Vérification des applications temps réel

HAL Id: inria-00000560

https://hal.inria.fr/inria-00000560

Submitted on 2 Nov 2005

HAL is a multi-disciplinary open access

archive for the deposit and dissemination of

sci-entific research documents, whether they are

pub-lished or not. The documents may come from

teaching and research institutions in France or

L’archive ouverte pluridisciplinaire HAL, est

destinée au dépôt et à la diffusion de documents

scientifiques de niveau recherche, publiés ou non,

émanant des établissements d’enseignement et de

recherche français ou étrangers, des laboratoires

Vernadat

To cite this version:

Françoise Simonot-Lion, Ye-Qiong Song, Bernard Berthomieu, François Vernadat. Vérification des

applications temps réel. Jacky Akoka, Isabelle Comyn-Wattiau. Encyclopédie de l’informatique et

des systèmes d’information, Vuibert, 2005. �inria-00000560�

i

i

Véri ation des appli ations temps réel

FrançoiseSimonot-Lion,YeQiongSong, BernardBerthomieu,FrançoisVernadat

Mots- lés:véri ation,tempsréel,garantiedéterministe,garantieprobabiliste

Résumé: e hapitreprésentelesmoyensusuellementdisponiblespourvérierqu'unsystèmetempsréelrespe te les propriétés qui lui sont imposées. Ce i re ouvre des te hniques de véri ation qui reposent sur desmodèles mathématiquement analysables de manière exhaustive ou partielle. Les garanties exigées quant au respe t des ontraintespouvantêtredenaturedéterministeouprobabiliste,nousproposonsdeste hniquespour esdeuxtypes d'obje tifs.

1 Introdu tion

Les propriétés des systèmes temps réel sont imposées par les missions qui leur sont deman-déesetparladynamiquedessystèmesphysiques sous leur ontrle (que e soit dans le ontexte d'une ligne de produ tion ou d'un système em-barqué).Nousnousintéressons,dans e hapitre, auxméthodesquigarantissentqu'un telsystème est orre t.Cetermesigniequ'il doitassurer la

missiondemandéeetrespe tertoutesles proprié-tésspé iées.Prouverque essystèmesrespe tent lespropriétésquileurssontimposéespasse,entre autres,pardeuxa tivitésfondamentales.

Lapremièrerelèvedela on eptiond'une solu-tionquigarantisseles propriétésfon tionnelles. Ils'agit, dans e as, d'analyser les fon tionsdu système,leursintera tionsainsiquel'ar hite ture logi iellequilesimplémente.

6

?

-

-







Propriétés attendues









Des ription informelle Modélisation Véri ation orre tion a ord









Des ription opérationnelle

Fig.1.1Véri ationd'unsystèmeparmodel- he king

Lagure1.1présentelesprin ipalesétapesde lavéri ation.Cetyped'appro hesné essitetrois ingrédients:

 une des ription opérationnelle du système expli itant ommentfon tionnelesystème;

unlangagedespé i ationpermettant d'ex-primerlespropriétésdusystèmequel'onsouhaite vérier ( f se tion 2.3, les logiques temporelles ommeoutildespé i ation);

 une pro édure de dé ision permettant de ontrler la onformité entre lades ription opé-rationnelledusystèmeetsaspé i ation,

'est-à-dire unepro édure qui permetde vérierque le systèmesatisfait ee tivement les propriétés que l'onattenddelui. Cettephasedevéri ationdu modèleestsouventappelée ontrledemodèles oumodel- he king ( fse tion 3.1, les prin ipes algorithmiquesdumodel- he king).

La deuxième a tivité onsiste à prendre en omptel'implantationdeslogi iels surune ar hi-te ture matérielle, à savoir sur un ou plusieurs al ulateurs, ha ungéréparunsystème d'exploi-tation,et ommuniquant,le as é héant,viaune ar hite turede ommuni ationsousformede ré-1

seaux,munisdeproto oles,etinter onne téspar des passerelles. Le résultatde ette a tivitésera nomméparlasuitear hite tureopérationnelle. Les propriétés qui doivent être vériées lors de ettea tivitésontdespropriétésusuellement ap-pelées non fon tionnelles. Celles- i dépendent, enparti ulier,desperforman esdesmatériels sup-port(puissan e depro esseurs,débitderéseaux, et .) et des temps induits par les stratégies de partage deressour es (proto oles d'a ès au mé-dium, ordonnan eurs lo aux). La véri ation de propriétésnonfon tionnellesrevientglobalement àévaluerdeuxtypesde ara téristiques:lesdates d'o urren es de ertains événements et les be-soinsentermesderessour es.Les ara téristiques relevant de l'un ou l'autre point peuvent appa-raîtredansl'expressionde ontraintesàrespe ter ( ontraintestemporelles, ontraintesd'o upation mémoire, ontraintesde onsommationd'énergie, ...)ou,le asé héant, omme ritèresàoptimiser (minimiserun tempsderéponse,unebande pas-sante,l'énergie onsommée, ...).Deplus, le om-portementdetoutsystèmetempsréelest étroite-mentdépendantdesonenvironnement.Aussi,les propriétés en général devront-elles être prouvées enprenanten omptel'impa tde et environne-mentsurlesystème.

Enn,onpeutaborderleproblèmedela véri- ationdepropriétéspourdessystèmestempsréel dedeuxmanières qui,d'ailleurspeuvents'avérer omplémentairesdans ertains as:

soiton onçoitunsystèmedetellemanière que les propriétés soient obtenues par onstru -tion;l'appli ationdeméthodesformellesqui par-tantdelaspé i ationdespropriétésattendueset opérantparranementet/oudérivation onstruit automatiquement la solution; dans le domaine du temps réel, on peut iter, notamment, la onstru tiond'unordonnan ement detâ hes fai-sable, la onstru tion d'unemessagerie ( ongu-ration/ordonnan ementdetramestransmisessur un réseau) faisable ou la synthèse de ontrleur tempsréel;

soit,dansle asdesystèmes omplexespour lesquelsdetellesméthodesnesontpasappli ables ausystèmedanssaglobalitéoudontle développe-mentestpartagé parplusieursa teurs,onvérie à haque étape de la on eption que la solution en oursd'élaborationvérieralespropriétés ;là en ore, suivant lapla edansle y lede dévelop-pementdu systèmeoùlavéri ation estopérée, on distinguera : la véri ation a priori, 'est-à-dire avant laréalisation du système; e type de véri ation impliquede onstruire un modèlede es systèmesqui soit pertinent pour les proprié-tésàvérier;letestquisefaitsurtoutoupartie du systèmeavant la miseen servi e de elui- i; etenn,lavéri ationquipeutêtrefaiteenligne

pour garantir lors de l'exploitation et de la vie dusystèmeque ertainespropriétéssonttoujours préservées.

