est suivi deS

₂

, tandis que, dans une description orient´ee donn´ees (Cas A.),

on codele comportement à travers une variable de contrôleC, qui permet de forcer l’exécution de

l’action S

₂

apr`es l’ex´ecution deS

₁

.

Initialisation :C:= 1

ev

₁

=ˆ C= 1=⇒(S

₁

||C:= 2) S

₁

; S

₂

; S

₁

; S

₂

; . . .

ev

₂

=ˆ C= 2=⇒(S

₂

||C:= 1)

A. Description orient´ee donn´ees B.Description comportementale

(Le contrôle est codé dansC) (Le contrôle est explicite)

Intuitivement, la description orientée données est plus expressive. Elle est également intéressante

pour la preuve de propriétés de sûreté, puisque l’on est amené à décrire, par des assertions, l’état du

système entre deux occurrences d’événements. Cette information permet alors de décomposer les

obligations de preuve, puisque l’on ne s’intéresse plus à la correction d’un enchaˆınement mais à celle

de chacune des actions qui le composent. `A l’inverse, la description comportementale permet de

s’abstraire du codage (compliqué) du contrôle dans les événements. Ce second type de formalisme

est donc mieux adapté à la vérification de propriétés dynamiques.

Le langageBest un formalisme de description orient´e donn´ees. Dans notre approche, nous

pro-posons donc une m´ethode permettant de construire une description comportementale d’un syst`eme

décrit enB. Pour ce faire, nous proposons également un formalisme graphique de représentation. Il

1.4. Probl´ematique et contributions

existe de nombreux langages permettant de d´ecrire les comportements d’un syst`eme (CSP[Hoa78],

µ-calcul [Par74], etc.) ; il semble toutefois que les automates symboliques soient l’une des

alterna-tives les mieux adaptées à notre objectif d’aide à la compréhension [Liv78]. En effet, ce formalisme

graphique est universel et exhibe de manière intuitive les enchaˆınements d’événements qui peuvent

survenir.

1.4.3 Visualiser le lien entre deux niveaux de description

Quelques travaux [BL07,LT05,IL06] (pour ne citer qu’eux) portent déjà sur l’aide à la compréhension

de modèles Bet à la validation de spécifications abstraites par rapport au cahier des charges.

Ce-pendant, aucun d’entre eux ne prend vraiment en compte le processus de raffinement.

En effet, un raffinement est une description à part entière d’un système à laquelle ont été

rajoutées des informations permettant de faire le lien avec les données et les événements de son

abstraction. Ce lien permet de tracer les données et leurs propriétés à travers le processus de

raffinement et donc de casser la complexit´e des v´erifications. C’est pourquoi, nous proposons de

faire apparaˆıtre ce lien sur nos représentations. En utilisant des états hiérarchiques (figure1.5), nous

associons chaque niveau de hi´erarchie aux donn´ees d’un niveau de raffinement. De plus, comme nous

le verrons, cette approche hiérarchique conserve la structure générale du système de transitions

abstrait. Il s’ensuit qu’il est possible de comparer les syst`emes de transitions et donc de r´eutiliser

les efforts de compr´ehension faits pour les niveaux les plus abstraits.

Par exemple, consid´erons deux descriptions d’une carte de paiement (figure 1.5) o`u l’on se

focalise sur l’authentification par saisie du code PIN. Nous proposons d’observer 3 ´ev´enements :

EssaiPIN qui mod´elise la saisie d’un code PIN (qui peut ˆetre correct ou incorrect), Bloquer qui

correspond `a la saisie d’un code PIN faux entraˆınant un blocage de la carte (plus d’essai autoris´e)

etDébloquer qui permet de réactiver la carte en laissant à nouveau la possibilité de saisir un code

PIN. Dans la première description (figure 1.5.A), nous ne modélisons qu’une unique variableétat

´etat∈ {Bloqu´ee, Active} NbPIN∈0..M ax

Débloquer EssaiPIN état=Active état=Bloquée Bloquer NbPIN=1 EssaiPIN EssaiPIN EssaiPIN EssaiPIN NbPIN=0 Débloquer EssaiPIN état=Bloquée état=Active Bloquer NbPIN=Max EssaiPIN ∈ NbPIN 2..Max−1

