Contributions à la génération de tests à partir d'automates à pile temporisés

(1)

HAL Id: tel-01614351

https://tel.archives-ouvertes.fr/tel-01614351

Submitted on 10 Oct 2017

HAL is a multi-disciplinary open access

archive for the deposit and dissemination of sci-entific research documents, whether they are pub-lished or not. The documents may come from teaching and research institutions in France or abroad, or from public or private research centers.

L’archive ouverte pluridisciplinaire HAL, est destinée au dépôt et à la diffusion de documents scientifiques de niveau recherche, publiés ou non, émanant des établissements d’enseignement et de recherche français ou étrangers, des laboratoires publics ou privés.

Hana M’Hemdi

To cite this version:

Hana M’Hemdi. Contributions à la génération de tests à partir d’automates à pile temporisés. Au-tomatique. Université de Franche-Comté; Université de Tunis El-Manar. Faculté des Sciences de Tunis (Tunisie), 2016. Français. �NNT : 2016BESA2050�. �tel-01614351�

(2)

THESE

présentée en vue de l’obtention du

Doctorat en Informatique

par

Hana M'HEMDI

(Master en Informatique, Université de Bourgogne Franche-Comté)

Contributions à la Génération de tests à

partir d'automates à pile temporisés

Soutenue le 23/09/2016 devant le Jury :

Hacène FOUCHAL Professeur (Univ. de Reims), Rapporteur Moncef TAJINA Professeur (ENSI-Manouba, Tunisie), Rapporteur

Pierre-Cyrille HEAM Professeur (Univ. de Bourgogne Franche-Comté), Examinateur Ouajdi KORBAA Professeur (ISTICom-Sousse, Tunisie), Examinateur

Nicolas STOULS MCF (INSA Lyon), Examinateur

Jacques JULLIAND Professeur (Univ. de Bourgogne Franche-Comté), Directeur de thèse Riadh ROBBANA Professeur (INSAT-Tunis, Tunisie), Directeur de thèse

Pierre-Alain MASSON MCF (Univ. de Bourgogne Franche-Comté), Co-directeur de thèse

Thèse préparée sous convention de cotutelle

(3)

(4)

FORMATION DOCTORALE EN INFORMATIQUE

THESE

présentée en vue de l’obtention du

Doctorat en Informatique

par

Hana M'HEMDI

(Master en Informatique, Université de Franche Comté )

Contributions à la Génération de tests à partir

d'automates à pile temporisés

sous la direction de :

JaquesJULLIAND Professeur (Univ. de Franche Comté-France) Riadh ROBBANA Professeur (INSAT-Univ. de Carthage-Tunisie) Pierre-Alain MASSON MCF (Univ. de Franche Comté-France)

Thèse préparée sous convention de cotutelle

FST-Tunis, Tunisie (Laboratoire LIP2) et Université de Franche Comté, France ( Laboratoire femto-st)

Contributions à la G én ération de

tests `a partir d’automates `a pile

temporis ´es

(5)

(6)

J’aimerais d’abord remercier mes encadrants de th `ese :

Monsieur Jacques JULLIAND, professeur `a l’universit ´e de Bourgogne

Franche-Comt é, pour m’avoir support é pendant toutes ces ann ées de th èse. Gr âce à ses conseils judicieux, ses relectures, sa patience et son aide pr écieuse, j’ai pu mener à bien mes travaux de th èse et aboutir à mes r ésultats et publications. J’ai eu beaucoup de plaisir à travailler avec lui.

Monsieur Riadh ROBBANA, professeur `a l’Institut national des sciences

ap-pliqu ées et de technologie de Carthage, Tunisie, pour ses conseils, sa pr ésence continuelle et son aide pr écieuse, autant du c ôt é scientifique que du c ôt é humain. Monsieur Pierre-Alain MASSON, maˆıtre de conf érences à l’universit é de

Bour-gogne Franche-Comt é, pour m’avoir fait b én éficier tout au long de ce travail de sa grande comp étence et de son efficacit é certaine que je n’oublierai jamais. J’aimerais également lui dire à quel point j’ai appr éci é sa grande disponibilit é.

Je tiens à remercier monsieurHac ène FOUCHAL, professeur à l’universit é de Reims et

monsieurMoncef TAJINA, professeur `a l’ ´ecole nationale des sciences de l’informatique

de Manouba, Tunisie, pour avoir accept é de rapporter cette th èse et pour leurs remar-ques pertinentes et pr écieuses qui ouvrent de nouveaux horizons pour ce travail. Merci à monsieurPierre-Cyrille HEAM, professeur à l’universit é de Bourgogne Franche-Comt é,

monsieur Ouajdi KORBAA, professeur `a l’institut sup ´erieur d’informatique et des

tech-niques de communication de Hammam Sousse, Tunisie et monsieur Nicolas STOULS,

maˆıtre de conf érences à l’institut national des sciences appliqu ées de Lyon pour avoir accept é d’examiner ce travail.

Je profite aussi ici d’exprimer mes remerciements à toutes les personnes que j’ai c ôtoy ées pendant ces ann ées de th èse, notamment les membres respectifs du labora-toire FEMTO-ST et du laboralabora-toire LIP2.

Je souhaite remercier ma m ère Moufida et mon p ère Belhassen, ainsi que mes fr ères Abdelkader et Hani et mes sœurs Hanene et Manel pour leurs encouragements, leur confiance et leur soutien tout au long de mes études. Je souhaite aussi remercier tous mes chers amis pour leur soutien et leur disponibilit é. Merci particuli èrement à Huda, Hayfa, Tarek, Bassem, Ibrahim, Rania, Lemia, Hamida, Anis, Mouhebeddine, Lucas et Karla.

(7)

(8)

I Contexte et Probl ´ematique 1

1 Introduction 3

1.1 Contexte . . . 3

1.1.1 Les syst `emes temps-r ´eel . . . 3

1.1.2 Les automates `a pile . . . 4

1.1.3 Les automates `a pile temporis ´es . . . 4

1.1.4 Test de syst `emes informatiques . . . 4

1.2 Motivations et contributions . . . 5

1.3 Organisation du document . . . 7

2 Pr éliminaires 9 2.1 Syst èmes de transitions étiquet és (LTS) et IOLTS . . . 9

2.2 Automates temporis ´es . . . 11

2.2.1 Automate temporis ´e . . . 11

2.2.2 Automate temporis ´e avec deadlines . . . 12

2.2.3 Automate temporis ´e avec entr ´ees/sorties (TAIO) . . . 14

2.2.4 Composition parall `ele de deux TAIO . . . 15

2.3 Discr ´etisation des automates temporis ´es . . . 16

2.3.1 R ´eduction par partitionnement en r ´egions . . . 16

2.3.2 R ´eduction par partitionnement en zones [DT98] . . . 19

2.3.2.1 Graphe des zones . . . 20

2.3.2.2 Les DBMs . . . 21

2.3.2.3 K-approximation ou extrapolation [DT98] . . . 22

2.3.3 R ´eduction par discr ´etisation du temps [HMP92][Rob95] . . . 23

2.4 R `egles de simplification d’un automate temporis ´e avec −transitions . . . . 24

2.5 D ´eterminisation des automates temporis ´es . . . 27

(9)

2.5.1 D ´eterminisation exacte [BBBB09] . . . 27

2.5.2 D ´eterminisation avec sur-approximation [KT09] . . . 28

2.5.3 D ´eterminisation avec sur-approximation plus pr ´ecise . . . 31

2.6 Automates `a pile . . . 31

2.6.1 D ´efinition . . . 32

2.6.2 Accessibilit ´e . . . 33

2.7 Conclusion . . . 36

3 Etat de l’art´ 37 3.1 Test structurel et fonctionnel . . . 37

3.1.1 Notion de test . . . 38

3.1.2 Test structurel par ex ´ecution symbolique et Mutation . . . 38

3.1.2.1 G én ération de tests couvrant le graphe de flot de contr ôle 38 3.1.2.2 G én ération de tests couvrant le flot de donn ées . . . 39

3.1.2.3 Ex ´ecution symbolique . . . 40

3.1.2.4 G én ération et évaluation par mutation . . . 42

3.1.3 Test fonctionnel de conformit é engendr é à partir de mod èles . . . . 42

3.1.3.1 Test fonctionnel . . . 42

3.1.3.2 G én ération de tests à partir de mod èles . . . 43

3.1.3.3 Test de conformit ´e . . . 44

3.2 G én ération de tests à partir d’IOLTS . . . 45

3.2.1 Relation de conformit ´e ioco . . . 45

3.2.2 G én ération de test à partir d’un IOLTS . . . 46

3.3 G én ération de tests à partir de PA . . . 47

3.3.1 Mod ´elisation d’un programme r ´ecursif par un PA . . . 47

3.3.2 G én ération de tests à partir d’un automate à pile . . . 49

3.3.2.1 G én ération de tests à partir de grammaires . . . 49

3.3.2.2 G én ération al éatoire-uniforme d’arbres de d érivation . . . 49

3.3.2.3 M éthode de test al éatoire d’un programme r écursif . . . . 49

3.4 G én ération de tests à partir de TAIO . . . 50

3.4.1 Test de conformit ´e `a partir d’un TAIO . . . 50

3.4.1.1 Relation de conformit ´e tioco . . . 50

3.4.1.2 G ´en ´eration de tests analogiques . . . 51

3.4.1.3 Test digital . . . 53

(10)

