Deux STPTIO (b) et (c) de TPAIO (a) (sans les localit ´es vers f ail ) (c) est

plus pr ´ecis que (b)

6.6.3/ COUVERTURE DES TESTS

Dans la Sec. 6.3, on a pr ésent é une m éthode de calcul d’un RA à partir d’un STPTIO donn é. Notre algorithme qui calcule ce RA a pour crit ère d’arr êt la couverture de toutes les transitions du STPTIO. Il ajoute une nouvelle π−transition (lT, π, lT0) si et seulement si son chemin π couvre au moins une nouvelle transition entre les localit és symboliques calcul ées lT_{et l}T0_{par rapport aux autres transitions d éj à calcul ées. Les chemins de toutes}

les π−transitions qui partent d’une localit é initiale symbolique pour atteindre une localit é finale du STPTIO sont pris comme cas de test. Mais, on ne peut pas affirmer que tous les cas de tests g én ér és sont concr étisables. Donc, il n’est pas garanti que tous les cas de tests g én ér és concrets couvrent toutes les transitions du STPTIO. Par contre, si tous les cas de tests g én ér és sont concr étisables, alors, toutes les localit és et toutes les transitions du TPAIO sont couvertes. C’est le cas de notre exemple de la Fig. 6.3.

6.7/

C

ONCLUSION

On a pr ésent é dans ce chapitre une m éthode de g én ération de tests à partir d’un programme r écursif temporis é qui est mod élis é par un automate à pile temporis é d éterministe avec sorties seulement. La m éthode consiste à d éfinir un testeur d éterministe STPTIO d’un TPAIO donn é en adaptant la m éthode de d éterminisation de Krichen et Tripakis au cas des TPAIO pour ajouter le verdict f ail et enlever les localit és symboliques non atteignables à cause de contraintes temporelles. Puis, elle calcule un automate d’atteignabilit é qui est un automate fini avec des π-transitions prenant en compte les contraintes de la pile o ù π est un chemin du STPTIO. Enfin, la m éthode g én ère des cas de tests couvrant les localit és et les transitions atteignables du TPAIO.

Le mod èle utilis é dans ce chapitre est un TPAIO d éterministe dont toutes les deadlines sont delayable. On propose une g én éralisation de cette m éthode à des TPAIO non d éterministes avec un choix libre des deadlines dans le chapitre suivant.

TEST DE CONFORMITE´

A PARTIR D`

’UN

TPAIO

AVEC DEADLINES

Sommaire

7.1 Construction d’un STPTIO `a partir d’un TPAIO . . . 110

7.2 G én ération d’arbres de test . . . 114 7.3 Correction de la m éthode . . . 115 7.4 Exp érimentation . . . 115 7.5 Incompl étude . . . 121 7.6 Conclusion . . . 123

Dans le chapitre pr éc édent, nous avons propos é une m éthode de g én ération de tests à partir d’un automate à pile temporis é d éterministe avec sorties seulement et avec des deadlines delayable seulement. On propose dans ce chapitre une m éthode pour un mod èle qui est un TPAIO non d éterministe et avec deadlines quelconques. Il pr ésente trois caract éristiques diff érentes par rapport au mod èle utilis é dans le chapitre pr éc édent : TPAIO non d éterministe, prise en compte des deadlines lazy, delayable et eager et prise en compte des actions d’entr ée. Les deadlines imposent des conditions de progression au temps dans des localit és du TPAIO. On propose une m éthode de g én ération de tests qui tient compte non seulement d’une observation d’une action non sp écifi ée ou non autoris ée, mais qui d étecte aussi les violations des ACV avec n’importe quelle deadline. Cette contribution a donn é lieu aux publications [MJMR15d][MJMR15c].

