Vérification des propriétés - Analyse de la partie numérique

6.3 Analyse de la partie numérique

6.3.2 Vérification des propriétés

Nous n’allons pas ici détailler la totalité des propriétés que nous avons analysées, mais nous ferons le focus sur 6 propriétés pertinentes du point de vue des exigences fonctionnelles (ce que doit faire le système numérique), et qui illustrent diﬀérents cas d’analyse.

Détection des erreurs sur la partie "mesure impédance"

La partie du graphe qui doit détecter les erreurs lors d’une mesure impé- dance est séparée en 8 cas possibles, représentée sur le modèle par 8 transitions. Un zoom sur cette partie du modèle de la MM est donné dans la figure 6.20. Chaque transition est tirable à partir de la même place p_Unicite_Erreur, lorsque la place p_Erreur_detectee_Mise_off est marquée. Les 8 transitions représentent 8 situations différentes du stimulateur (en fonction du marquage de place reflétant son état interne, par exemple p_Attente_Instruction, p_- Instruction_suivante_prete ou p_Pipeline_Vide). La propriété vérifiée ici est une "simple" propriété de vivacité. Attention, l’analyse par scénario nous impose une analyse fine des résultats de vivacité : on veut vérifier que toutes les transitions devant être tirées dans ce scénario sont effectivement tirées. L’analyse de vivacité peut (devra) également être faite de manière globale, en construisant le graphe de l’ensemble des scénarios possible de la MM et en vérifiant la vivacité de chacune des transitions. Mais les analyses étant effec- tuées pour l’instant à la main sur le fichier texte du graphe, nous n’avons pour l’instant pas effectué d’analyse globale.

L’analyse de vivacité de ce scénario de mesure d’impédance a détecté que 4 de ces 8 transitions ne sont pas franchissables. Cela s’explique par la raison suivante. Dans un souci de prise en compte exhaustive des situations lors desquelles l’erreur peut se produire, l’ingénieur qui a conçu le modèle a struc- turellement représenté tous ces cas, sachant qu’il n’avait pas à sa disposition le mécanisme de macroplace. Dès lors, cette exhaustivité comprend des situations impossibles, même si non bloquantes au sens deadlock (disons que ces situations sont inutiles). La mise en évidence de ces situations impossibles (inutiles) a été rendue possible grâce à notre approche qui prend en considération certes le temps, mais aussi l’interprétation associée. Nous sommes donc en mesure de prouver et expliquer à l’ingénieur que sur les 8 cas qu’il a prévus seulement

4 sont pertinents et les 4 autres peuvent être enlevés (puisque inutiles). Nous pouvons d’ailleurs souligner l’apport de la macroplace qui, si elle avait été dis- ponible à l’ingénieur au moment de la conception de ce modèle, aurait évité ce problème par une gestion plus rigoureuse des exceptions (erreurs dans le cas présent).

Figure6.20 – Zoom sur la Partie E3 et E7 de MM

Concernant ce scénario de mesure d’impédance, une autre propriété doit être également vérifiée dans la gestion des erreurs. Il faut s’assurer que l’ap- parition d’un jeton dans la place p_Erreur_detectee_Mise_off entraîne bien dans tous les cas l’arrêt de la mesure d’impédance (ce qui correspond à la présence d’un jeton dans la place p_MM_Off). Pour cela, il faut qu’à chaque fois qu’un jeton arrive dans p_Erreur_detecte_Mise_off, l’enchaî- nement des transitions (la séquence) conduit dans tous les cas à un jeton dans p_M M _Of f . Cette propriété pourrait s’exprimer aisément en logique tem- porelle LTL ou CTL*. Dans notre cas malheureusement, elle nécessite l’analyse fine "à la main" de toutes les traces existantes à partir d’un état dont le mar-

quage contient p_Erreur_detectee_Mise_off, pour vérifier pour chacune l’atteignabilité d’un état dont le marquage contient p_MM_Off. L’analyse eﬀectuée a montré que cette propriété était bien respectée.

Fonctionnement exclusif du pipeline :

Le pipeline est une partie du graphe de la micro-machine qui permet de pré-charger une instruction pendant que la précédente est en exécution. Cela permet d’accélérer le décodage et d’éviter une latence dans l’exécution séquen- tielle des instructions (voir la figure ??). Dans le modèle de ce pipeline les places représentent les diﬀérentes phases de décodage des instructions. Un jeton circulant d’une place à l’autre représente donc une instruction en train d’être décodée. Lorsque le pipeline est inoccupé, la place p_Pipeline_Vide est marquée. Comme le pipeline ne gère qu’une seule instruction à la fois, il faut vérifier qu’il doit y avoir obligatoirement un jeton et un seul dans l’ensemble des places représentant le pipeline. Cette propriété pourrait facilement être vé- rifiée par une propriété logique sur les marquages des places du pipeline. Dans notre cas, l’analyse a été faite par une analyse couplée de l’accessibilité du marquage et des traces (relativement simple ici) du pipeline ; cela a confirmé que cette propriété est bien vérifiée.