II Contributions 55 4 Automate à pile temporis é avec entr ées/sorties 57 4.1 TPAIO : d éfinition, s émantique et exemples . . . 58

4.2 Relation de conformit ´e tpioco . . . 64

4.3 Atteignabilit ´e dans un TPAIO . . . 65

5 G én ération de tests à partir d’un TPAIO d éterministe 67 5.1 Processus de g én ération de tests . . . 68

5.2 Construction d’un testeur `a partir d’un TPAIO . . . 69

5.3 Calcul d’un RTA `a partir d’un TPAIO . . . 72

5.3.1 R ègles de calcul d’un automate temporis é d’accessibilit é complet . 74 5.3.2 Algorithme de calcul d’un RTA fini et incomplet. . . 76

5.4 G ´en ´eration d’un arbre de tests . . . 81

5.5 Correction, incompl ´etude et couverture de test de la m ´ethode . . . 85

5.5.1 Correction . . . 85

5.5.2 Incompl ´etude . . . 86

5.5.3 Couverture des tests . . . 88

6 Test de conformit é à partir d’un programme r écursif temporis é 91 6.1 Processus de g én ération de tests . . . 92

6.2 Construction d’un testeur `a partir d’un TPAIO . . . 93

6.3 Calcul d’un RA `a partir d’un STPTIO . . . 100

6.4 G ´en ´eration des cas de tests . . . 102

6.5 Exp ´erimentation . . . 103

6.6 Correction, incompl ´etude et couverture de la m ´ethode . . . 106

6.6.1 Correction . . . 106

6.6.2 Incompl ´etude . . . 107

6.6.3 Couverture des tests . . . 108

(11)

7.1 Construction d’un STPTIO `a partir d’un TPAIO . . . 110

7.2 G ´en ´eration d’arbres de test . . . 114

7.3 Correction de la m ´ethode . . . 115

7.4 Exp ´erimentation . . . 115

7.4.1 Op ´erateurs de mutation d’un TPAIO . . . 116

7.4.2 Produit synchronis ´e d’une impl ´ementation I et d’un cas de test . . . 117

7.4.3 R ´esultats exp ´erimentaux . . . 119

7.5 Incompl ´etude . . . 121

III Conclusion et perspectives 125 8 Conclusion et Perspectives 127 8.1 Bilan . . . 127

(12)

2.1 Exemple d’IOLTS . . . 10

2.2 R épr ésentation des TPC pour une transition de garde g, selon la deadline-Les ’X’ repr ésentent les instants o ù le temps n’est pas autoris é à s’ écouler dans la localit é source de la transition de garde g et de deadline indiqu é . . 13

2.3 Partie d’un exemple de TAD . . . 13

2.4 TAIO de reconnaissance de clics simple ou double . . . 15

2.5 Ensemble des r ´egions dans le cas cx = 2 et cy = 1 . . . 17

2.6 TA `a deux horloges . . . 18

2.7 Automate des r ´egions du TA de la Fig. 2.6 . . . 18

2.8 DBMde la contrainte 1 6 x16 4 ∧ 1 6 x2 6 3 ∧ x1− x2 6 1 . . . 21

2.9 (a). DBM de la garde g, (b). DBM de z ∩ g, (c). DBM de z ∩ g[{x2} := 0] . . . 22

2.10 (a). TA, (b). son graphe de zones infini et (c). son graphe de zones fini avec 3-approximation . . . 23

2.11 Fusion de trois -transitions successives en une seule transition d ´echlenchable . . . 26

2.12 Fusion de trois -transitions successives en une seule transition non d ´eclenchable . . . 26

2.13 Illustration dans [KT09] de va_(l₁_{,−26x−y61)}. La zone −2 6 x − y 6 1 est gris ´ee 29 2.14 (a) TA et (b) son DTA . . . 31

2.15 Possibilit ´es de calcul d’une nouvelle -transition . . . 34

2.16 (a) un PA et (b) son RA . . . 34

3.1 Hi érarchie des crit ères de couverture bas és sur le flot de donn ées . . . 39

3.2 Arbre des chemins d’ex ´ecution possibles de l’algorithme 3.1.1 . . . 41

3.3 Processus du model-based testing . . . 43

3.4 Processus de test de conformit ´e . . . 44

3.5 Exemple d’une sp ´ecification et de trois impl ´ementations . . . 46

3.6 Graphe de flot de contr ˆole mod ´elisant le programme 3.3.1 . . . 48

3.7 PA mod ´elisant le programme r ´ecursif 3.3.1 . . . 49

3.8 Exemple d’une sp ´ecification et de quatre implementations . . . 51

3.9 Exemple de test analogique et de son TAIO . . . 53

(13)

3.10 Exemple de test digital du TAIO present ´e dans la Fig. 3.9.(a) . . . 53

4.1 Valeurs d’horloges autoris ées repr ésent ées en gras pour chaque deadline d’une transition d éclenchable et pour trois classes d’instants d’arriv ée. . . . 61

4.2 Valeurs d’horloges autoris ées repr ésent ées en gras pour chaque deadline d’une transition de d épilement non d éclenchable et pour trois classes d’in-stants d’arriv ée. . . 61

4.3 Transition avec deadline d’un TPAIO . . . 62

4.4 Exemple d’un TPAIO d ´ecrivant la reconnaissance d’un simple ou de plusieurs clics . . . 64

4.5 Exemple de sp ´ecification et de cinq impl ´ementations . . . 65

5.1 Processus de g én ération de tests à partir d’un TPAIO . . . 68

5.2 Exemple d’un TPAIO . . . 71

5.3 Testeur associ ´e au TPAIO de la Fig 5.2 . . . 72

5.4 Un exemple d’applicabilit ´e infinie de la r `egle RA₃ . . . 76

5.5 Un exemple d’applicabilit ´e infinie de la r `egle RA4 . . . 77

5.6 Possibilit ´es de calcul d’une nouvelle -transition . . . 78

5.7 Arbre de tests du TPAIO de la Fig 5.2 . . . 87

5.8 RTA (b) repr ésentant l’atteignabilit é incompl ète du TPAIO (a) . . . 88

6.1 Processus de g én ération de tests à partir d’un TPAIO . . . 92

6.2 (b) partie du STPTIO du TPAIO (a) sans les transitions vers f ail et inconc . 96 6.3 TPAIO mod ´elisant le programme de la Fig. 3.3.1 . . . 98

6.4 Testeur (STPTIO) associ ´e au TPAIO de la Fig. 6.3 . . . 99

6.5 Deux cas de tests du TPAIO de la Fig. 6.3 . . . 104

6.6 Deux STPTIO (b) et (c) de TPAIO (a) (sans les localit ´es vers f ail ). (c) est plus pr ´ecis que (b) . . . 108

7.1 Exemple d’un TPAIO non d ´eterministe . . . 113

7.2 Testeur (STPTIO) associ ´e au TPAIO de la Fig. 7.1 . . . 113

7.3 ((b). le STPTIO et (c). l’impl ´ementation du TPAIO present ´e dans la Fig. 7.3.(a) . . . 118

7.4 TPAIO d ´ecrivant la d ´etection d’une action n−clics (n > 1) . . . 120

7.5 Mutants non conformes et non d ´etect ´es du TPAIO de la Fig. 7.4 . . . 121

7.6 Mutants non-conformes et d ´etect ´es du TPAIO de la Fig. 7.4 . . . 122

7.7 (a). Exemple d’un TPAIO et (b). de l’un de ses mutants . . . 122

7.8 Deux cas de tests couvrant toutes les transitions pour le TPAIO pr ´esent ´e dans la Fig. 7.7.(a) . . . 123

(14)

(15)

(16)

2.1 TPC de la localit ´e l1 du TAD de la fig. 2.3 en fonction des deadlines d1et d2 14

2.2 Transitions du RA present ´e dans la Fig. 2.16.(b) . . . 36

4.1 Valeurs de l’ACV de la localit ´e l1 pour une pile vide et diff ´erentes valeurs

v0 et v et la deadline lazy . . . 62

v0 et v et la deadline delayable . . . 62

v₀ et v et la deadline eager . . . 62 5.1 Table de chemins, pour les transitions partant de l0vers une localit ´e finale

du RTA du TPAIO de la Fig. 5.2, avec leurs chemins dans le TPAIO . . . . 80

6.1 R ´esultats exp ´erimentaux sur le TPAIO de la Fig. 6.3 . . . 106

7.1 R ´esultats exp ´erimentaux sur l’exemple des n-clics de la Fig. 7.4 . . . 120

(17)

(18)

2.5.1Calcul du DTA `a partir d’un TPAIO [KT09] . . . 30

2.6.1Calcul du RA [FWW97] d’un PA donn ´e . . . 35

3.1.1Algorithme calculant le maximum de trois entiers donn ´es . . . 41

3.2.1G én ération de cas de tests à partir d’un IOLTS donn é [Tre99] . . . 46

3.3.1Algorithme r écursif calculant le neme_{nombre de la suite de Fibonacci Fib(n)} ₄₈ 3.4.1G én ération à la vol ée de tests analogiques à partir d’un TAIO [KT09] . . . 52

5.2.1Calcul du testeur à pile temporis é d éterministe à partir d’un TPAIO . . . 71

5.3.1Algorithme de calcul d’un RTA fini et partiel . . . 79

5.4.1Trie creerTrie(S T )- Transformation d’un ensemble de chemins de test en Trie 83 5.4.2Trie insererChemin(p, T C)-Ajout d’un chemin dans un Trie . . . 83