A. Abstraction B.Raffinement

Fig. 1.5 – Automate hi´erarchique repr´esentant les comportements d’une carte de paiement

qui peut avoir deux états (Bloquée ouActive). Seuls les événements Bloquée etDébloquer peuvent

alors changer le système d’état. Dans la seconde description (figure1.5.B), on ne s’intéresse plus à la

variableétat, mais àNbPIN, qui caractérise le nombre restant d’erreurs de saisie du code PIN avant

blocage de la carte. L’´ev´enement EssaiPIN permet alors de remettre le compteur au maximum, si

le code est correct, ou sinon de décrémenter le compteur. Si le compteur était à 1 et que le code

est incorrect, alors c’est l’événement Bloquer qui est déclenché. Cette seconde description est un

raffinement de la premi`ere, car elle contient plus d’informations. La formule suivante permet de

relier les variables´etat etNbPIN :

(NbPIN= 0⇔état=Bloquée) ∧ (NbPIN>0⇔état=Active)

C’est ce lien, appel´e invariant de liaison, que l’on veut expliciter sur nos automates en exploitant la

hiérarchie des états. Cet invariant entre les données abstraites et raffinées peut ensuite être retrouvé

dans le graphe. Il est ainsi possible de retrouver sur le syst`eme de transitions les associations

suivantes, qui sont équivalentes à l’invariant de liaison donné plus haut :

(´etat=Active) ⇔ (NbPIN= 1 ∨ NbPIN∈2..Max−1 ∨ NbPIN=Max)

(´etat=Bloqu´ee) ⇔ (NbPIN=0)

Enfin, certaines propriétés peuvent être préservées par raffinement. Par exemple, sur la

des-cription propos´ee en figure 1.5.A il n’est pas possible de saisir un code PIN si la carte est bloqu´ee.

Cette propriété est préservée dans le raffinement, comme on peut le voir sur la figure1.5.B. Cette

préservation est visible, car, grâce aux contraintes de la représentation hiérarchique proposée, la

structure globale de la figure1.5.A et conserv´ee dans la figure1.5.B.

1.4.4 Appliquer la méthode à la vérification de propriétés

Nous proposons trois techniques de vérification de propriétés qui se basent sur la représentation

des comportements d’un modèleB. La première possibilité est une aide à la preuve d’invariant et

consiste à vérifier que l’ensemble des états atteignables vérifient l’invariant.

Une seconde proposition se base sur le fait qu’une propriété de sûreté est préservée par

raffine-ment. On s’intéresse alors à montrer que le modèle est un raffinement de la propriété. Pour ce faire,

nous proposons de décrire la propriété et le modèle par des systèmes de transitions et d’établir que

celui du modèle est une simulation de celui de la propriété (figure 1.6).

Automate de la propriété Description B de la propriété Automate du modèle ^{Modèle B} Propriété informelle Raffinement Simulation

Fig. 1.6 – Deux approches de v´erification bas´ees sur le raffinement

Enfin, notre troisième proposition consiste à exprimer la propriété dans un langage logique

suf-fisamment simple pour être décidable et sufsuf-fisamment expressif pour pouvoir décrire des propriétés

comportementales. Pour cela, nous introduisons des pr´edicats logiques permettant de d´ecrire des

1.5. Organisation de ce document

Dans le document Systèmes de transitions symboliques et hiérarchiques pour la conception et la validation de modèles B raffinés (Page 29-34)

A l’inverse du B classique, une spécification B événementiel n’est pas directement

implan-table, car elle est décrite par des événements qui se déclenchent spontanément et que le choix du

déclenchement peut être non-déterministe. Par contre, le raffinement d’une spécification B

évé-nementiel permet de raffiner non seulement la représentation de ses données et ses algorithmes,

comme en B classique, mais aussi son contrôle. Raffiner le contrôle consiste à modifier l’ensemble

des comportements (des traces d’ex´ecution) possibles du syst`eme. Pour ce faire, il est possible de

renforcer les gardes des événements ou d’introduire de nouveaux événements. Cependant, pour

que cette modification pr´eserve la notion de raffinement, il est n´ecessaire que l’ensemble des traces

d’exécution du raffinement soit inclus, modulo les nouveaux événements, dans l’ensemble des traces

d’ex´ecution de l’abstraction. L. Lamport [Lam94b] propose l’exemple d’une horloge donnant l’heure

et les minutes qui peut ˆetre affin´ee pour donner aussi les secondes.