Dans e hapitre,nousaborderons prin ipale-mentleproblème delavéri ationdepropriétés quisoientspé iques auxsystèmestempsréel et e par onstru tion de modèles de es systèmes puisméthodesd'étudesde esmodèles.Les te h-niquesproposées on erneront,alors, majoritaire-ment,la véri ationa priori. Deplus, deux mé-thodes peuvent être déployées: l'une fondée sur uneanalysemathématiqueexhaustive,l'autresur uneanalysepartielle.L'idéalestd'opérerla véri- ation paranalysemathématiquedumodèledu système. Malheureusement, la plupart des te h-niquesde etype(voirle hapitre¿¿Automates et véri ation¿¿ de la se tion 1.9 ¿¿ Algorith-miqueetprogrammation¿¿)sontdi ilement ap-pli ables pour des modèles omplexes (la om-plexité d'unmodèlepeutvenird'une représenta-tion du système à un n niveau de granularité ou de la omplexité intrinsèque du système lui-même).Dans e as,lavéri ationpeutêtrefaite parsimulation, 'est-à-dire,exé utiondumodèle. Sileproblèmedel'analysemathématiqueest e-lui d'unepré ision dumodèlequisoit pertinente pourlavéri ationàréaliser, eluide la simula-tion tient dansla di ulté d'exé uter lemodèle suruneexhaustivitédes s énarios. Cesdeux mé-thodessontenfait omplémentaires.

2 Propriétés etgaranties exigées Avantde dé rireles te hniques qu'il est pos-sible de mettreen ÷uvre pour opérer des véri- ations dansles systèmestempsréel, nous intro-duisonsdeuxnotionsimportantes.Lapremière re- ouvrel'expressiondespropriétésdansle ontexte tempsréeltandisqueladeuxième on erneletype degarantieexigéequantaurespe tde es proprié-tés.

2.1 Expressiondespropriétés

Dansle ontextedessystèmestempsréel,une grande partie des propriétés s'exprime sous la formede ontraintesappliquéesauxdates d'o ur-ren esd'événementssigni atifs.Ci-dessous,nous donnons l'expressiondequelques ontraintes élé-mentaires.

Contraintes sur des temps de réponse du système Ellessontutiliséespourspé ierla a-pa ité exigée d'un systèmeà répondreaux solli- itations tant internes qu'externes. Ce peut être la promptitudedu systèmeàréagir àune situa-tiondéte tée,l'aptitudedel'ar hite turelogi ielle implantant une loi de ommande à fournir une onsigne àuna tionneurdansdes temps raison-nables (par exemple, l'a tionnement de la

ré-i

i

Propriétés etgarantiesexigées 3

maillère entraînant l'axe de dire tion d'un véhi- ule en fon tion de l'angle et du ouple volant fourni par le ondu teur, ...). Con rètement, il s'agitd'exprimerlefaitqueladuréeséparantles o urren es demêmerang

i

dedeuxévénements (dénommés,généralement,stimulus

S

etréponse

R

) est inférieure à un délai donné

δ

sup

et supé-rieure à

δ

inf

. Notons, qu'usuellement ette pro-priété onsidère

δ

inf

= 0

.

δ

inf

< date(R

i

) − date(S

i

) < δ

sup

Contraintes sur la régularité d'o urren e d'unévénement Dans e as,ils'agitde bor-ner la variation de durée qui sépare les o ur-ren essu essives,

i

,

i + 1

, ... d'unmême événe-ment périodique. Par exemple, l'existen e d'une gigue, 'est-à-dire d'unevariationde ettedurée surles dates d'a quisition des grandeurs signi- ativesd'unsystèmephysiquepeutentraînerune in ohéren epouruneloide ommandequi repose-rait surdes re onstru tions del'évolutionde es grandeurs par al uls appro hés deleur dérivée. Dansunautredomaine,lanonrégularitéde dif-fusion d'une image vidéo peut restituer un lm ave unepiétrequalité.On onsidère,pour expri-mer une telle ontrainte que

E

est l'événement onsidéré,

T

la période spé iée d'o urren e de etévénement etune valeur

ε

quantiant la to-léran esurl'irrégularité d'o urren ede

E

de la manièresuivante:

T − ε < date(E

i+1

) − date(E

i

) < T + ε

Contraintes sur la simultanéité d'o ur-ren es d'événements Ce type de ontraintes s'applique, par exemple, à toute appli ation de-vant diagnostiquer l'état d'un système physique à partir d'un ensemble de mesures sur e sys-tème ou de stimulus venant de e système; la qualité du diagnosti est largement dépendante deladuréedel'intervallependantlequel les me-suresontétéréaliséessurlesystèmephysique.Un autre adre on erne les ontraintes de syn hro-nisationentrela produ tion de ux audioet vi-déo.Une ontraintedesimultanéités'exprimesur un ensemble d'événements

E

pour imposer que les o urren es des événements de l'ensemble se produisent dans un intervalle borné par

ε

; elle peut seprésenterselon deuxformes:l'intervalle doit onteniruneo urren eaumoinsde haque événement (simultanéité faible, équation 1.1) ou l'intervalledoit ontenirleso urren esdemême rang de tous les événements (simultanéité forte, équation1.2):

∀e, f ∈ E, ∃i, j,

˛

˛

˛date(e

i

) − date(f

j

)

˛

˛

˛ < ε

(1.1)

∀e, f ∈ E, ∀i,

˛

˛

˛date(e

i

) − date(f

i

)

˛

˛

˛ < ε

(1.2)

2.2 Typesdegarantiesdepropriétés Les exigen es imposées à un système temps réelrelèventdeplusieurstypesdegarantiessurle respe tdespropriétésspé iées.

Unegarantie,ditedéterministe,né essite que la ontraintesoitvériéeàtoutinstant.Les te h-niquesquipermettentd'obtenirunteltypede ga-rantiesurun systèmereposent généralement sur uneidenti ationdupire asetpeuvent onduire à un surdimmensionnement du système dès que elui- idevient omplexe.

Une garantie en moyenne ou probabiliste, est un autremoyen d'expression d'uneexigen e. Il s'agit de spé ier, que sur une suite d'ins-tan es (par exemple les o urren es su essives des ouples d'événements stimulus et réponse), un pour entage de elles- i doit respe ter la ontrainte donnée. On utilise généralement e typed'expression pour des ontraintes detemps ditessouplesoufaibles.Notonsquedansnombre d'appli ationstempsréel,respe ter etype d'exi-gen esnegarantitpaslaqualitédusystème.Par exemple,garantirqu'untempsderéponseest in-férieur à une borne dans 90% des as ne spé i-e pas la répartition des 10% de as où ette ontrainten'estpasvériée.Surmilleinstan es, e peutêtreunetousles entoules entpremières; silesystèmetempsréelimplanteuneappli ation de ontrle- ommande, l'impa t sur l'environne-ment ontrlé n'est pas le même et le système peut, même,neplus assurersa missionde façon sûre.