5.4.3Trie ajouterVerdicts(T C, TT_{)-Ajout des verdicts dans un Trie . . . 84}

6.2.1Calcul du testeur à pile temporis é avec une seule horloge à partir d’un TPAIO 97 6.5.1Comparaison d’une trace de l’impl émentation avec un cas de test . . . 105

(19)

(20)

1 D éfinition : IOLTS [Tre96] - Syst ème de Transitions avec Entr ées/Sorties . . 10

2 D ´efinition : TA [AD94] - Automate Temporis ´e . . . 11

3 D ´efinition : Composition parall `ele de deux TAIO [KT09] . . . 16

4 D ´efinition : ´Equivalence de deux valuations d’horloges [AD94] . . . 17

5 D ´efinition : Successeur d’une r ´egion [AD94] . . . 17

6 D ´efinition : Automate des r ´egions [AD94] . . . 18

7 D ´efinition : Graphe des zones [DT98] . . . 20

8 D ´efinition : Fermeture en arri `ere d’une contrainte [BPDG98] . . . 24

9 D éfinition : R ègle de fusion de deux -transitions él émentaires successives 25 10 D éfinition : R ègle de fusion de n − 1 −transitions él émentaires successives 25 11 D éfinition : PA [ABB97] - Automate à Pile . . . 32

12 D éfinition : RA d’un PA- Automate d’Accessibilit é d’un Automate à Pile . . . 33

13 D ´efinition : ioco [Tre99] - Relation de conformit ´e ioco . . . 45

14 D ´efinition : tioco [KT09] - Relation de conformit ´e tioco . . . 51

15 D éfinition : TPAIO- Automates Temporis é à Pile avec Entr ées/Sorties . . . 58

16 D ´efinition : ACV l act,g,d,X0 −−−−−−−→l0(v0,p, v) - Valeur d’horloges autoris´ees pour une transition . . . 60

17 D éfinition : ACVl(v0,p, v)- Valeur d’horloges autorisées pour une localité . . 61

18 D éfinition : Testeur à pile temporis é d éterministe . . . 70

19 D ´efinition : Fusion de deux transitions successives . . . 73

20 D ´efinition : RTA d’un TPAIO . . . 74

21 D ´efinition : Ensemble de chemins de tests d’un TPAIO d ´eterministe avec deadline lazy . . . 81

22 D ´efinition : Arbre de cas de tests . . . 82

23 D ´efinition : Atteignabilit ´e dans un RTA . . . 85

24 D éfinition : Testeur à pile temporis é d éterministe STPTIO . . . 93

25 D éfinition : Transitions du Testeur à pile temporis é d éterministe STPTIO . . 95

(21)

deadline delayable . . . 102 28 D ´efinition : Cas de test d’un TPAIO d ´eterministe avec deadline delayable . . 103

29 D éfinition : Testeur symbolique à pile temporis é d éterministe STPTIO . . . 110 30 D éfinition : Transitions du Testeur à pile temporis é STPTIO . . . 112 31 D éfinition : Cas de test d’un TPAIO non d éterministe avec deadline . . . 114 32 D éfinition : Mod èle d’impl émentation . . . 117 33 D éfinition : Produit synchronis é d’une impl émentation I et d’un cas de test tc119

(22)

C

ONTEXTE ET

P

ROBL

EMATIQUE

´

(23)

(24)

I

NTRODUCTION

Sommaire 1.1 Contexte . . . . 3 1.2 Motivations et contributions . . . . 5 1.3 Organisation du document . . . . 7

1.1/

C

ONTEXTE

Le travail pr ésent é dans cette th èse s’inscrit dans le cadre du test à partir de mod èles, plus particuli èrement à partir d’automates à pile temporis és qui sont des extensions des automates temporis és et des automates à pile.

Dans cette partie, nous allons tout d’abord introduire les syst èmes temps-r éel. Ensuite, nous pr ésentons les automates à pile et les automates à pile temporis és. Finalement, nous pr ésentons le concept de test des syst èmes informatiques.

1.1.1/ LES SYSTEMES TEMPS` -REEL´

Les syst èmes temps-r éels sont souvent des syst èmes critiques, dans le sens o ù d’une part, ils peuvent mettre en cause des vies humaines et d’autre part, leur destruction induit des pertes d’argent consid érables. Aujourd’hui, la plupart des syst èmes intelligents sont construits par composants dont certains sont logiciel. De ce faˆıt, la v érification et la validation des composants logiciels des syst èmes temps-r éel est un des enjeux majeurs pour le d éveloppement de syst èmes automatis és. C’est notamment le cas des syst èmes de transports, des syst èmes m édicaux, des syst èmes militaires, etc. Parmi les exemples connus de d éfection de syst èmes dues à des d éfauts logiciel, on peut citer le crash d’Ariane 5 lors de son premier vol, des erreurs de cibles de lanceurs de missiles Patriot et des surexpositions aux radiations par des appareils de radioth érapie. D évelopper des syst èmes fiables mais aussi avoir les moyens de garantir leur bon fonctionnement sont des enjeux importants. Les mod èles de tels syst èmes doivent être v érifi és et la conformit é de leurs impl émentations par rapport à leurs mod èles doit être valid ée.

Les syst èmes temps-r éel peuvent être mod élis és par des automates temporis és [AD94] dont la s émantique est donn ée par des syst èmes de transition ayant une infinit é d’ états.

(25)

Des techniques d’abstraction en syst èmes de transition de taille finie ont ét é mises au point pour d éfinir des m éthodes de v érification algorithmiques de ces syst èmes [ACD93].

1.1.2/ LES AUTOMATES A PILE`

Les automates à pile ont ét é largement étudi és [MS85][ABB97][BEM97a][Wal00]. Ce sont des syst èmes de transitions munis d’une pile de taille non born ée. Par cons équent, ils sont plus expressifs que les syst èmes à états finis. Un état dans un syst ème à pile cor-respond à un point de contr ôle dans l’automate plus une configuration de la pile. Un syst ème à pile peut donc avoir un nombre infini d’ états étant donn é que la pile est non born ée. L’une des utilisations de ces automates est de mod éliser des programmes avec appels de proc édures incluant des appels r écursifs.

1.1.3/ LES AUTOMATES A PILE TEMPORIS` ES´

Un automate à pile temporis é combine le mod èle des automates à pile et des automates temporis és. Il existe deux sortes d’automates à pile temporis és : (1). automate à pile temporis é [BER95][Dan03][Dan01] [EM06] équip é avec des horloges globales et tel que les symboles de la pile ne sont pas dat és, (2). automate à pile temporis é [Dan01] o ù les él éments de la pile sont dat és par des horloges qui s’incr émentent comme les horloges globales. De plus, les op érations sur la pile ont un intervalle de temps comme argument en plus du symbole empil é ou d épil é. Les auteurs de [CL15] prouvent que le mod èle de Abdulla et al. [Dan01] est expressivement équivalent à un automate à pile temporis é sans pile dat ée.

1.1.4/ TEST DE SYSTEMES INFORMATIQUES`

Les activit és de validation et de v érification sont des activit és visant à assurer qu’un syst ème informatique d évelopp é satisfait bien les besoins exprim és et les exigences requises. La v érification consiste à s’assurer qu’un mod èle du syst ème à d évelopper satisfait les exigences exprim ées dans le cahier des charges. Pour ce qui est des exigences fonctionnelles, la d émarche de v érification consiste à garantir qu’un mod èle comportemental du syst ème satisfait les exigences formalis ées par des propri ét és invariantes, de s ûret é, de vivacit é, d’ équit é et de non blocage. Les m éthodes formelles de v érification bas ées sur la preuve ou sur les techniques de model checking adressent ce probl ème. Une fois le mod èle v érifi é, celui-ci peut être utilis é pour engendrer des suites de tests. Puis, ces tests sont ex écut és sur les impl émentations pour valider que celles-ci sont conformes au mod èle v érifi é. Cette d émarche est appel ée MBT (Model Based Testing) ou test à partir de mod èles.

Le test est une activit é tr ès importante dans le processus de d éveloppement des syst èmes informatiques. Le recours aux m éthodes formelles constitue une voie appro-pri ée pour promouvoir le test et automatiser sa g én ération à partir du mod èle formel de la sp écification. L’utilisation d’outils pour g én érer automatiquement des cas de test r éduit consid érablement le co ût du processus de test et permet d’ évaluer sa qualit é par des mesure de couverture. Dans notre travail, nous nous int éressons au test de conformit é

(26)

consid ér é ici comme un test fonctionnel permettant de v érifier si une implantation d’un syst ème est conforme à sa sp écification. Ce concept de conformit é est exprim é à l’aide d’une relation de conformit é.

1.2/

M

OTIVATIONS ET CONTRIBUTIONS

L’objectif de la th èse est de contribuer à la validation de la cat égorie des syst èmes r écursifs temps-r éels mod élisables par des automates à pile temporis és. Plusieurs approches de v érification ont ét é élabor ées pour les automates tempo-ris és [ACD93][AAS12][BPDG98] et pour les automates à pile [ABB97][BEM97b]. Il existe également de nombreux algorithmes de calcul des ensembles des états accessibles. Par contre, peu de travaux ont ét é effectu és pour des automates à pile temporis és. Les tech-niques de v érification étant tr ès co ûteuses, nous orientons nos contributions sur le test de conformit é des impl émentations vis à vis de leur mod èle. Or, à notre connaissance, il n’y a pas eu de travaux sur la g én ération de tests pour des syst èmes d écrits à base d’automates à piles temporis és avec deadlines. C’est l’objet de cette th èse. Nous allons donc nous int éresser à cette probl ématique de g én ération de tests pour ce mod èle. Cette g én ération doit faire face à plusieurs probl èmes dont :

— discr étiser une infinit é d’ états dans le cadre continu : ce probl ème est d û à la continuit é du temps. La r éduction de l’espace d’ états d’un domaine continu est une phase tr ès importante. Il s’agit d’un passage d’un domaine continu vers un domaine discret.