Nous g én éralisons le processus de g én ération de tests à partir d’un TPAIO d éterministe avec sorties seulement et deadline delayable au cas des TPAIO non d éterministes et avec entr ées/sorties et trois types de deadlines. La premi ère étape est la construction d’un STPTIO à partir d’un TPAIO donn é pour r ésoudre les contraintes d’horloges et les contraintes de pile, d éterminiser le TPAIO et aussi ajouter des transitions qui m ènent à de nouvelles localit és f ail et inconc afin de d étecter la non conformit é. La deuxi ème étape est le calcul d’un automate d’atteignabilit é RA à partir du STPTIO obtenu afin de calculer un ou plusieurs chemins entre deux localit és symboliques. Cette étape a d éj à ét é pr ésent ée dans la Sec. 6.3 du chapitre pr éc édent. La troisi ème étape consiste à g én érer des cas de tests en utilisant chaque π-transition du RA qui part d’une localit é symbolique initiale vers une localit é symbolique finale. Les cas de tests sont individualisables et individualis és pour v érifier si l’une des ex écutions d’un mod èle d’impl émentation conduit à f ail. Dans le cadre d’une ex écution des tests sur une v éritable impl émentation, il est pr éf érable de consid érer un arbre de tests afin de poursuivre l’observation le plus loin

possible, selon les sorties de l’impl émentation, pour limiter les verdicts inconclusifs. Nous évaluons la capacit é de notre m éthode à d étecter des impl émentations non-conformes obtenues par une technique de mutation qui permet de modifier automatiquement un TPAIO donn é par l’application d’un op érateur de mutation. Nos r ésultats exp érimentaux montrent que la grande majorit é des mutants non-conformes sont d étect és.

On applique le m ême processus de g én ération de tests que celui pr ésent é dans le chapitre pr éc édent. On pr ésente seulement les modifications li ées aux deadlines sur les deux étapes modifi ées : construction du STPTIO et g én ération de tests. La premi ère étape est la construction d’un STPTIO à partir d’un TPAIO. Elle est pr ésent ée dans la Sec. 7.1. La Sec. 7.2 pr ésente la derni ère étape qui est la g én ération de tests. La Sec. 7.3 discute de la correction de notre m éthode. Nous d éfinissons des op érateurs de mutation et le produit synchronis é qui mod élise l’ex écution d’un test sur un mutant utilis é comme mod èle d’impl émentation dans la Sec. 7.4. Cette section pr ésente aussi nos r ésultats exp érimentaux. Enfin, nous concluons en Sec. 7.6.

7.1/

C

ONSTRUCTION D

’

STPTIO `

A PARTIR D

’

TPAIO

D éfinition 29 : Testeur symbolique à pile temporis é d éterministe STPTIO

Un STPTIO TT = hLT, lT₀, ΣT_out∪ΣT_in, Γ, {y}, ∆T, FTid’un TPAIO T = hL, l0, Σout∪Σin∪

{τ}, Γ, X, ∆, Fi est un TPAIO à horloge unique y, qui est différente des horloges de X, o ù :

• lT₀ est la localit ´e symbolique initiale,

• LT ⊆ 2(L×CC(X∪{y})×Γ∗)∪ { f ail, inconc} est un ensemble de localit´es symboliques,

• ΣT_in= Σout∪ {othw} ∪ {time},

• ΣT

out = Σin,

• FT = {lT | ∃(l, v, p).((l, v, p) ∈ lT ∧ l ∈ F)} est un ensemble de localit ´es symboliques finales,

• ∆T _{⊆ L}T _×_ΣT

out ∪Σin ∪Γ+−× Grd({y}) × {y} × LT est un ensemble fini de

transitions.

On propose d’adapter la m éthode de [KT09] d éfinie pour les TAIO non d éterministes avec deadlines pour calculer un testeur à partir d’un TPAIO non d éterministe avec deadlines. Le testeur calcul é est appel é STPTIO ( pour Symbolic Timed Pushdown Tester with Inputs and Outputs) qui est un observateur des impl émentations test ées. Il int ègre des localit és symboliques, des nouvelles localit és f ail et inconc et des transitions qui les atteignent à partir d’une autre localit é symbolique. C’est un TPAIO avec une seule horloge qui se remet à z éro à chaque franchissement d’une action, et dont toutes les transitions ont la deadline lazy. N’ayant qu’une seule horloge, toutes les gardes de ce testeur sont satisfiables. Afin de d étecter la non-conformit é entre une impl émentation et un TPAIO, les actions d’entr ées du STPTIO sont les actions de sorties (Σout) du

TPAIO, les actions de sorties du STPTIO sont les actions d’entr ´ees (Σin) du TPAIO,

et les actions de la pile sont celles de la pile (Γ) du TPAIO. Nous notons othw un nom d’action quelconque diff ´erent de chaque nom de Σout, de Γ+− et de τ et time une action

couples (localit ´e du TPAIO, contraintes). Les contraintes portent sur les horloges du TPAIO et sur la nouvelle horloge y du STPTIO.