An de palier l'impré ision que peut révéler unegarantie enmoyenne,ilestpossibled'exiger des garanties déterministes qui tolèrent le non-respe td'une ontraintepartouteslesinstan esà la onditionque ladistributiondesé he s relève d'unmodèlespé iéformellement.Onparlealors degarantiedéterministe

(m, k)−f irm

.Supposons quelapropriétés'exprimeparune ontrainte bor-nant supérieurement un temps de réponse entre unévénementstimulusetunévénementréponse; unegarantie

(m, k)−f irm

signieque,àtout ins-tant,pourles

k

dernièreso urren es su essives del'événementstimulus,

m

,aumoinsont onduit àuneo urren e del'événement réponse respe -tantla ontrainte.

2.3 Formalismesd'expressiondespropriétés Aprèsavoirvu esdiérentsexemplesde pro-priétés, nous introduisons maintenant quelques formalismes,baséssurlalogiquetemporelle, spé- iquement dédiés à l'expression et à la véri- ation de propriétés des systèmes dont l'état évolue dynamiquement ave le temps. On peut

s'intéresser à des propriétés purement qualita-tivestellesquel'absen ede blo age, la potentia-lité/inévitabilité d'un événement, et . On lasse souvent les propriétés à satisfaire endeux types omplémentaires : les propriétés de sûreté ex-primantlefaitqueRiendemauvaisnepeut ar-river etlespropriétésdeviva ité exprimantle fait que Quelque hose de bon va arriver. On peut aussi vouloir quantier la propriété(temps de réponse, temps d'utilisation d'une ressour e, et ). Le bref panorama quisuit introduitles lo-giques temporelles qualitatives etune logique temporelle temporisée permettant quant à elle d'adresserdespropriétésdenatureplus quantita-tive.Pour ette se tionainsi quepourlase tion 3.1,nousinvitonslele teurintéresséàsereporter à(Arnold1992),(Diaz2003),(S hnoebelen1999). Aspe ts qualitatifs Les logiques temporelles sont des extensions du al ul propositionnel ob-tenues en ajoutant de nouveaux onne teurs  desopérateurstemporelspermettantdedé rire l'évolutiondynamiqued'unsystème.Cette dyna-miquepeut êtreperçuesoit omme un ensemble d'exé utions(appro helinéaire),soit omme l'ar-bores en edesexé utionspossibles(appro he ar-bores ente).A ha unede esper eptionsest as-so iéeunelogiquequenousdé rivonsmaintenant. Parlasuite,on onsidèreunensembledevariables propositionnelles

P

permettantde apturerl'état dusystème.

LalogiquetemporellelinéaireLTL ex-primedespropriétéssurdesséquen esd'étatsque le système atteint au ours d'une de ses exé u-tions.UnepropriétéLTLestsatisfaiteparun sys-tème si toute exé ution du système la satisfait. ParmilesopérateurstemporelsdeLTL,ontrouve



permettantd'exprimerl'invarian eet

♦

per-mettantd'exprimerlapossibilité.Defa on infor-melle, uneséquen esatisfait



φ

si lapropriété

φ

estvraiesurtousles étatsdelaséquen e tan-disqu'onnotera

♦

φ

pourspé ierquelaséquen e passeparunétatoùlapropriété

φ

estvraie. L'ex-pressivité de LTL tient à la possibilité d'imbri-quer les diérents opérateurs temporels, omme lemontrentlesquelquesexemplessuivants: Ex lusion mutuelle :



¬(Sc

1

∧ Sc

2

)

On n'atteint jamais un état où deux pro- essus sontense tion ritique.

Viva ité:



(Requete ⇒ ♦ Reponse)

Toute requête sera suivie au bout d'un tempsniparuneréponse

Equité:

( ♦ Demande) ⇒ ( ♦ Accord)

Touterequêteinnimentposéere evraune innitéd'a ords

Lalogiquetemporellearbores enteCTL exprime des propriétés surles exé utions pos-siblesd'unsystème,matérialiséesparune arbore-sen edesesétatssu essifs.Uneexé ution parti- ulièredusystème orresponddon àunebran he (éventuellementinnie)de etarbre.CTLutilise par exemple les quatre opérateurs suivants dont la sémantique intuitiveest illustréepar lagure 1.2.

AF

φ

Toujours nalement

φ

EF

φ

Ilest possiblequenalement

φ

AG

φ

Toujours partout

φ

EG

φ

Ilest possiblequepartout

φ

CommepourLTL,l'expressivitédeCTLtient à la possibilité d'imbriquer les diérents opéra-teurstemporels, ommelemontrent esquelques exemples:

Ex lusion mutuelle :

AG (¬(Sc

1

∧ Sc

2

))

On n'atteint jamais un état où deux pro- essus sontense tion ritique.

Potentialité :

AG ( Requete ⇒ EF Reponse)

Toute requête sera potentiellement suivie auboutd'untempsniparune réponse Inévitabilité :

AG ( Requete ⇒ AF Reponse)

Touterequêteserainévitablementsuivieau boutd'un tempsniparuneréponse CTLetLTLontdesexpressivités omplémen-taires :CTL ommeLTLpermetd'exprimerdes propriétés de sûreté etde viva ité. CTL permet aussi d'exprimer des propriétés de potentialité. Par ontre,lespropriétésd'équiténesontpas ex-primablesenCTL.Danslesdeux as, eslogiques nepermettentd'exprimerquedesnotions qualita-tives:ainsionpeutspé ierqu'uneréponsearrive enuntempsnimaisonnepeutpasspé ierque ette réponse doit arriver en moins de

k

unités de temps. Pour permettre e type de spé i a-tion, les logiquestemporelles lassiques(LTL ou CTL)ontétéétenduesandepouvoirquantier le temps :onparlealors de logiquestemporelles temporisées.Onretrouvedeslogiquestemporisées linéairesetarbores entes.Atitred'exemplenous introduisonsTCTL, l'extension temporiséedela logique CTL.

i

i

Véri ationàgarantiedéterministe 5

AG p

AF p

EF p

EG p

Fig.1.2Exemplesdesatisfa tiondesmodalitésdeCTL

Logique temporelle temporisée TCTL TCTL enri hitles opérateurs temporelsde CTL en prenant en ompte des informations quanti-tatives surl'é oulement du temps. Ainsi les for-mulesdeTCTL font appelàun symbole relatio-nel

∼∈ {<, ≤, =, >, ≥}

etun rationnel

θ

qui va permettre de quantier l'é oulement du temps. Nous ne rentrerons pas plusen détaildans l'ex-posédeTCTLetrenvoyonsà(S hnoebelen,1999) pour plus d'informations. Nous on luons ette se tionendonnonsquelquesexemplesde proprié-tésTCTL.