1.4 Probl´ematique et contributions

1.4.1 Probl´ematique

Comme nous l’avons vu, l’un des principaux verrous technologiques des d´eveloppements logiciels

en général, mais que l’on retrouve dans l’utilisation des méthodes formelles, est la vérification de

la conformité d’un modèle par rapport à un cahier des charges. C’est pourquoi, nous proposons de

1.4. Probl´ematique et contributions

faciliter cette vérification, en mettant en évidence un autre aspect du modèle, complémentaire à sa

description en langage B: ses comportements.

Terminologie. Dans cette th`ese, nous avons choisi d’appeler lescomportementsd’un mod`ele, l’ensemble

de ses traces d’exécution ; c’est-à-dire l’ensemble des séquences d’événements ou d’opérations qu’il autorise.











Seq

=

Seq

=

. . .

L’idée est d’aider le spécifieur en lui fournissant un autre point de vue sur son modèle. De plus,

en utilisant un formalisme plus accessible aux non informaticiens, nous voulons donner la possibilit´e

au client de vérifier lui même les principales propriétés du système. Enfin, nous proposons de prendre

en compte le processus de raffinement B´ev´enementiel, qui permet de raffiner les comportements.

L’approche proposée (figure1.4) consiste à calculer une représentation de l’ensemble des

compor-tements d’un modèleBconstruit par raffinement. Cette approche a pour but l’aide à la compréhension

du pas entre le formel et l’informel. Les descriptions ainsi produites peuvent donc ˆetre utilis´ees pour

documenter ou pr´esenter le mod`ele.

Fig. 1.4 – Int´egration de notre approche dans le processus de d´eveloppement

Un développement B événementiel commence généralement par la réalisation d’un diagramme

informel décrivant les comportements attendus du système. Cela permet de structurer la réflexion

pour formaliser les besoins et choisir les données à intégrer dans chaque niveau de description. Ce

diagramme informel peut ensuite être ajouté au cahier des charges s’il est validé par le client. Il est

alors intéressant de pouvoir comparer cette ébauche des comportements prévus du système avec

une représentation de ceux réellement décrits. Nous nous intéressons donc aussi à la vérification de

propriétés de sécurité.

– construire et repr´esenter graphiquement les comportements d’une sp´ecification B;

– mettre en évidence le processus de raffinement dans les représentations d’un modèle ;

– exploiter la représentation comportementale d’un modèle pour le vérifier par rapport à une

propri´et´e.

Nous d´etaillons successivement chacun de ces points dans les trois sections suivantes.

1.4.2 Complémentarité des vues : orientées données / comportements

Un modèleBévénementiel est décrit en termes de ses données, dans le sens où chaque événement

est défini par une condition de déclenchement portant sur les valeurs des données et par une action

modifiant ces données. Cependant, la sémantique d’un système B événementiel est définie par

l’ensemble de ses comportements.

Bien que cette information des enchaˆınements possibles des ´ev´enements soit sous-jacente dans

tout système Bévénementiel, elle n’y est pas explicitement décrite. On n’écrit pas, par exemple,

qu’((après l’événement oc

, l’´ev´enement oc

se d´eclenche)). Classiquement, on oppose les

descrip-tions basées sur les données aux descripdescrip-tions comportementales (basées sur les événements). Les

premières décrivent finement l’action effectuée par chaque événement sur les données, tandis que

les secondes permettent de mettre en ´evidence des comportements. Les deux styles de description

sont complémentaires, car ils donnent deux points de vue différents d’une même spécification.

Par exemple, les deux descriptions suivantes sont ´equivalentes et sp´ecifient toutes deux que

l’action S

est suivie de l’action S

. Dans une description orient´ee comportement (Cas B.) on se

contente de dire queS

est suivi deS

, tandis que, dans une description orient´ee donn´ees (Cas A.),

on codele comportement à travers une variable de contrôleC, qui permet de forcer l’exécution de

l’action S

apr`es l’ex´ecution deS

.

Initialisation :C:= 1

ev

qu’₍₍après l’événement oc

se d´eclenche₎₎. Classiquement, on oppose les