— limiter l’explosion combinatoire du nombre d’ états dans le cadre discret : la g én ération des tests à partir d’un syst ème fini avec un nombre important d’ états peut être un probl ème difficile.

Les probl `emes sur lesquels nous contribuons sont :

— la d ´efinition d’une relation de conformit ´e pour les TPAIO.

— la d éfinition de m éthodes de g én ération de tests limitant l’explosion combinatoire. — la d éfinition de mesures de couverture de tests.

Vu qu’on s’int éresse au test de conformit é à partir d’un automate à pile temporis é avec entr ées/sorties et deadlines appel é TPAIO, notre premi ère contribution est la d éfinition d’une nouvelle relation de conformit é appel ée tpioco pour les TPAIO. C’est une adaptation de la relation tioco d éfinie pour les TAIO. Les deadlines imposent des conditions de progression du temps dans des localit és du TPAIO. Une deadline peut être soit lazy (pas d’urgence), soit delayable (avant qu’il ne soit trop tard), soit eager (d ès que possible).

La deuxi ème contribution est une solution algorithmique de complexit é polynomiale de g én ération de tests à partir d’un automate à pile temporis é d éterministe avec entr ées/sorties et deadline lazy seulement. Cette m éthode adapte aux automates à pile temporis és une m éthode de calcul des états accessibles d éfinie pour des automates à pile [FWW97]. L’adaptation consiste à prendre en compte les contraintes de temps en plus des contraintes de pile. La m éthode consiste à d éfinir un algorithme de calcul d’un automate temporis é d’accessibilit é supprimant les contraintes de pile en les respectant. Cet algorithme d élivre également une table des chemins d’ex écution permettant d’attein-dre chaque localit é à partir de la localit é initiale. Nous d éfinissons également un testeur à

(27)

partir de l’automate à pile temporis é de d épart. Enfin, à partir de ce testeur et de la table des chemins d’ex écution, pour les chemins ex écutables en respectant les contraintes temporelles, nous produisons une suite de tests couvrant l’ensemble d’ états. Pour limiter la complexit é à une complexit é polynomiale, nous avons d éfini volontairement un algorithme de calcul des automates temporis és d’accessibilit é incomplet. L’activit é de test étant par essence incompl ète, cette limite n’est pas gravissime, mais a pour cons équence que certaines localit és atteignables peuvent ne pas être prises en compte dans les tests produits. Pour limiter cet inconv énient, nous avons d éfini des heuristiques am éliorant le taux de couverture en pratique sur les exemples. Ce travail a donn é lieu à la publication [MJMR15b].

La troisi ème contribution est une m éthode de g én ération de tests à partir d’un TPAIO d éterministe avec sorties seulement et deadline delayable seulement. Cette m éthode est appliqu ée pour tester des programmes temporis és r écursifs. Notre m éthode adapte la m éthode de g én ération de tests à partir d’automates temporis és [KT09] aux automates à pile temporis és. Elle d éfinit la g én ération d’un testeur à pile temporis é d éterministe. Puis nous d éfinissons une m éthode pour engendrer un automate d’accessibilit é. Enfin, nous engendrons une suite de tests couvrant les états et les transitions atteignables. Comme les TPAIO sont des abstractions des programmes r écursifs temporis és, les tests ne sont pas, dans le cas g én éral, assur és d’ être des ex écutions concr ètes. C’est le cas de notre exemple qui est une abstraction d’un programme r écursif auquel on a ajout é des contraintes temporelles. Pour s électionner les cas de test concrets et leurs donn ées, on propose d’utiliser une ex écution symbolique qui est une interpr étation abstraite qui simule l’ex écution du programme pour des donn ées en entr ée. Ce travail a donn é lieu à la publication [MJMR15a].

La quatri ème contribution est une g én éralisation du processus de g én ération de tests à partir d’un TPAIO d éterministe avec sorties seulement et deadline delayable au cas des TPAIO non d éterministes avec entr ées/sorties et trois types de deadlines. La premi ère étape est la construction d’un testeur à partir d’un TPAIO donn é pour r ésoudre les contraintes d’horloges, d éterminiser le TPAIO et produire des verdicts d’ échec f ail mod élisant des cas de non conformit é. La deuxi ème étape est le calcul d’un automate d’atteignabilit é à partir du testeur obtenu afin de calculer un ou plusieurs chemins en-tre deux localit és symboliques en respectant les contraintes de pile. La troisi ème étape consiste à g én érer des cas de tests en utilisant chaque transition de l’automate d’at-teignabilit é allant d’une localit é symbolique initiale vers une localit é symbolique finale. Les cas de tests sont individualis és pour v érifier si l’une des ex écutions d’un mod èle d’impl émentation conduit à f ail. Dans le cadre d’une ex écution des tests sur une v éritable impl émentation, il est pr éf érable de consid érer un arbre de tests afin de poursuivre l’ob-servation le plus loin possible pour limiter les verdicts inconclusifs. Nous évaluons la capacit é de notre m éthode à d étecter des impl émentations non-conformes par une tech-nique de mutation qui permet de modifier automatiquement un TPAIO donn é par l’appli-cation d’un op érateur de mutation. Nos r ésultats exp érimentaux montrent que la grande majorit é des mutants non-conformes sont d étect és. Ce travail a donn é lieu aux publica-tions [MJMR15d][MJMR15c].

(28)

1.3/

O

RGANISATION DU DOCUMENT

Ce m ´emoire est form ´e de trois parties.

La premi ère partie contient les trois chapitres suivants. Le pr ésent chapitre pr ésente le contexte, les motivations et les objectifs de la th èse. Nous introduisons des d éfinitions, notations, propositions et th éor èmes indispensables à la lecture de cette th èse dans le chapitre 2. Nous pr ésentons tout d’abord les notions relatives aux syst èmes de transition étiquet és, puis les notions relatives aux automates temporis és et enfin les notions relatives aux automates à pile. Nous pr ésentons d’abord dans le chapitre 3 quelques notions g én érales pour le domaine du test, en particulier sur les m éthodes de g én ération de tests à partir de mod èles et le test de conformit é. Nous pr ésentons aussi des m éthodes de g én ération de tests à partir d’un syst ème de transition étiquet és, un automate temporis é avec entr ées/sorties et un automate à pile.

La deuxi ème partie contient les quatre chapitres suivants. Elle pr ésente nos contribu-tions. Nous pr ésentons dans le chapitre 4 le mod èle sur lequel portent nos travaux et notre relation de conformit é pour ce mod èle qui est notre premi ère contribution. Le chapitre 5 pr ésente notre solution algorithmique de complexit é polynomiale de g én ération de tests à partir d’un automate à pile temporis é avec entr ées/sorties o ù les deadlines de toutes les transitions sont lazy. Ce chapitre pr ésente notre deuxi ème contribution. Le chapitre 6 pr ésente notre troisi ème contribution qui est le test de conformit é à partir d’un programme r écursif temporis é mod élis é par des automates à pile temporis és d éterministes o ù toutes les transitions ont pour deadline delayable. Notre quatri ème contribution est pr ésent ée dans le chapitre 7. C’est une m éthode de g én ération de tests

`a partir d’un TPAIO non d ´eterministe prenant en compte les trois types de deadline.

La troisi ème partie contient le chapitre 8 qui cl ôt ce m émoire de th èse en pr ésentant les conclusions et en exposant les perspectives de ces travaux.

(29)

(30)

P

R

ELIMINAIRES

´

Sommaire

2.1 Syst èmes de transitions étiquet és (LTS) et IOLTS . . . . 9

2.2 Automates temporis ´es . . . . 11

2.3 Discr ´etisation des automates temporis ´es . . . . 16

2.4 R `egles de simplification d’un automate temporis ´e avec −transitions 24

2.5 D ´eterminisation des automates temporis ´es . . . . 27

2.6 Automates `a pile . . . . 31

2.7 Conclusion . . . . 36

Dans ce premier chapitre, nous introduisons quelques notions et nous donnons des d éfinitions des mod èles qui sont largement utilis és pour sp écifier des syst èmes com-portementaux et des syst èmes temps-r éel dans le but de les tester et de les v érifier. Nous commençons par introduire le mod èle des syst èmes de transitions avec actions d’entr ées/sorties (section 2.1) qui permettent une observation externe des syst èmes. Nous d éfinissons dans la section 2.2 le mod èle classique des automates temporis és, tel qu’il a ét é introduit par Alur et Dill dans [AD94] pour les v érifier par model-checking. Nous d éfinissons aussi dans la section 2.2 le mod èle des automates temporis és avec dead-lines (TAD) [BST98], le mod èle de automates temporis és avec entr ées/sorties (TAIO) et la composition parall èle de deux TAIO. Le temps étant interpr ét é dans le domaine des nombres r éels, la s émantique d’un automate temporis é est un syst ème de transition in-fini. La r éduction de l’espace d’ états d’un domaine continu vers un domaine discret est une phase importante pour la v érification et le test formel des syst èmes temps-r éel. Nous pr ésentons dans la section 2.3 des m éthodes de discr étisation des automates temporis és comme la r éduction par partitionnement en r égions, la r éduction par partitionnement en zones et la r éduction par discr étisation du temps. Nous donnons dans la section 2.4 des r ègles pour la simplification d’un automate temporis é. Étant donn é que le d éterminisme est n écessaire pour la g én ération des cas de tests, nous pr ésentons des m éthodes de d éterminisation des automates temporis és dans la section 2.5. Enfin, nous pr ésentons dans la section section 2.6 les automates à pile.