Séjour bornéense tion ritique:

AG ( Sc ⇒ AF

≤K

¬ Sc)

Unpro essus nerestepasplusde

k

unités detempsense tion ritique

Réa tivitébornée :

AG ( P robleme ⇒ ¬ AG

≤5

Alarme)

: Lorsqu'un problème survient, l'alarme se dé len heetseprolongeau moins5unités detemps

Inévitabilité bornée:

AG ( Requete ⇒ AF

≤k

Reponse)

Touterequêteserainévitablementsuivieen moins de

k

unités de temps par une ré-ponse

Laten eminimale:

AG ( Requete ∧ ¬ EF

≤k

Reponse)

Unerequêtenepeutpasre evoirderéponse enmoinsde

k

unitésdetemps

En ombinantlesdeuxdernièresformules,on peut exprimerdes ontraintestemporelles appli-quéesauxdatesd'o urren esd'événements signi- atifstellesque ellesprésentéesàlase tion pré- édente.Ainsiune ontraintedutype

δ

inf

< date(R

i

) − date(S

i

) < δ

sup

pourras'exprimerparlaformulesuivante:

[AG ( R

i

∧ ¬ EF

≤δ

inf

S

i

)] ∧

[AG (R

i

⇒ AF

≤δ

sup

S

i

)]

3 Véri ationà garantie déterministe L'obje tif de ette se tion est de présenter quelqueste hniquespermettantdevérierqu'une garantie déterministe de propriété est assurée par un système. En parti ulier, nous proposons dans un premier temps des te hniques qui s'ap-pliquentde manièregénériqueàdes modèles ex-primés dans un formalisme donné. Il s'agit no-tammentdesméthodesd'analysedemodèles(ou model- he king)desystèmes dis rets temporisés. Dansundeuxièmetemps,nousprenonsen ompte les objets lassiquement manipulés ausein d'un système temps réel, à savoir les ressour es, les tâ hesetlesmessages/paquets,etnous introdui-sons quelquesméthodespropres àla véri ation desystèmesdé ritssousformede etyped'objets.

3.1 AnalysedemodèlesMo del- he king Nousdonnonsmaintenantlesgrandsprin ipes dumodel- he kingdeformulesdelogiques tempo-relles. Lele teur intéressése reportera ave pro-t à(Arnold, 1992),(Diaz,2003),(S hnoebelen, 1999).

Une propriété exprimée en LTL ( f se tion 2.3) est satisfaite par un système si toute exé- ution de elui- i la satisfait. Pour s'assurer de ette propriéte, onvérie en fait qu'au une exé- ution du système ne satisfait la négation de la formuleà vérier. Pour e faire, onasso ie à la négation de lapropriété un automatede Bu hi qui la ara térise eton ee tue un produit syn- hroneentrele omportement du systèmeet et automate.Ons'assureensuite queles onditions d'a eptation donnéespar l'automate de Bu hi nesont pas satisfaites. Dansla négative, on dis-posed'uneséquen esatisfaisantlanégationdela propriétéquel'on her haitàvérier, don d'un ontre-exemple. On peut pro éder à la volée 

onstruire en mêmetemps le produit syn hrone etlegraphede omportement etstopper ette onstru tion dès qu'un ontre-exemplea été dé-te té.Lorsquelapropriétéàvérierestsatisfaite, ilfautbiensûr onstruire omplètementleproduit syn hrone.

La véri ationd'unepropriété

ϕ

deCTL ( f se tion 2.3) onsiste à al uler sa théorie no-tée

T H(ϕ)

:i.e., l'ensembledes étatssatisfaisant la formule à vérier. Une propriété

ϕ

est satis-faite par un systèmesi tous les états de elui- i lavérient:

T H(ϕ) = S

.Opérationnellement,le ontrledemodèlesrevientdon àdénirune ap-pli ation

T H : CT L 7→ P(S)

où

T H(f ) = {s ∈

S : M, s |= f }

.

Dansle adrepropositionnel,l'appli ation

T H

se dénit par indu tion sur la stru ture de la for-mule

f

:

T H(p) = {s ∈ S : p ∈ P et s |=

p}

,

T H(¬ F ) = S \ T H(F )

et

T H(F ∧ G) =

T H(F )

T T H(G)

.

PourlesmodalitésdeCTL (EF,AF,...),le pro-blème revient à trouverdes appli ations

X

et

Y

detelle sorte que :

T H(EF G) = X(T H(G))

et

T H(AF G) = Y (T H(G))

.A titre d'exemple, nous présentons la ara térisation opérationnelle del'opérateur

EF

.Celle- iestobtenue ommela limited'unesuitemonotoneàvaleursdans

P(S)

. Cettesuiteestobtenueàl'aidedutransformateur deprédi ats

P re

déniainsi:

P re(U ) = {t ∈ S : t → s

et

s ∈ U }

et

T H(EF G) =

[

n≥0

X

n

où

X

0

= T H(F )

et

X

k

= P re(X

k−1

)

[

X

k−1

P re

estunefon tion roissante,desortequela suite

(X

n

)

estelle-même roissantedansuntreillis omplet(àvaleursdansunensembledeparties:

P(S)

)etdon onvergente.

Limites opérationnelles dumodel- he king Il fautnoterque l'analysedemodèles n'agit pas dire tement sur la des ription formelle du sys-tème (automates, réseaux dePetri, ...) maissur le graphe de omportement qui lui est asso ié. Un premier problème réside dans la dé idabi-lité de la nitude du graphe de omportement. Karp et Miller (Karp, 1969) ont donné une ré-ponse positive lorsquela des ription du système estdonnéesousformederéseauxdePetridebase; le résultat pré édent a été étendu par (Finkel, 2001) pour les systèmes de transitions bien for-més,maisleproblèmeestindé idabledansle as général(Brand,1983).Lorsquelegrapheestni, undeuxièmeproblèmeestdelutter ontre l'explo-sion ombinatoire. Denombreuxtravauxont été menéspourfairefa eà eproblème.Onpeut iter les te hniquesde ompression degraphesparles BDD (Binary De ision Diagram) (Bur h, 1990)

qui gérent l'explosion en permettant le sto kage degraphes degrandetailleetlesméthodes (voir parexemple(Diaz,2003))quiévitent ette explo-sionen onstruisant ungraphede omportement réduit : symétries, ontrle de modèles stru tu-rel, oules te hniques"ordrepartiel",quitentent d'éviterlapartd'explosion ombinatoiredueàla représentationduparallélismeparl'entrela ement d'a tions.

Cas des des riptions temporisées Construirelegraphede omportementd'une des- ription temporisée  qu'il s'agisse de réseaux de Petrioud'automates est engénéral impos-sible : les transitions pouvant être tirées à tout instant dans leur domaine de tir, les états ad-mettent en général une innité de su esseurs. Pour se ramener à un graphe de omportement ni,des te hniquesd'abstra tions sontproposées permettantd'obtenir unereprésentation nie du omportementdu systèmeéquivalentpourune lasse de propriétés données  au graphe inni qu'il symbolise.