Un STPTIO est formellement d ´efini dans la Def. 29.

Les localit és sont dites symboliques car elles repr ésentent un ensemble de localit és pour l’ensemble des valeurs d’horloges qui satisfont la contrainte. La localit é f ail est atteignable selon l’une de ces trois possibilit és :

• observation d’une action de la pile (Γ+−) ou de sortie (Σout) non sp ´ecifi ´ee ou arrivant

plus t ôt ou plus tard que sp écifi ée,

• observation d’un instant ne satisfaisant pas l’ACV dans l’ ´etat courant,

• observation d’une action non autoris ée dans T , mais qui peut être ex écut ée par l’impl émentation.

Le syst ème est parfois autoris é à laisser le temps s’ écouler ind éfiniment, par exemple dans les localit és o ù les deadlines de toutes les transitions sortantes sont lazy. On propose dans ce cas d’ajouter des transitions qui m ènent à inconc afin d’ éviter l’attente infinie et le blocage de l’observation dans une localit é. La localit é inconc est atteignable en cas de non observation d’une action de sortie ou de la pile au cours d’un d élai arbitrairement fix é pour l’arriv ée des actions de la pile et de sortie dans la localit é courante. Ce cas de figure est inconclusif car étant dans une localit é o ù le temps peut s’ écouler ind éfiniment, pass é le d élai o ù des actions peuvent se produire, s’il n’est pas arriv é d’action, on ne sait pas s’il n’en arrivera jamais (cas pass) o ù s’il y en arrivera une plus tard (cas f ail). Donc, un d élai maximum d’observation de l’impl émentation est choisi arbitrairement, mais, il doit être sup érieur au plus grand d élai d’arriv ée d’une action autoris ée.

Avant de pr ésenter les d éfinitions des transitions d’un STPTIO à partir d’un TPAIO, on a besoin de red éfinir les notations suivantes pour le cas des STPTIO :

• usucc(lT) = {lT 0 | ∃(l, v, p).((l, v, p) ∈ lT ∧ ∃ρ.(ρ ∈ RT ({τ}) ∧ (l, v, p) →ρ (l0, v0, p) ∧ (l0, v0, p) ∈ lT 0))}. C’est l’ensemble des localit és symboliques atteignables à partir de la localit é symbolique lT par une s équence d’actions non observables.

• dsucc(lT, a) = {lT 0 | ∃(l, v, p).((l, v, p) ∈ lT ∧ (l, v, p) →a (l0, v0, p0) ∧ (l0, v0, p0) ∈ lT 0)}. C’est l’ensemble de localit ´es symboliques atteignables `a partir de lT _{par l’action a.}

On a besoin aussi de d ´efinir la notation suivante :

• tsucc(lT, u) = {lT 0| ∃(l, v, p).((l, v, p) ∈ lT∧ (l, v, p) →u (l, v+ u, p) ∧ (l, v + u, p) ∈ lT 0)} est l’ensemble de localit és symboliques atteignables à partir de lT _{par l’ écoulement de}

temps avec un intervalle u.

Formalisons maintenant la notion de transition du STPTIO dans la Def. 30.

La localit é symbolique initiale lX∪{y}₀ est égale à usucc(lT₀) o ù toutes les horloges de T et l’horloge y sont initialis ées à z éro. Le principe de calcul des localit és symboliques, des transitions entre localit és symboliques et des transitions du STPTIO et de r ép éter les étapes suivantes : s élection d’une localit é qui n’est pas encore ajout ée dans LT _{et puis}

application de l’une de ces possibilit ´es pour ajouter des nouvelles transitions `a∆T _:

1. La transition (lT_{, ?othw, y > 0, {y}, f ail) est ajout´ee `a ∆}T_.

2. La transition (lT_{, ?time, y > K, {y}, inconc) est ajoutée à ∆}T _{dans le cas o ù le temps}

peut s’ écouler ind éfiniment dans la localit é symbolique lT et o ù K est la dur ée max- imale d’observation qui est choisie arbitrairement par l’ing énieur de test comme

étant sup érieure à toutes les valeurs qui apparaissent dans les gardes de son TPAIO.