Fonctionnement exclusif de l’exécuteur

L’exécuteur est une partie du graphe de la micro-machine qui permet d’exé- cuter une instruction, et de piloter en conséquence l’ASIC de stimulation (cf. figure 6.18). De même que pour le pipeline, cette exécution doit être unique, au sens d’une instruction à la fois (i.e. séquence de pilotage de signaux des l’ASIC). Il faut donc vérifier qu’il doit y avoir un seul jeton (jeton obligatoirement présent et un seul jeton maximum) dans l’ensemble des places impliquées dans cet exécuteur. Cette propriété a été vérifiée comme pour la propriété pré- cédente.

Enchaînement de l’exécution d’instructions

L’exécution de la micro-machine va correspondre au décodage d’instructions successives. Il est donc nécessaire que, lorsque le décodage d’une instruction se termine, la micro-machine retourne dans un état lui permettant de dé-

Figure6.21 – Zoom sur le pipeline (partie S4) du modèle de la MM coder la suivante. Il est diﬃcile de faire un zoom sur la partie du modèle gérant le cycle complet de décodage des instructions, car il est dispersé sur diﬀérentes parties du modèle. Nous avons cependant le début sur le zoom de la figure6.21: la place p_Analyse_Instruction est l’élément central de la gestion du cycle. Suivant le type d’instruction à décoder, plusieurs transitions sont tirables (4

sont montrées figure6.21: t_SITa, t_SITr, t_DT2L et t_CMZ ), chacune lan-

çant un cycle de décodage puis d’exécution de l’instruction correspondante. La propriété que l’on désire vérifier est qu’à chaque début de cycle correspond une fin de cycle faisant revenir dans l’état de début de cycle. Nous avons partiel- lement vérifié cette propriété sachant que la fin d’un cycle est marquée par le tir de la transition t_lecture_fin_Ligne_microP. Nous avons alors vérifié que cette transition menait dans tous les cas à l’état correspondant au début du décodage (i.e., marquage de p_Analyse_Instruction). Pour ce faire, tous les changements d’état pour lesquels la transition t_lecture_fin_Ligne_microP est tirée sont considérés, en vérifiant que la place p_Analyse_Instruction est marquée dans l’état atteint suite à ce tir. Cette analyse a confirmé la propriété.

Réactivité à l’occurrence d’une erreur

Cette propriété concerne le scénario start : on veut vérifier qu’à partir du moment où une erreur est détectée (un jeton arrive dans la place p_Erreur_detecte_M ise_of f ), il ne s’écoule pas plus de 5 cycles d’horloge (5 ut) avant que le système ne s’arrête (donc qu’un jeton arrive dans la place p_M M _Of f ). A savoir que la fréquence de l’horloge sur notre circuit est égale à 1MHz, ce qui génère un pas de temps (unité de temps) de notre modèle égal à 1 microseconde. Cette propriété permet donc de vérifier que la réactivité de notre système est de l’ordre de 5s2

. Cette propriété est une propriété impli- quant une mesure du temps quantitatif, ce qui est beaucoup plus complexe que les propriétés plus classiques. Dans notre cas, cela implique : 1) de détec- ter l’occurrence du tir de la transition de détection de l’erreur ; 2) d’analyser toutes les traces commençant par ces transitions pour vérifier qu’elles mènent toutes à un état contenant la place p_MM_Off marquée ; 3) et de calculer le pire temps d’exécution de toutes ces traces afin de vérifier qu’il n’existe pas un cas plus long que la borne imposée de 5ut. Ainsi, cette propriété n’a pas pu être vérifiée sur notre modèle en raison du nombre important d’états du SBGB où cette place est marquée (plus de 300 états), chacun menant à plus d’un dizaine de traces diﬀérentes.

Ce chapitre conclut notre contribution qui porte sur la génération du graphe de comportement pour les réseaux de Petri exécutés de manière synchrone. Nous avons présenté l’intégration de nos travaux dans l’outil HILECOP et nous avons généré le SBGB d’un modèle industriel, en occurrence la micro-machine d’un dispositif médical implantable actif, un neuro-stimulateur. Même si cet exemple ne comprenait pas de macroplace et d’exception à gérer, un ensemble de propriétés pertinentes du point de vue de la "réalité" du modèle (exigences fonctionnelles) est analysé avec une confiance renforcée dans les résultats grâce à la conformité de notre graphe avec l’exécution synchrone. Nous avons éga- lement souligné que, évidemment, une vérification de propriétés impose de disposer d’un model checker pouvant exploiter toutes les caractéristiques de notre graphe. Les résultats obtenus par une analyse "à la main" confirment 2. Pour comparaison, une purge asynchrone des places d’un raffinement de macroplace prend 27 nanosecondes

néanmoins la pertinence de notre approche. Ceci étant, pour pousser plus loin la prise en compte des propriétés dites non-fonctionnelles, et donc plus de conformité avec la réalité, il faut aller plus loin dans la prise en compte des spécificités issues de l’aﬀectation des horloges, de la projection et du dé- ploiement de l’architecture numérique sur l’architecture matérielle. Autant de points que nous allons évoquer dans les perspectives.