Contrairement aux automates lassiques, de part lanature des horloges, le modèle des auto-matestemporisésestunmodèleinni.Le on ept de région (Alur, 1990) dénit un modèle ni sémantiquement équivalent sur lequel pourront don être appliquéesles te hniques lassiquesde véri ationdeformules.Pluspré isément,le mo-dèledesrégionsdénitunerelationd'équivalen e sur un ensembleni d'horloges telle que : (1)le nombrede lassesd'équivalen eestni,(2)les va-luationsd'horlogesd'unemême lassesatisfontles mêmesformulesdelalogiqueTCTL.Dansun au-tomate derégions,lenombrederégions roit ex-ponentiellementave lenombred'horloges etest proportionnelàlaplusgrande onstante manipu-lée dans les ontraintes. Lesautomates de zones ont pour but de réduire ette omplexité : une zoneestunregroupementdeuneouplusieurs ré-gions onvexes.Desalgorithmesde onstru tionà lavoléedel'automatedezoneainsiquedes stru -turesdedonnéesdédiéespermettentde onstruire etdedé iderdespropriétéssurl'automatedezone demanièree a e.

Dans le as des réseaux de Petri temporels, on peut iter deux abstra tions utiles, obtenues par groupementde ertainsensemblesd'étatsen lassesd'états.Lapremière,introduitedans (Ber-thomieu,1983)permetl'analysed'a essibilitédes réseaux temporelsetlavéri ationde leurs pro-priétés exprimablesdansleslogiquestemporelles àtempslinéaire( fse tion2.3).Lase onde (Ber-thomieu,2003)permetl'analysedeviva itédes ré-seauxtemporelsetlavéri ationdeleurs proprié-tés exprimables en logiquestemporelles à temps arbores ent ( f se tion 2.3). Pour es deux

abs-i

i

Véri ationàgarantiedéterministe 7

tra tions,lanitudedu graphede lassesest in-dé idabledansle asgénéral,toutefois esgraphes sont nislorsqueleréseauatemporelsous-ja ent estborné.

3.2 Véri ation par analyse de traje toire majoranteduuxd'arrivée

Cette se tion propose deux te hniques qui s'appliquent à un modèle de systèmes temps réel exprimé sous forme de ressour es (pro es-seurs, mémoires, réseaux) et d'a tivités o u-pant ou partageant es ressour es (tâ hes, mes-sages/paquets). Ces te hniquesreposent surune onnaissan ede l'arrivée de esa tivités dansle systèmeau ours de la vie de elui- i (on parle deuxd'a tivités)etdon delademandede res-sour esliéeà esux.Dansle ontextedela vé-ri ation à garantie déterministe, une ondition né essaired'obtentionderésultatsestd'avoirune majorationdesuxd'arrivéed'a tivités; e i im-plique notamment des hypothèses déterministes surl'environnementetles perturbationspouvant ae terlesystème.

Ci-dessous, nous nousintéressons à une pro-priétés'exprimantparune ontraintedetempsde réponse,lesévénementsstimulusetréponseétant respe tivementl'arrivéed'unea tivitéetlande ettea tivité(a tivationd'unetâ he/n d'exé u-tiondelatâ he,demanded'émissiond'unmessage / n detransmission du message) etnous mon-trons ommentévaluer quelsera letemps de ré-ponseau oursdelaviedusystème,toutd'abord parl'analysedupiretempsderéponse(théoriede l'ordonnan ement),puisparlaméthodede al ul deréseau (network al ulus).

Evaluationanalytiquedupiretempsde ré-ponse Dans la ommunauté de l'ordonnan e-menttempsréel,ilestd'usaged'évaluerletemps deréponseen onsidérantlepire asande déter-minerl'ordonnançabilitéd'unensembledetâ hes périodiques/sporadiques. Pour un ensemble de

N

tâ hes (sour es) périodiques ou sporadiques, haque tâ he (ou sour e)

τ

i

(i = 1, 2, ..., N )

est ara tériséepar:

 une période (ou l'intervalleminimale d'in-terarrivée si l'arrivée delatâ heest sporadique)

T

i

ave laquellelasour egénèreunedemandede travail(appeléeparlasuiteuneinstan e);

unedurée d'o upation delaressour e(ou serveur)

C

i

; elle orrespond à une demande de traitementdel'instan edansleserveur;

 éventuellement le déphasage maximal de l'arrivée d'une instan e par rapport au début prévu de sa période; e délai est appelé gigue maximale

J

i

(quandla sour e

τ

i

eststri tement périodique,

J

i

= 0

);

ainsiquelabornesupérieuresurletempsde réponsede ettetâ he,ou ontrainted'é héan e,

δ

i

.

Selon la politique d'ordonnan ement du ser-veur,lepiretempsderéponsed'unetâ he(sour e) peut être obtenu en appliquant des résultats onnus issus de la théorie de l'ordonnan ement (Liu, 2000). A titre d'exemple, nous donnons les formules de al ul du pire temps de réponse pour une politique d'ordonnan ement à priorité xe et sans préemption (le as non préemptif re ouvre également l'ordonnan ement de mes-sages/paquetsdansunréseau).

Onnotepar

i

lapriorité d'unesour e

τ

i

ave

τ

i

plusprioritaireque

τ

j

si

i < j

.Lepire aspour unesour epériodiquede priorité

i

orrespond à lasituationoùaumomentdelagénérationd'une instan e,ilyauneinstan edeprioritéinférieure qui vient de ommen er son traitement dans le serveuretoùtouteslesinstan esplusprioritaires sontaussiprêtesàêtresoumises auserveur.

Dans e pire as, le temps de réponse de la sour edepriorité

i

noté

R

i

estdonnépar:

R

i

= C

i

+ J

i

+ I

i

; R

i

≤ T

i

(1.3)

où

I

i

estletempsd'interféren edurantlequel le serveur est o upé par le traitement des ins-tan es générées par les sour es plus prioritaires que

τ

i

etparuneinstan ed'unesour emoins prio-ritaire générée juste avant l'arrivée de l'instan e depriorité i.

I

i

est donné par l'équation ré urrente sui-vante:

I

n+1

i

=

max

i+1≤j≤N

(C

j

) +

i−1

X

j=1

(

— I

n

i

+ J

j

T

j



+ 1)C

j

(1.4) où

max

i+1≤j≤N

(C

j

)

estlefa teurdeblo age dû à la non préemption. Cette équation ré ur-rente peut être al ulée à partir de

I

0

i

= 0

et l'itérations'arrête quand

I

n+1

i

= I

n

i

.La solution existequand la hargenormaliséedu serveur gé-néréepar les sour es, dont les priorités sont su-périeuresouégalesà

i

,estinférieureouégaleà

1

(i.e.,

P

j≤i

C

j

T

j

≤ 1

).