2.1/

S

YSTEMES DE TRANSITIONS

`

ETIQUET

´

ES

´

(LTS)

ET

IOLTS

Un syst ème de transitions étiquet ées LTS (Labeled Transition System) [Arn94][BT00] est un mod èle abstrait compos é d’un ensemble de transitions entre des états. Ce mod èle est utilis é pour donner une s émantique formelle à des nombreuses descriptions de

(31)

s₀ s1 s₂ s₃ s₄ ?A !B !C τ τ FIGURE2.1 – Exemple d’IOLTS

syst èmes comportementaux comme les syst èmes d’ év énements [Abr10], les automates, les automates à pile, les automates temporis és, etc. Les syst èmes de transitions à entr ées/sorties IOLTS (Input Output Labeled Transtion System) [Tre96] de Tretmans sont une extension des LTS qui font la distinction entre les actions contr ôlables (les actions d’entr ées), les actions observables (les actions de sorties) et les actions internes not ées τ ni contrôlables, ni observables. Ces distinctions de catégories d’actions permettent de d éfinir des relations de conformit é entre une impl émentation et ce mod èle.

Formalisons maintenant la notion d’IOLTS dans la Def. 1.

D éfinition 1 : IOLTS [Tre96] - Syst ème de Transitions avec Entr ées/Sorties

Un syst ème de transitions avec entr ées/sorties (IOLTS) est un quadruplet T = hS, s0, Σin∪Σout∪ {τ}, ∆i où :

— S est un ensemble d’ ´etats, — s0est l’ ´etat initial,

— Σinest un ensemble fini de symboles d’actions d’entr ´ee,

— Σout est un ensemble fini de symboles d’actions de sortie,

— τ est une action interne,

— ∆ ⊆ S × Σin∪Σout∪ {τ} × S est un ensemble fini de transitions ´etiquet´ees

par un symbole d’action.

Chaque transition est un triplet tr= (s, a, s0_{) not ´ee s}_{→ s}₋a 0_{o `u :}

— s est l’ ´etat source de la transition,

— a est une action qui peut être soit ?A, soit !B, soit τ pour respectivement mod éliser une action de r éception d’un symbole A ∈Σin, d’envoi d’un symbole B ∈Σout et de

r ´ealisation d’une action interne τ, — s0est l’ ´etat cible de la transition.

Un chemin π d’un IOLTS est une s équence finie de transitions : s0 a0 −−→ s1 a1 −−→ s2· · · sn−1 an−1 −−−→ sn. Dans le cas des IOLTS, un chemin repr ésente une ex écution du syst ème mod élis é.

Sa trace est la s ´equence finie des symboles d’actions qui l’ ´etiquettent ρ= a0a1...an. Ainsi,

ρ appartient `a (Σin∪Σout∪ {τ})∗.

Notons qu’un LTS est classiquement un quadruplet (S , s0, Σ, ∆) o`u Σ ne repr´esente qu’une

seule cat égorie d’action o ù on ne distingue pas les entr ées, des sorties et des actions internes.

Exemple 2.1.1. La Fig 2.1 pr ´esente un exemple d’IOLTS o `u S = {s₀, s₁, s₂, s₃, s₄}, τ est une action interne et inobservable,Σin = {A} et Σout = {B, C}.

(32)

Un blocage peut être observ é au niveau d’un état. Cette notion est li ée à l’absence d’ob-servation. Nous distinguons les trois types de blocages [Mor00] suivants :

— deadlock : aucune évolution possible, c’est à dire qu’aucune transition n’est tirable à partir d’un état. C’est le cas de l’ état s₂du IOLTS pr ésent é dans la Fig. 2.1. — outputlock : un état est en blocage de sortie si le syst ème est en état d’attente

d’une action provenant de l’environnement. C’est le cas de l’ ´etat s0 de l’IOLTS

pr ´esent ´e dans la Fig. 2.1.

— livelock : Un état est dans un livelock s’il existe un cycle d’actions internes. C’est le cas des états s3 et s4de l’IOLTS pr ésent é dans Fig. 2.1.

2.2/

A

UTOMATES TEMPORISES

´

Dans cette partie, nous allons d éfinir une syntaxe et une s émantique des automates tem-poris és, des automates temtem-poris és avec deadlines et des automates temtem-poris és avec entr ées/sorties. Nous d éfinissons aussi la composition parall èle de deux automates tem-poris és avec entr ées/sorties.

2.2.1/ AUTOMATE TEMPORISE´

Les automates temporis és (TA pour Timed Automata) mod élisent des syst èmes temps r éel. Ils ont ét é introduits par Alur et Dill dans [AD94]. Ce sont des automates munis d’horloges mod élis ées par des variables r éelles positives continues. Ils sont compos és d’un ensemble fini de localit és et d’une relation de transition entre ces localit és. Le temps s’ écoule dans les localit és et les valeurs des horloges augmentent toutes à la m ême vitesse.

Soit X un ensemble d’horloges, Grd(X) est un langage de gardes d’horloge d éfini par la conjonction d’expressions x ] n o ù x est une horloge de X, n est une constante de type entier et ] ∈ {<, ≤, >, ≥,=}. CC(X) est le langage des contraintes d’horloge défini comme des conjonctions d’expressions e ] n o ù e est soit x, x − x0_.

Formalisons maintenant la notion de TA dans la Def. 2.

D ´efinition 2 : TA [AD94] - Automate Temporis ´e

Un automate temporis ´e (TA) est 6-uplet T = (L, l0, Σ, X, ∆, F) o`u :

— L est un ensemble fini de localit ´es, — l0 est la localit ´e initiale,

— Σ est un ensemble fini de symboles d’actions, — X est un ensemble fini d’horloges,

— F ⊆ L est un ensemble de localit ´es finales,

— ∆ ⊆ L × Σ × Grd(X) × 2X_{× L}_{est un ensemble fini de transitions.}

Chaque transition est un quintuplet tr= (l, a, g, X0_{, l}0_{) not ´e l} a,g,X

0

−−−−→ l0 o `u : — l est la localit ´e source de la transition,

(33)

— g est la garde qui doit ˆetre satisfaite par les horloges de X,

— X0 est l’ensemble des horloges remises `a z ´ero lors du franchissement de la tran-sition,

— l0est la localit ´e cible de la transition. La s ´emantique d’un TA est un LTS < ST_{, s}T

0, Σ ∪ R+, ∆

T _{> o`u s}T

0 est l’ ´etat initial, S T

est un ensemble d’ ´etats et ∆T _{est un ensemble de transitions. Un ´etat de S}T _{est un}

couple (l, v) ∈ L × (X → R+) o ù l repr ésente la localit é de contr ôle courante et v est une valuation des horloges de l’ensemble X. La s émantique est un syst ème de transition infini car chaque horloge peut prendre une infinit é de valeurs lors de l’ écoulement du temps. Dans cette s émantique, il existe deux types de transitions qui sont des triplets dans l’ensemble ST × Σ ∪ R+× ST : (1) des transitions d’ écoulement du temps : pour t ∈ R+, on note (l, v) →t _{(l, v}0_{) si v}0 _{= v + t et (2) des transitions discrètes : pour A ∈ Σ,}

on note (l, v) →A _(l0_{, v}0_{) s’il existe une transition (l, A, g, X}0_{, l}0_{) ∈} _{∆ telle que v satisfasse g}

et v0 = v[X0 := 0] où v[X0 := 0] représente la remise à zéro des horloges de X0 dans la valuation d’horloges v.

Dans la section 2.3, nous pr ésentons des m éthodes pour discr étiser ces LTS et donner à un TA une s émantique par un LTS de taille finie permettant de d éfinir des m éthodes algorithmiques de v érification.

2.2.2/ AUTOMATE TEMPORISE AVEC DEADLINES´

Un automate temporis é avec deadlines appel é TAD (Timed Automata with Deadlines) est une extension du mod èle des TA en ajoutant aux transitions du TA des dead-lines [BST98][SY96]. Une transition avec deadline est un 6-uplet (l, A, g, d, X0_{, l}0_{) not é}

l a,g,d,X

0

−−−−−−→ l0 o ù d est une deadline, soit lazy, soit delayable, soit eager. Cette deadline d étermine la deadline du d éclenchement de l’action A. La deadline lazy n’exprime aucune deadline particuli ère et permet à l’action de A de se d éclencher quand sa garde g est satisfaite, mais, aussi au temps de s’ écouler ind éfiniment sans d éclencher A. La deadline delayable oblige, quand sa garde est satisfaite, l’action A à se d éclencher avant que sa garde ne soit plus satisfaite : elle interdit au temps de s’ écouler au del à, sauf si l’instant initial d’arriv ée dans la localit é était d éj à au del à de l’instant maximum o ù la garde peut être vraie. La deadline eager oblige l’action A à se d éclencher aussit ôt que sa garde est satisfaite. Au del à le temps ne peut pas s’ écouler, sauf si l’instant initial d’arriv ée dans la localit é est au del à de l’instant maximum d écrivant comment le temps est autoris é à s’ écouler par rapport au d éclenchement d’une transition. Ces conditions d’ écoulement de temps sont appel ées TPC (Time Progress Condition). La Fig. 2.2 illustre les diff érents cas de deadline pour la garde g d’une transition. Le temps peut s’ écouler ind éfiniment avec la deadline lazy. Il ne peut pas s’ écouler avec la deadline eager quand g est évalu é à vrai. Il peut s’ écouler avec la deadline delayable mais pas à l’instant o ù le temps a atteint l’instant maximal o ù la garde g est vraie.