Conclusion & Perspectives

7.1 Conclusion

Ces travaux se sont situés dans le cadre de la méthodologie HILECOP qui, basée sur les concepts d’ingénierie dirigée par les modèles, est dédiée à la conception formelle de système numériques critiques. HILECOP permet de décrire un système numérique complexe critique à travers une architecture et un comportement. Pour faire face à la complexité du système, l’architecture est basée sur un modèle à composants ; elle est dès lors décrite par un assemblage de composants (interconnexion des composants via les ports de leurs inter- faces). Les composants ont un comportement formalisé par réseaux de Petri. L’assemblage des composants donne naissance au modèle comportemental de l’architecture. Il est alors possible d’eﬀectuer une analyse formelle, via des outils mathématiques d’analyse liés aux réseaux de Petri, tant du comportement de chaque composant que du comportement du système numérique complet. Dans notre contexte, ces systèmes numériques sont mis en oeuvre sur des cir- cuits électroniques de type ASIC ou FPGA. Pour ce faire, HILECOP intègre également la génération du code VHDL pour implémentation (implantation) sur le circuit. Ce code, décrivant l’architecture électronique numérique, donne lieu à une exécution synchrone sur le circuit.

Nous avons donc d’une part un modèle de comportement par essence asynchrone (les réseaux de Petri) et d’autre part une exécution synchrone sur la cible. Là est notre préoccupation : étudier la prise en compte des caractéris- tiques d’implémentation et d’exécution (qualifiées parfois de propriétés non- fonctionnelles) dans l’analyse formelle du modèle. Et ce, dans le cadre de la méthodologie HILECOP.

Jusque là, l’analyse formelle du modèle était réalisée avec des approches (et outils) asynchrones via des transformations de modèles [60]. Une analyse

asynchrone de modèles à l’évolution synchrone induit un écart entre l’analyse et la réalité (analyse d’un sur-ensemble des comportements). Cet eﬀet est en- gendré principalement par le fait que ces approches asynchrones représentent le parallélisme par un entrelacement, ce qui génère des états "intermédiaires" inexistants sur la cible. De plus, pour parvenir à une analyse complète, au sens couvrant l’ensemble des spécificités du modèle exécuté (blocage potentiel, gestion d’exception, etc), la transformation de modèles introduisait des modifications structurelles du modèle initial qui par conséquence donnait un graphe de comportement résultant non rigoureusement conforme à la réalité. De fait, la façon de traiter le parallélisme et ces modifications structurelles aﬀectaient la fiabilité de l’analyse, ou tout du moins sont utilité. Par exemple, si un état est indiqué atteignable par l’analyse asynchrone, il n’est pas sûr que cet état le soit dans la réalité (i.e., sur la cible). Suite à ce constat, nous avons proposé une approche d’analyse synchrone. Ainsi, nous avons développé une approche formelle, du formalisme à la génération du graphe de comportement, qui cap- ture et considère l’impact des caractéristiques non-fonctionnelles engendrées par notre contexte d’exécution.

Notre approche consiste à générer un graphe de comportement fidèle à l’évolution d’état synchrone, au sens où nous éliminons tous les états inexistants sur la cible, même si nous passons tout de même par une transformation du modèle initial vers un modèle analysable. Cette transformation ne repose pas seulement sur la prise en compte des caractéristiques de la mise en oeuvre, mais elle considère aussi toutes les particularités relevant de la sémantique utilisée dans les modèles de conception et d’implémentation. Par exemple, les blocages potentiels des transitions et les transitions d’exception.

Une nouvelle sémantique est définie pour le nouveau modèle analysable que nous qualifions de réseau de Petri synchrone (STPN) (i.e., obtenu à partir du modèle initial transformé), ainsi que son graphe de comportement, appelé SBG (Sychronous Behavior Graph). Cette sémantique inclut toutes les parti- cularités déjà évoquées afin de mieux représenter les états et évolutions d’états du système. Par exemple, les transitions tirées simultanément (en parallèle) ne sont plus représentées par un entrelacement, mais par un seul changement d’état qui regroupe toutes ces transitions. Il n’y a donc plus d’états avec des

marquages inexistants sur la cible. De plus, les traces temporelles sont préser- vées sur le graphe de comportement. Cela signifie que nous pouvons a priori calculer, à partir de ce graphe, le temps pris par des scénarios d’exécution. En conclusion, tous les états du graphe d’états sont eﬀectifs, tous les chemins sont eﬀectifs, aucun état n’est "électroniquement" inatteignable (i.e., sur la cible) ni n’est omis.

Nous sommes donc parvenus à gagner en confiance quant à la validité des résultats de l’analyse formelle. Ceci étant, ces travaux doivent être poursuivis pour permettre d’aller plus loin dans la prise en compte des caractéristiques issues de la projection et du déploiement de l’architecture numérique sur l’architecture matérielle.

Dans le document Validation formelle des systèmes numériques critiques : génération de l'espace d'états de réseaux de Petri exécutés en synchrone (Page 180-188)