Evaluationdetempsderéponseparla te h-niquedenetwork al ulus Fournirune ga-rantie de temps de réponse pour des messages ou paquets peut reposer sur la te hnique pré- édente. Néanmoins, d'une part, elle- i repose surdeforteshypothèsesdepériodi itéet,d'autre part,elleest utilisableuniquementdansle adre

d'unevéri ationapriorietpeutdi ilement,en raisondu oûtde al ul,êtreutiliséeenligne.

Dansle ontexte dela ommuni ationtemps réel, on peut prendre en ompte le fait que les réseauximplantentdeslimiteursdu tra en en-trée; 'estsous es hypothèsesqu'un modèle de tra , dit

(σ, ρ) − born´

e

, a été proposé. Ce mo-dèle esttrès utilisé dansla ommunautéde l'In-ternetpourle ontrledelaqualitédeservi e ar ilest,deplus,simpleàimplémenterdansdes mé- anismesde ontrled'admissionpourestimeren lignedestempsderéponse.Cetteappro he onsi-dèrelesystème ommeunensemblede

N

sour es ayantdesfon tions umulativesd'arrivées orres-pondant, pour haque sour e

τ

i

à une demande dequantitéderessour e(oudemandedetravail)

F

i

(t)

ara tériséepar:

F

i

(t) − F

i

(s) ≤ σ

i

+ ρ

i

(t − s); ∀0 ≤ s ≤ t

(1.5)

où

σ

i

représentelatailledelarafalemaximale et

ρ

i

ledébitmoyenàlongtermedela

i

ème sour e. Laquantitédutravailapportéeparunpaquet gé-néréparlasour e

τ

i

'est-à-direlenombredebits àtraiterparleserveur,estdéniepar

W

i

bits.On onsidèrequeleserveuraundébit

c

(enbit/s).

Considérons maintenant un ensemble de

N

sour es

(σ

i

, ρ

i

) − born´

ees (i = 1, 2, ..., N )

parta-geant un serveur non préemptif de apa ité de traitement

c

bit/setdanslequelles paquetssont servisselonlapolitiqueàprioritéxe.Rappelons qu'un paquet de la sour e

τ

i

est plusprioritaire qu'un paquet de

τ

j

si et seulement si

i < j

.La bornedu tempsderéponse

D

i

d'unpaquetdela

i

ème

sour e( 'est-à-dire elledepriorité

i

)est ob-tenue,selonlate hniquedenetwork al ulus (LeBoude ,2002)etestdéniepar:

D

i

=

i

X

j=1

σ

j

+

max

i+1≤j≤N

(W

j

)

c −

i−1

X

j=1

ρ

j

(1.6)

Pourque

D

i

soitborné,ilfautque

c ≥

i

X

j=1

ρ

j

.

4 Véri ation probabiliste

Dans ette se tion, nous proposons des mé-thodespermettantdevérierquedesexigen esen termesdegarantiesprobabilistessontassuréespar un systèmetemps réel.Delamêmemanièreque pré édemment,nous fournironsdans un premier temps deste hniquesd'analysedemodèles repo-santsurunformalismegénériquedemodélisation desystèmesdis rets temporisésetsto hastiques,

puis,dansundeuxièmetemps,nous onsidérerons desmodèlesdesystèmesexprimésentermes d'a -tivités(tâ hes,messages/paquets)etderessour es (pro esseurs,réseaux,mémoires).L'obje tif géné-ral de es méthodes est d'estimer la probabilité qu'une propriété soit respe tée. Dans e as, on prenden omptedes environnementsetdes per-turbationsaléatoireset,don ,desmodèles d'arri-véesdetâ hes etdemessages/paquetségalement aléatoires.

4.1 Véri ation par analyse de réseaux de les d'attente

Unsystèmetempsréelouunréseaupeutêtre modélisé sous la forme de réseaux de les d'at-tente.Ceformalismepermetdemodéliserdes res-sour es de apa itédonnée(parexemple,ledébit d'unréseau)etdesdemandesd'a èsà ette res-sour egénéréespardesa tivités(parexemple,des messages/paquets) appelées lients. Les lients sont servis selon une politique d'a ès à la res-sour e(politiqued'ordonan ement).L'élémentde base d'un tel modèle est la station. Celle- i est onstituéed'unouplusieursserveurs,quimettent en ÷uvre la politique d'a ès à la ressour e, et d'uneled'attenteoùsont lassésles lientsen at-tented'a èsà etteressour e.Lemodèledu sys-tème dans e formalisme omprend,pour haque station : la spé i ation du ux d'arrivée des lients,généralement sous la forme d'un pro es-sussto hastiqueetletempsdeservi edes lients dans le serveur, exprimé lassiquement à l'aide d'uneloiprobabiliste.Parmidetelsmodèles, er-tainssontanalysablesmathématiquement(Allen, 1990), omme 'estle as pourles lesd'attente dites M/G/1, quireprésentent un systèmeà de-mandes d'a ès multiples à un serveur unique. Dans un tel modèle, il est don possible de re-présenterlapartied'unsystèmequiréalisel'a ès à un busde ommuni ationoul'a ès à un pro- esseur. Nous onsidérons,don , uneleM/G/1 pour laquelle le ux d'arrivée des demandes est Markovien,letempsdeservi ede haqueinstan e suit unedistributiondeprobabilitégénéraleetle nombre de serveurest égal à1, pourévaluer les tempsderéponsedemessages/paquetspartageant unbus.

Dansle as oùlapolitiquedegestiond'a ès à la ressour e ne repose pas sur la priorité des lients,ilestpossibled'obtenirladistributionde probabilitédestempsd'attentede es lients; e i permetalorsdevériersilaprobabilitéderespe t d'une propriété exprimée par une ontrainte de tempsderéponseestsupérieureàunseuildonné.

Par ontre,lorsquelapolitiqued'a èsrepose sur les priorités, e qui est le as le plus fré-quentdansles systèmestempsréel, ilest impos-sibled'obteniranalytiquement,àl'aidedu

forma-i

i

Véri ationprobabiliste 9

lismedeslesd'attente,ladistributiondestemps d'attentedes lients.Ilestnéanmoinspossiblede onstruire un modèle du système, selon e for-malisme, ave lequel les seuls résultats qu'il est possiblededéduiresont lesmoments,àsavoirla moyenne, la varian e, ... Supposons que haque a tivitéou sour ede messages

τ

i

génère un ux demessagesdepriorité

i

quisuituneloide Pois-sonave untauxd'arrivée

λ

i

( ettehypothèseest lassiqueenl'absen ede onnaissan epluspré ise surl'appli ation).Chaqueinstan edemessagede priorité

i

aunedurée de transmission onstante

C

i

(tempsde servi e)sur lebus. Ce systèmede ommuni ationpeut alors être modélisépar une leM/G/1ave unepolitiquedeservi epar prio-ritéetsanspréemptionduserveur;plus pré isém-ment, esystèmerelèvealorsd'unesous- lassedu modèleM/G/1,notéeM/D/1(D omme détermi-niste),pour laquelleilest possiblede al ulerle tempsderéponsemoyen(Allen,1990).