Dans la s émantique du TAD, il existe deux types de transitions satisfaisant des conditions suppl émentaires li ées aux deadlines :

• _{Transition d’ ´ecoulement du temps : pour t ∈ R}+, il y a une transition (l, v) →t

(l, v0) o `u v0 = v + t, si et seulement s’il n’existe pas de transition (l, a, g, d, X0, l0) ∈ ∆ telle que : (1). soit d = delayable et il existe t1 et t2 tels que 0 6 t1< t26 t, v + t1 g

(34)

et v+ t22 g, (2). soit d = eager et il existe t1 tel que 0 6 t1< t et v + t1 g.

• Transition discr `ete : pour A ∈Σ, il y’a une transition (l, v) →A _(l0_{, v}0_{) s’il existe une}

transition (l, A, g, d, X0, l0) ∈∆ et que v satisfait la garde g et que v0 = v[X0:= 0], c’est à dire v0 _{est la valuation de v dans laquelle les horloges de X}0 _{ont ét é remises à}

z ´ero.

FIGURE2.2 – R épr ésentation des TPC pour une transition de garde g, selon la deadline-Les ’X’ repr ésentent les instants o ù le temps n’est pas autoris é à s’ écouler dans la localit é source de la transition de garde g et de deadline indiqu é

Les auteurs de [BST98] ne permettent pas que les gardes des transitions avec deadline delayablesoient sous la forme x < c (inf érieur strict) car il n’existe pas de ”dernier instant” avant c o ù la garde est encore vraie. Ils ne permettent pas non plus que les gardes des transitions avec deadline eager soient sous la forme x > c (sup érieur strict) car il n’y a pas de ”premier instant” apr ès c o ù la garde n’est plus vraie.

l₁

l₂ l₃

A, 1 6 x 6 5, d₁ B, 4 6 y 6 6, d2

FIGURE2.3 – Partie d’un exemple de TAD

On pr ésente dans la table 2.1 la TPC de la localit é l1 du TAD pr ésent é dans la Fig. 2.3

pour les diff ´erents types de deadline pour les deux transitions (l1, A, 1 6 x 6 5, d1, ∅, l2)

et (l1, B, 4 6 y 6 6, d2, ∅, l3). La valuation d’horloge dans la localit ´e l1 est une valuation

quelconque. Le temps peut s’ écouler ind éfiniment dans la localit é l1 si d1 = lazy et d2 =

lazy. Pour d1 = delayable et d2 = lazy, le temps ne peut s’´ecouler que si x , 5. Par contre,

le temps ne peut s’ ´ecouler dans l1que si x < 1 ∨ x > 5 pour d1= eager et d2= lazy car si la

valeur courante de l’horloge x à l1est inf érieure à 1, alors, le temps peut s’ écouler avant

que la valeur d’horloge x atteigne la valeur 1. Mais, si la valeur courante de l’horloge x à l1 est strictement sup érieure à 5, alors, le temps peut s’ écouler ind éfiniment et il n’est

pas permis de franchir la transition ´etiquet ´ee avec A. Si d1= delayable et d2 = eager, alors,

(35)

l’horloge x soit diff érente de 5 ou que la valeur d’horloge y d épasse 6 et que la valeur de l’horloge x soit diff érente de 5.

d1= lazy d1 = delayable d1= eager

d2= lazy true x , 5 x< 1 ∨ x > 5

d2= delayable y , 6 y , 6 ∧ x , 5 y , 6 ∧ (x < 1 ∨ x > 5)

d2= eager y< 4 ∨ y > 6 (y < 4 ∨ y > 6) ∧ x , 5 (y < 4 ∨ y > 6) ∧ (x < 1 ∨ x > 5)

TABLE2.1 – TPC de la localit ´e l1du TAD de la fig. 2.3 en fonction des deadlines d1et d2

2.2.3/ AUTOMATE TEMPORISE AVEC ENTR´ EES´ /SORTIES (TAIO)

Un automate temporis é avec entr ées/sorties (TAIO pour Timed Automata with Inputs and Outputs) [KT09] est un automate temporis é avec deadlines en consid érant que Σ = Σin ∪Σout ∪ {τ} où Σin est un ensemble fini de symboles d’entr ées, Σout est un

en-semble fini de symboles de sorties et τ est une action interne et inobservable. L’environ-nement, ainsi qu’un testeur, envoie des commandes deΣinet observe des sorties deΣout.

L’impl ´ementation sous test (IUT pour Implementation Under Test), envoie des actions observable de Σout et accepte des commandes de Σin. Pour un TAIO, il est n ´ecessaire

d’introduire :

• Son chemin π est une s ´equence finie de transitions : l0

a0,g0,d0,X0 −−−−−−−−→ l1 a1,g1,d1,X1 −−−−−−−−→ l₂· · · ln−1 an−1,gn−1,dn−1,Xn−1 −−−−−−−−−−−−−−→ ln.

• Son ex écution est un chemin de l’IOLTS qui d éfinit sa s émantique. Il alterne des transitions d’ écoulement de temps et des actions discr ètes. σ= (l0, v0) →t0 (l0, v0+

t0) →a0 (l1, v1) →t1 (l1, v1+ t1) →a1 (l2, v2) →t2 ... →an−1 (ln, vn) o `u ti ∈ R+et ai∈Σ pour

chaque 0 6 i 6 n − 1 est une ex ´ecution de π si vi satisfait gipour 0 6 i < n et si les

ti satisfont les TPC.

• Sa trace est une s ´equence finie ρ= t0a0t1a1...tnande (Σ ∪ R+)∗.

sT₀ →ρ s signifie que l’ état s est atteignable à partir de l’ état initial sT

0, i.e. il existe une

ex ´ecution σ `a partir de sT

0 vers s dont la trace est ρ. s T 0 →

ρ _{signifie qu’il existe s}0 _{tel que}

sT₀ →ρ s0. On note RT (Σ) l’ensemble des traces finies (Σ∪R)∗. Pour une trace ρ, on d ´efinit : • P_Σ₁(ρ) est la projection de la trace ρ sur Σ1 ⊆ Σ en conservant les d´elais (et en

cumulant ceux qui se succ `edent directement). Par exemple, si ρ = 5a4b2, alors, P{a}(ρ)= 5a42 = 5a6.

• T ime(ρ) est la somme de tous les d ´elais de ρ. Par example, T ime(5a42)= 11. Soit un TAIO T , on dit que :

• T est d ´eterministe si pour toute localit ´e l dans L, pour chaque action a dans Στ et pour tous les couples de transitions distinctes t1 = (l, a, g1, X1, l1) et t2 =

(l, a, g2, X2, l2) dans∆ alors g1∧ g2 n’est pas satisfiable.

• T est observable s’il n’existe aucune transition ´etiquet ´ee par τ.

• Reach(T ) = {sT ∈ ST | ∃ρ.(ρ ∈ RT (Σ) ∧ sT₀ →ρ sT} est l’ensemble des ´etats at-teignables du TAIO T .

• T est non bloquant si ∀(s, t).(s ∈ Reach(T )∧t ∈ R+⇒ ∃ρ.(ρ ∈ RT (Σout∪{τ})∧T ime(ρ) =

(36)

• T est complet en entr ée s’il accepte n’importe quelle entr ée dans chaque localit é. Deux TAIO peuvent synchroniser leurs actions de sorties et d’entr ées. Soit T1 =

(LT1, lT1 0 , Σ T1 in ∪Σ T1 out∪ {τ T1}, XT1, ∆T1, FT1_{) et T} 2= (LT2, lT₀2, ΣTin2∪Σ T2 out∪ {τ T2}, XT2, ∆T2, FT2_{) deux}

TAIO. L’expression A ∈ ΣT1→T2 signifie que A ∈ Σ

T1 out et A ∈ Σ T2 in. A ∈ ΣT2→T1 signifie que A ∈ ΣT1 in and A ∈ Σ T2

out. Deux TAIO T1 et T2 o `u ΣT2→T1 ⊆ Σ

T1 in ∩Σ T2 out etΣT1→T2 ⊆ Σ T1 out ∩Σ T2 in

sontcompatiblessi XT1_{∩ X}T2 = ∅, les ensembles Σ

T1→T2,Σ T1 out\ΣT1→T2,ΣT2→T1,Σ T1 in \ΣT2→T1, ΣT2 in \ΣT1→T2 etΣ T2

out\ΣT2→T1 sont disjoints deux `a deux, T1et T2 sont complets en entr ´ees

et toutes les transitions avec entr ´ees sont lazy.

Exemple 2.2.1. La Fig. 2.4 montre un exemple de TAIO. Ce TAIO est pr ´esent ´e

dans [KT05]. Il mod élise un syst ème de d étection d’action de simple ou double clic d’une souris. Dans la localit é l1, la transition l1

?clic,x<1,lazy

−−−−−−−−−−→ l2 est d ´eclenchable tant

que x < 1, mais si le temps s’ écoule jusqu’ à 1 sans arriv ée de clic, alors la transition l1

!simple,x=1,eager,{x}

−−−−−−−−−−−−−−−−→ l0est franchie en deadline et le syst `eme reconnait donc un simple clic.