3. La transition (lT_{, ?time, u, {y}, f ail) est ajout´ee dans ∆}T _{dans le cas d’un d ´epassement}

de temps dans la localit é de lT _{d û à la violation d’ACV si ∀(l, v, p) ∈ l}T_.(ACV

l(v,p,v+

u)= f alse), c’est à dire que le temps ne peut pas s’écouler au delà de l’intervalle de temps u dans chaque (l, v, p) ∈ lT

4. Pour chaque grande partition u calcul ´ee, on applique les pas suivants :

• actions d’entr ´ees : pour chaque action d’entr ´ee A ∈Σinsi usucc(dsucc(lT∩ u, A) ,

∅, alors la transition (lT_{, A, u, {y}, usucc(dsucc(l}T_{∩ u, A))) est ajout´ee `a ∆}T_;

• actions de sorties ou de pile : pour chaque action a ∈Σout∪Γ+−, si usucc(dsucc(lT∩

u, a)) = ∅, alors la transition (lT, a, u, {y}, f ail) est ajoutée à ∆T. Sinon, la transition (lT, a, u, {y}, usucc(dsucc(lT ∩ u, a))) est ajoutée à ∆T.

D éfinition 30 : Transitions du Testeur à pile temporis é STPTIO

Soit K un d élai d’observation des impl émentations qui soit sup érieur au plus grand d élai de d éclenchement d’une action quelconque quand le temps peut s’ écouler ind éfiniment. Un STPTIO TT _{= hL}T_{, l}T

0, Σ T

out ∪ΣTin, Γ, {y}, ∆

T_{, F}T_i _d’un

TPAIO T = hL, l0, Σout ∪Σin ∪ {τ}, Γ, X, ∆, Fi non d´eterministe est un TPAIO. Les

transitions de∆T _{sont d ´efinies comme suit :}

(I) (lT_{, ?othw, y > 0, {y}, f ail) ∈ ∆}T_.

(II) (lT_{, ?time, y > K, lazy, {y}, inconc) ∈ ∆}T _{si tsucc(l}T_{, y > 0) , ∅.}

(III) (lT_{, ?time, u, {y}, f ail) ∈ ∆}T _{si tsucc(l}T_{, u) = ∅.}

(IV) (lT_{, act, u, {y}, usucc(dsucc(l}T_{∩ u}_{, act))) ∈ ∆}T _{si usucc(dsucc(l}T_{∩ u}_{, act)) , ∅ et}

act ∈Σin∪Σout∪Γ+−,

(V) (lT_{, act, u, {y}, f ail) ∈ ∆}T _{si usucc(dsucc(l}T_{∩ u, act)) = ∅ et act ∈ Σ}

out∪Γ+−.

L’application r ép étitive du cas (IV) de la Def. 30 peut produire un nombre infini de transitions et de localit és. On propose d’utiliser comme dans le chapitre pr éc édent une variable afin de limiter le nombre d’empilement possible. Les diff érences entre la m éthode de calcul du testeur dans le chapitre pr éc édent et dans ce chapitre sont :

• une localit é symbolique est un ensemble de triplets (l, v, p) au lieu d’un seul triplet au chapitre 6 o ù l est une localit é, v est une valuation d’horloges p le contenu de la pile.

• le testeur de ce chapitre peut avoir des transitions étiquet ées par une action de sortie, ce qui n’est pas le cas dans le chapitre 6 qui calcule un testeur avec des transitions étiquet ées par une action d’entr ée seulement ;

• le calcul de successeur de chaque localit ´e symbolique tient compte non seulement de la deadline delayable mais ´egalement des deadlines lazy et eager.

A partir du STPTIO engendr é par cette étape, un RA est calcul é comme au chapitre pr éc édent (voir Sec. 6.3)

Exemple 7.1.1. La Fig. 7.1 pr ésente un exemple d’un TPAIO non d éterministe T o ù

l0 l1 l₂ l3 ?A, x 6 2, lazy, {x} a+, x 6 3, delayable, {x} a−, x 6 3, delayable, {x} a−, 1 6 x 6 4, lazy, {x}

Dans le document Contributions à la génération de tests à partir d'automates à pile temporisés (Page 129-134)