Onnote:



λ = λ

1

+ λ

2

+ ... + λ

N

ave

N

lenombrede sour esdanslesystème,



a

j

=

P

j

i=1

λ

j

C

j

, 

E[C

2

_{] =}

λ

₁

λ

E[C

2

1

] + ... +

λ

N

λ

E[C

2

N

]

. Comme signalé i-dessus, seuls les moments peuvent être évalués; en parti ulier, le temps moyenderéponse d'unmessage depriorité

i

est donnépar:

E[Q

i

] = E[q

i

] + C

i

=

λE[C

2

]

2(1 − a

i−1

)(1 − a

i

)

+ C

i

(1.7) ave

a

0

= 0

.

Cetempsmoyenderéponseest omposéd'une part du temps de traitement du message

C

i

et d'autrepartdutempsmoyend'attented'un mes-sagedanslale

E[q

i

]

.Onvoitbienque

E[q

i

]

dé-pendnonseulement des messagesdepriorité su-périeure à

i

mais aussi de eux depriorité infé-rieureà

i

à ause dela non-préemption. Notons que e temps moyen nedonne qu'uneindi ation etque,nilamoyenne,nila varian e nepeuvent apporterdegarantie entermesdeprobabilité de respe td'unepropriétésuruntempsderéponse. Pourobtenirdetellesgaranties,onpeut,soit uti-liser le formalisme des réseaux de les d'attente ou de ma hines à états temporisées et sto has-tiques et appliquer une appro he de simulation (Allen1990)soit mettreen÷uvredeste hniques spé iquesauxtypesd'objetsetdesystèmes im-pliqués;unetellete hniqueestproposéeau para-graphesuivant.

4.2 Estimationdeprobabilitédenon-respe t depropriété

Dansle asoùunepolitiqued'a èsàune res-sour ereposesurlanotiondepriorité,d'unepart et, dès qu'on intégre la modélisation de pertur-bationsaléatoiresdel'environnementsus eptibles d'altérerleservi e des lients,d'autrepart,ilest indispensable de développer des te hniques spé- iques pourévaluerdesdistributions destemps d'attentepourl'a èsà laressour e.Notons que l'altérationduservi ed'uneinstan egénérée par unesour e(parexemple,unmessage/paquet gé-néréparunordred'émissionsurunréseau)peut avoirdes onséquen esdiérentesselonquele sys-tèmeestguidéparletemps(time-driven)oupar les événements (event-driven). Dans le premier as, les instan es sont générées périodiquement etunealtérationduservi e del'instan e onduit à la perte de elle- i. Cette perte peut, suivant l'étatdusystème,êtretolérée.Néanmoins,ilfaut dans e asévaluerlenombremaximald'instan es onsé utivesperdues,quin'altèrepasle ompor-tementglobaldu système.Dansle as oùle sys-tèmeestguidéparlesévénements,laperted'une instan e,si elleest déte tée,provoqueun traite-ment supplémentaire (par exemple, réa tivation de la tâ he ou retransmission du message), sur- hargeant ainsilesystème. Dans esdeux as, il est né essaire d'évaluer par des te hniques spé- iques lesgarantiesprobabilistesderespe tdes propriétés à savoir, par exemple, probabilité de dépasser le nombre maximal de pertes su es-sivesd'instan es,pourdessystèmesguidésparle temps,ouprobabilitédedépasseruntempsde ré-ponsedonnépour haqueinstan e,pourdes sys-tèmesguidésparlesévénements.

Dans e paragraphe, nous introduisons une méthode analytique spé ique pour évaluer la probabilitédunon-respe tdela ontraintesurun tempsderéponsedanslepire asenprésen edes erreursaléatoires pour un systèmeguidé par les événements et omposé de N sour es

τ

i

, parta-geant unmêmeserveurave priorité etsans pré-emption. Onsuppose qu'uneerreur arrivant lors duservi ed'uneinstan eesttoujoursdéte téepar lesystèmeet,alors,provoqueunenouvelle géné-rationdelamêmeinstan e.Letempsderéponse d'uneinstan edeprioritéi dansunsystèmeave perte est déni omme l'intervalle entre la date desagénérationinitialeetladateàlaquelle ette instan e est ee tivement servie; on note par

k

le nombretotal de générations de etteinstan e pour aboutir à un servi e orre t. Pour haque instan e,nousobtenonsalorslepiretempsde ré-ponsede ette instan eenmodiantle al ul de lapérioded'interféren e(équation1.4),obtenuen se tion3.2):

I

i

n+1

(k) = B

i

+

i−1

X

j=1

(

— I

n

i

+ J

j

T

j



+ 1)C

j

+ E

i

(k)

(1.8) où

B

i

=

max

i+1≤j≤N

(C

j

)

Lafon tion

E

i

(k)

dépenddunombred'erreurs

k

survenuesdurant l'intervalle

[0, t]

etdu temps

SC

i

né essaire avant une nouvellegénération de l'instan ede

τ

i

,soit:

E

i

(k) = k × SC

i

(1.9) Il est évident que le temps de réponse aug-mentequandlenombred'erreurs,

k

,surlamême instan eaugmente.Pour haquesour e

τ

i

,ilexiste unevaleurmaximalede

k

,notée

K

max

i

,au-delàde laquellela ontraintedetempsderéponsedes ins-tan esgénéréesparlasour en'estplusrespe tée. Ils'agitdelaplusgrandevaleurde

k

telleque:

R

max

i

≤ δ

i

R

max

i

= C

i

+ J

i

+ I

i

(k)

(1.10) Le al ul des temps de

k

est déterministe. Considérons, à présent, un modèle probabiliste d'o urren e des erreurs, la probabilité du non-respe t dela ontraintesurle temps deréponse peut alors être évaluée. Soit

N

err

(t)

la variable aléatoire quireprésentelenombredefois oùune instan e esterronée pendant

[0, t]

,la probabilité

p

i

dunon-respe tpourunea tivité

τ

i

depriorité

i

donnée,estévaluéepour

t = R

max

i

et

k = K

max

i

etestdonnéepar:

p

i

= 1 − P [N

err

(R

max

i

) ≤ K

max

i

]

(1.11) Nousappelons etteprobabilité laprobabilité dunon-respe tdanslepire as arletempsde ré-ponse al uléest eluidupire as.L'évaluationva dépendredumodèleprobabilistede

N

err

(t)

selon lequeluneerreursurvient.

5 Exemple

Pour illustrer les apports de l'ensemble de te hniques i-dessusetleur omplémentarité,nous onsidéronsuneappli ationembarquéedistribuée autour du réseau CAN (Controller Area Net-work)(Paret,1996) dansl'automobile.Le proto- ole d'a ès aumédiumdeCANsuit leprin ipe debuspriorisé.