La transition l1

?clic,x<1,lazy

−−−−−−−−−−→ l2 n’est alors plus franchissable. Si le deuxi `eme clic arrive tant

que x < 1 est vraie, il est pris en compte par la s ´equence l1, l2, l0. Les autres clics qui

arriveraient apr ès x = 1 sont ignorés par la transition réflexive l2 → l2. Un n-clic est un

double clic avec n > 2.

l₀ l₁ l2 ?clic, lazy !simple, x= 1, eager, {x} ?clic, x < 1, lazy ?clic, x < 1, lazy !double, x= 1, eager, {x}

FIGURE2.4 – TAIO de reconnaissance de clics simple ou double

2.2.4/ COMPOSITION PARALLELE DE DEUX` TAIO

La composition parall èle de syst èmes temporis és est consid ér ée comme une extension de la composition parall èle de syst èmes non temporis és. Soit T1 = hL1, l1₀, Σ1in ∪Σ1out ∪

{τ1_{}, X}1_{, ∆}1_{, F}1_i_{et T}

2 = hL2, l2₀, Σ2_in∪Σ2out∪ {τ2}, X2, ∆2, F2ideux TAIO compatibles. La

com-position parall èle de T1et T2est un TAIO dont les transitions sont d éfinies selon les r ègles

suivantes :

• T1 évolue ind épendamment sur une action qui est une de ses actions d’entr ée ou

de sortie ou interne et qui n’est ni une action de sortie ni une action d’entr ´ee dans T2.

• T2 évolue ind épendamment sur une action qui est une de ses actions d’entr ée ou

de sortie ou interne et qui n’est ni une action de sortie ni une action d’entr ´ee dans T1.

• les transitions de T1et T2se synchronisent sur les actions communes qui sont des

(37)

• les transitions de T1et T2se synchronisent sur les actions communes qui sont des

actions de sortie de T2 et d’entr ´ee de T1.

Formalisons maintenant la notion de composition parall `ele de deux TAIO dans la Def. 3.

D ´efinition 3 : Composition parall `ele de deux TAIO [KT09]

Soit T1 = hLT1, lT₀1, ΣTin1 ∪Σ T1

out ∪ {τT1}, XT1, ∆T1, FT1i et T2 = hLT2, lT₀2, ΣTin2 ∪Σ T2

out ∪

{τT2}, XT2, ∆T2, FT2_i_{deux TAIO compatibles, la composition parall `ele PC} = T

1 k T2 est le TAIO hLT1 _{× L}T2, (lT1 0 , l T2 0 ),Σ T1 in ∪Σ T1 out, X T1 _{∪ X}T2, ∆, FT1 _{× F}T2_i _{o `u} ∆ est une

relation de transition telle que :

(i) ((lT1, lT2_{), a, g}T1, dT1, XT10, (lT10, lT2_{)) ∈} ∆ si (lT1, a, gT1, dT1, XT1, lT10_{) ∈} ∆T1 _et a ∈(ΣT1 out\Σ T2 in) ∪Σ T1 in \Σ T2 out) ∪ {τ T1_}. (ii) ((lT1, lT2_{), a, g}T2, dT2, XT20, (lT1, lT20_{)) ∈}∆ si (lT2, a, gT2, dT2, XT1, lT20_{) ∈} ∆T2 _et a ∈(ΣT2 out\Σ T1 in) ∪ (Σ T2 in \Σ T1 out) ∪ {τT2}. (iii) ((lT1, lT2_{), a, g}T1 _{∧ g}T2, dT1, XT1 _{∪ X}T2, (lT10, lT20_{)) ∈} ∆ si (lT1, a, gT1, dT1, XT1, lT10_{) ∈}∆T1 _{et (l}T2, a, gT2, XT2, lazy, lT20_{) ∈}∆T2 _{et a ∈}Σ T1−→T2. (iv) ((lT1, lT2_{), a, g}T1 _{∧ g}T2, dT2, XT1 _{∪ X}T2, (lT10, lT20_{)) ∈} ∆ si (lT1, a, gT1, lazy, XT1, lT10_{) ∈}∆T1 _{et (l}T2, a, gT2, XT2, dT2, lT20_{) ∈}∆T2 _{et a ∈}Σ T2−→T1.

2.3/

D

ISCRETISATION DES AUTOMATES TEMPORIS

´

ES

´

La s émantique d’un automate temporis é est un syst ème de transition infini. Des tech-niques d’abstraction vers des syst èmes de transition de taille finie ont ét é propos ées dans la litt érature pour d éfinir des m éthodes de v érification algorithmiques. N éanmoins la com-plexit é de ces m éthodes est telle qu’elles sont difficilement applicables sur des syst èmes r éels. La probl ématique est donc de d éfinir des m éthodes de v érification et/ou de valida-tion dont la complexit é les rend utilisables en pratique sur des mod èles de grande taille. Nous pr ésentons dans la partie 2.3.1 une technique de r éduction de l’espace d’ états par partitionnement en r égions. Une technique de r éduction par partitionnement en zones de l’espace d’ états est pr ésent é dans la partie 2.3.2. Nous évoquons une m éthode de r éduction par discr étisation du temps dans la partie 2.3.3.

2.3.1/ R ´EDUCTION PAR PARTITIONNEMENT EN REGIONS´

Dans cette partie, on s’int éresse à une technique de r éduction de l’espace d’ états. Cette technique est une technique de partitionnement en r égions. Elle permet de passer d’un domaine dense à un domaine discret. L’ensemble infini des états est partitionn é selon une relation d’ équivalence en des groupes qui sont des classes d’ équivalence d’ états appel ées des r égions. En appliquant cette technique, on obtient un automate appel é

Automates de r ´egions.

Avant de d éfinir la relation d’ équivalence (voir Def. 4), les notations utilis ées sont : • fract(t) : la partie d écimale de t, btc : la partie enti ère de t.

• pour tout x de X, on note par cx la constante la plus grande apparaissant dans les

(38)

D ´efinition 4 : ´Equivalence de deux valuations d’horloges [AD94]

Deux valuations v1et v2 sont ´equivalentes, ce que l’on note v1 v2si :

1. Pour toute horloge x ∈ X, soit bv1(x)c = bv2(x)c, soit v1(x) > cx et v2(x) > cx.

2. Pour toutes horloges x1, x2 ∈ X telle que v1(x1) ≤ cx1 et v2(x2) ≤ cx2,

fract(v₁(x1)) ≤fract(v1(x2)) si et seulement si fract(v2(x1)) ≤fract(v2(x2)).

3. Pour toute horloge x ∈ X telle que v1(x)6 cx, fract(v1(x))= 0 si et seulement

si fract(v2(x))= 0.

Le nombre de r égions d épend à la fois de la valeur maximale qui peut être atteinte par une horloge de X et du nombre d’horloges.

Exemple 2.3.1. L’ensemble des r ´egions dans le cas cx = 2 avec une seule horloge x est

d éfini ainsi : R= {0, ]0, 1[, 1, ]1, 2[, 2, ]2, ∞[} et représenté ainsi :

La Fig. 2.5 pr ´esente 28 r ´egions dans le cas cx = 2 et cy= 1 avec deux horloges x et y.

FIGURE2.5 – Ensemble des r ´egions dans le cas cx= 2 et cy = 1

D ´efinition 5 : Successeur d’une r ´egion [AD94]

La r égion r0 est la r égion suivante de r, not ée succ(r)= r0 si et seulement si : ∀v.(v ∈ r ⇒ ∃t.(t ∈ R+_{∧ v}_{+ t ∈ r}0_{∧ ∀t}0_.(t0 _{< t ⇒ v + t}0 _{∈ (r ∪ r}0₎₎₎

Un automate des r égions est une abstraction finie d’un automate temporis é, tout en pr éservant des propri ét és int éressantes. Il est form é d’un ensemble fini d’ états qui sont des couples (l, α) o ù l ∈ L et α est une r égion d’horloge. Il permet d’ étudier les propri ét és d’un automate temporis é car il y a une bisimulation temporelle entre un automate tempo-ris é et son automate des r égions. Il est formellement d éfini dans la Def. 6.

(39)

D ´efinition 6 : Automate des r ´egions [AD94]

Soit T = (L, l0, Σ, X, T, F) un TA, son automate des r´egions R(T) = hST, sT₀, Σ, ∆Ti

est un LTS d ´efini ainsi :

• Les états de ST sont des couples (l, α) o ù l ∈ L et α est une r égion d’hor-loge.

• L’ ´etat initial est sT

0 = (l0, [v0]) o `u v0(x)= 0 pour toute horloge de X.

• Il y a un arc ((l, α), a, (l0, α0)) dans∆T si et seulement s’il existe une transi-tion (l, a, g, X0_{, l}0_{) dans T et une r ´egion d’horloge α” telles que :}

— α” est le successeur de α (voir Def. 5), — α” satisfait g

— α0= α”[X0:= 0]

Exemple 2.3.2. La Fig. 2.6 pr ´esente un exemple d’un automate temporis ´e muni de deux

horloges x et y et qui est pr ´esent ´e dans [AD94].

l0 l1 l2 l3 d, x > 1 c, y > 0 ∧ x < 1 a, y < 1,{y} a,{y} b, y= 1 c, x < 1

FIGURE2.6 – TA `a deux horloges

l0, x = y = 0 l1, 0 = y < x < 1 l1, y = 0, x = 1 l1, y = 0, x > 1 l2, 1 = y < x l3, 0 < y < x < 1 l3, 0 < y < 1 < x l3, 1 = y < x l1, x > 1, y > 1 a a a a a a b b b c d d d d d d d d

(40)

La Fig. 2.7 pr ésente une partie de l’automate des r égions de l’automate temporis é pr ésent é dans la Fig. 2.6. Seules les r égions accessibles à partir de la r égion initiale (l0, x = y = 0) sont présentées. Nous avons Cx= 1 et Cy= 1. L’état initial est (l0, x = y = 0).

On a trois r égions à partir de l’ état initial x = y ∧ 0 < x < 1, 1 , x = y ∧ x > 1. Donc, on peut atteindre trois nouveaux états à partir de l’ état initial par l’action a mais dans trois r égions distinctes. Il y a par exemple l’arc ((l0, x = y = 0), a, (l1, y = 0, 0 < x < 1)) car la

r égion y= x ∧ 0 < x < 1 est le successeur de x = y = 0. La région y = 1 ∧ x = 1 satisfait la garde true et la r égion y= 0, x = 1 est égale à (y = 1, x = 1)[y := 0]. On trouve aussi les arcs ((l0, x = y = 0), a, (l1, 0 = y < x < 1)) et ((l0, x = y = 0), a, (l1, y = 0, x > 1)). La transition

(l2, c, x < 1, ∅, l3) n’est pas d éclenchable car pour quand y est égal à 1 dans la localit é l2,

alors, la valeur de l’horloge x est sup ´erieure `a 1.

A la fin de cette phase, on obtient un graphe des r égions de taille exponentielle. Le graphe des r égions est donc exponentiel selon le nombre d’horloges et selon le codage binaire de la constante maximale qui peut être atteinte par les horloges. Cette m éthode de partitionnement de l’espace infini d’ états en un ensemble fini de r égions a ét é largement utilis ée pour la v érification d’accessibilit é sur les syst èmes temps-r éel. Elle permet de montrer la d écidabilit é du probl ème du vide pour la classe des automates temporis és. Le probl ème du vide est de tester si le langage reconnu par l’automate est vide ou non.

Th éor ème 2.3.1 (Problème de vide [AD94] ). Le probl ème du vide est d écidable pour les

automates temporis ´es. C’est un probl `eme PSPACE-complet.

L’automate des r égions est un automate d’ états fini reconnaissant exactement le m ême langage non temporis é que son automate temporis é. Le probl ème d’accessibilit é con-siste à d écider si un état de contr ôle dans un automate temporis é donn é est atteignable. La d écidabilit é de l’accessibilit é dans un automate temporis é est une propri ét é primor-diale dans l’utilisation de ce mod èle pour la v érification et pour le test. Les automates temporis és poss èdent une infinit é d’ états, ce qui rend d élicate la g én ération de tests à partir d’un tel mod èle.

Th éor ème 2.3.2. L’accessibilit é d’un état de contr ôle dans un automate temporis é est un

probl `eme PSPACE-complet [AD94] [AD90a].

La preuve de d écidabilit é pour ce probl ème est fond ée sur le graphe des r égions.

Th éor ème 2.3.3. Une localit é l est accessible dans un automate temporis é T si et

seule-ment si un ´etat de la forme (l, r) est accessible dans son graphe des r ´egions.

2.3.2/ R ´EDUCTION PAR PARTITIONNEMENT EN ZONES [DT98]

Les r égions, introduites dans la sous-section 2.3.1, constituent une repr ésentation sym-bolique. Cependant, le nombre de r égions est exponentiel dans la taille de l’automate. Pour v érifier ce mod èle par model-checking, il est n écessaire de maitriser sa taille m ême s’il est un mod èle fini. La plus commun ément utilis ée est la repr ésentation symbolique appel ée zone qui est utilis ée dans la majorit é des algorithmes d évelopp és pour les syst èmes temporis és et qui est plus compacte que les r égions.

Une zone d’horloges [BCBB09] est un espace convexe d éfini par une conjonction d’in égalit és qui comparent soit une valeur d’horloge à un nombre entier ou la diff érence

(41)

entre deux valeurs d’horloge `a un nombre entier. Elle est sous la forme : V

06i, j6nb

xi− xj ≺ ni j o `u ≺ ∈ {<, 6}, nb est le nombre d’horloges, ni j ∈ N et xisont des horloges. On

introduit une horloge sp éciale x0qui est toujours égale à z éro.

Exemple 2.3.3. La figure ci-dessous donne un exemple d’une repr ´esentation graphique

de la zone x − x0> 1 ∧ y 6 3 ∧ x − y < 2 `a deux horloges x et y avec x0qui est une horloge

constante `a valeur 0.

2.3.2.1/ GRAPHE DES ZONES

L’abstraction par graphe des zones propose une solution pour r éduire l’espace d’ états tout en pr éservant des propri ét és d’accessibilit é équivalente au graphe des r égions. Chaque

état du graphe est un couple localit é et zone. Il est formellement d éfini dans la Def. 7.

D ´efinition 7 : Graphe des zones [DT98]

Soit T = (L, l0, Σ, X, T, F) un TA, son graphe des zones Z(T) hST, sT₀, Σ, ∆Tiest un

LTS d ´efini ainsi :

• Les états de ST sont des couples (l, z) o ù l ∈ L et z est une zone. • L’ état initial est sT

0 = (l0, z0) o `u l0est la localit ´e initiale de T et z0est la zone

initiale telle que toutes les horloges de X sont initialis ées à z éro.

• Il y a un arc ((l, z), a, (l0, z0)) dans∆Tsi et seulement s’il existe une transition (l, a, g, X0, l0) dans T et une zone z” telles que :

— z00 _{= est le successeur de z,}

— z00 satisfait g, — z0 = z00[X0:= 0] ,

— z0 _{= K − approximation(z}0_{) ,}

— z0 est une zone non vide.

L’op ération K-approximation est bien d étaill ée dans la sous section Sec. 2.3.2.3. C’est une op ération d’extrapolation. Elle permet d’assurer la terminaison de la construction du graphe des zones et que le nombre des états du graphe des zones soit fini. On a be-soin d’une structure de donn ées pour repr ésenter les zones. Une DBM est une structure de donn ées qui permet de tester l’inclusion de deux zones et de calculer ais ément les diff érentes op érations sur les zones comme l’intersection de deux zones, le successeur d’une zone, l’image d’une zone par une remise à z éro et la k-approximation d’une zone.

(42)

2.3.2.2/ LESDBMS

Une DBM (pour Difference Bounded Matrix) [Dil89] est une structure de donn ées qui permet de repr ésenter des syst èmes de contraintes de diff érences [CLRS09], mais elle a un int ér êt particulier pour la v érification des syst èmes temporis és car elle permet de repr ésenter les zones. Chaque zone d’horloges peut être repr ésent ée par une DBM. Les DBMpeuvent être utilis ées pour évaluer la satisfiabilit é d’une zone donn ée.

Une DBM d’une zone d’horloges z est une structure de donn ées permettant de repr ésenter une zone par une matrice carr ée M de dimension nb × nb o ù nb est le nombre d’horloges de z, incluant une horloge sp éciale x0 qui est toujours égale à z éro.

Un él ément Mi, jest sous la forme (ni j, ≺) où ni j ∈ N et ≺∈ {<, 6}.

La Fig. 2.8 montre une DBM M qui repr ´esente la zone d ´efinie ainsi : 1 6 x1 6 4 ∧

16 x26 3 ∧ x1− x26 1. Par exemple M2,1 = x2− x1 = (2, 6). La valeur de 2 est obtenue :

on a 1 6 x1 6 4 et 1 6 x26 3 donc 1 − 4 6 x2− x16 3 − 1. xi− xj x0 x1 x2 x₀ (0,6) (−1,6) (−1,6) x1 (4,6) (0,6) (1,6) x2 (3,6) (2,6) (0,6) FIGURE2.8 – DBM de la contrainte 1 6 x16 4 ∧ 1 6 x26 3 ∧ x1− x26 1

Les DBM peuvent être utilis ées aussi pour évaluer la satisfiabilit é d’une zone. Une DBM est non satisfiable si et seulement si la condition suivante est v érifi ée :

nb−1

X

i=0

(Mi,i+1)+ Mnb,1< (0, 6) (2.1)

L’addition de deux él éments Mi, j = (n, e) et Mi1, j1 = (n1, e1) est égale à (n+ n1, min(e, e1))

o ù < est repr ésent é par 0 et 6 par 1.

Les op érations d’intersection de deux zones, de remise à z éro d’une zone, de calcul du successeur d’une zone sont d éfinies sur la structure de donn ées DBM.

Intersection de deux zones z ∩ z0 : Soit M et M0 deux DBM qui repr ´esentent les zones z et z0 _{et M}00 _{= M ∩ M}0_{, l’intersection de M et M}0 _{est une DBM M}00 _{telle que}

M00i, j = min(Mi, j, M0i, j).

Remise à z éro d’une zone : La remise à zero d’un ensemble d’horloges X0 _{dans une}

zone z est égale z0 = z[X0 := 0]. La zone z est représentée par la DBM M. La zone z0 est repr ésent ée par la DBM M0 _{telle que :}