L'exemple hoisi, réseau inter - système, provient d'une étude de as proposée par PSA Peugeot-Citroën.Ellemeten÷uvreune ar hite -turematérielle(des al ulateurs onne téssurun

réseau CANdont ledébitest 250Kbit/s). Dans e ontexte, les al ulateurs sont désignés ECU (Ele troni ControlUnit).L'abstra tionquenous avons de l'ar hite ture opérationnelle de e sys-tèmeestlimitéeauréseauetauxmessages é han-gésentre al ulateurssousdeshypothèsesd'envoi de messages de la part des tâ hes lo alisées sur haque ECU. Dans le ontexte de l'éle tronique embarquée dansles automobiles, ette partie du systèmes'appelleunemessagerie.Les al ulateurs onne téssurCANsont:

 CM: il supporteles tâ hes implantant les fon tionsde ontrledumoteur;

ABS/CDS:sur e al ulateurs'exé utentles tâ hes on ernantle ontrledel'ABS(Anti Blo- king System ousystèmeanti-blo agedes freins) etle ontrledestabilité;

 BSI : (Boîtier de Servitude Intelligent) il s'agit du entre du système embarqué; il sert de passerelle entre diérents réseaux présents dansl'ar hite tureettransmet ertainsordresdu ondu teur aux fon tions hargées de les mettre en÷uvresurd'autres al ulateurs;

SUS :les tâ hes implantées sur e al ula-teursont en hargedu ontrlede lasuspension dynamique;

BVA:les tâ hesimplantéessur e al ula-teur on ernent lagestion delaBoîtedeVitesse Automatique;

 CAV/CdP : la mesure de l'angle volant (Capteur d'Angle Volant) et un orre teur de phare onstituentlesdeuxfon tionnalités suppor-téespar e al ulateur.

La spé i ation de lamessagerie, 'est-à-dire de l'ensembledes messages qui transitent surle réseauCANestdonnédansletableau 1.1.Cette messagerie est entièrement dénie sous des hy-pothèsesde périodi ité des demandes d'émission des messages delapart des tâ hes lo alisées sur les al ulateurs ités i-dessus.Lesmessagessont lassésparprioritédé roissante(

M

i

estplus prio-ritaire que

M

j

si

i < j

); pour haque message, ondonnesasour ed'émission,

ECU

i

, 'est-à-dire le al ulateur qui supportela tâ he émettant e message,

s

i

lataille,eno tets,desdonnéesutiles qu'il ontient(rappelonsque,lorsdela transmis-sion d'uneinformation appli ative,des hamps supplémentairessontajoutéesà etteinformation pouren onstituerunetrame;dansle asdu ré-seauCAN,latailleréelledelatrameestmajorée par

¨

34+8×s

i

4

˝ + 47 + 8 × s

i

bits),

T

i

lapériode,en ms,d'émissiondumessage.

L'avant-dernière olonnedutableau1.1donne

C

i

ladurée de transmission, enms, dela trame ontenantlemessage

M

i

,àpartirdesatailleréelle etde

τ

bit

,laduréedetransmissiond'unbit(soit,

τ

bit

=

250

1

ms

pour un débit du réseau de 250 Kbits/s):

C

i

= (

¨

34+8×s

i

i

i

Exemple 11

dansladernière olonne,

δ

i

représentelaborne im-poséesurletempsderéponsede haqueinstan e dumessage

M

i

.Nous onsidéronsquelapropriété àvériers'exprimeparune ontraintesurletemps deréponsede haquemessage:laduréeentrela date d'émission de toute instan e d'un message

M

i

etlan desatransmissionsurleréseaudoit êtreinférieureà

δ

i

.Nousappliquonsdansun pre-miertempsleste hniquesvues i-dessus,pour ob-tenirunegarantiedéterministede ettepropriété, puis, dans un deuxième temps, nous regardons ommentobtenirdesgarantiesprobabilistes. 5.1 Garantiedéterministe

Dans ettese tion,ons'atta heàvérierque la propriété est respe tée par toute instan e de haquemessage.Pour elà,ilestpossible d'appli-querdire tementles formules1.3 et1.4pour ob-tenirlepiretempsderéponseparlaméthodevue auparagraphe3.2.Lesrésultats,obtenuspourune giguemaximale

J

i

nulle,gurentdansladeuxième olonne,

R

i

,dutableau1.2.

Pour appliquer la te hnique vue en 3.2, il est né essaire, au préalable, de traduire le mo-dèle initial (tableau 1.1) en un modèle de tra

(σ, ρ) − born´

e

,soit:



ρ

i

,valeurdudébitmoyenàlongtermepour unesour e

τ

i

ρ

i

=

W

i

T

i

(1.12) Notonsquepourévaluer

W

i

,

ilsutde onstater que le temps de traitement

C

i

induit par toute instan e de

τ

i

est dû à une harge

W

i

pour un serveurdedébit

c

(

C

i

= W

i

/c

).



σ

i

, la taille maximale dela rafale; elle- i estdénie ommeétantlapluspetitevaleurde

σ

i

quisatisfaitla ontrainte1.5.Engénérallarafale existequandletra périodiqueestperturbépar unevariationde gigue. La taille dela rafale dé-pendalors fortement desvaleurs delagigue.En onsidérantlepire asqui orrespondàune arri-véegénéréeee tivement

J

i

unitésdetempsavant l'instant d'a tivationprévu,ilaétémontrédans (Koubâa,2004)quelatailleoptimaledelarafale (

σ

i

minimale quimajorela ourbed'arrivée) est donnéepar:

σ

i

=

W

i

T

i

(T

i

+ J

i

)

(1.13)

Dansl'exemple onsidéré,parappli ationdes formules 1.12, 1.13 et1.6, onobtient uneborne supérieure pour le temps de réponse de haque message. Cerésultatest donnédanslatroisième olonne,

D

i

dutableau1.2. Message

ECU

i

s

i

T

i

C

i

δ

i

M

1

CM 8 10 0,54 2

M

2

CAV/CdP 3 14 0,34 2

M

3

CM 3 20 0,34 2

M

4

BVA 2 15 0,30 2,5

M

5

ABS/CDS 5 20 0,42 2,5

M

6

ABS/CDS 5 40 0,42 10

M

7

ABS/CDS 4 15 0,38 10

M

8

BSI 5 50 0,42 10

M

9

SUS 4 20 0,38 10

M

10

CM 7 100 0,50 10

M

11

BVA 5 50 0,42 10

M

12

ABS/CDS 1 100 0,2 100

Tab.1.1Spé i ationdelamessagerie(tempsenms)

Nous pouvons remarquer que les deux te h-niquesappliquées i-dessus permettent, ha une, d'obtenirune borne surle temps de réponse et, ainsi de vérier de manière déterministe qu'une ontrainte de temps de réponse est respe tée. L'évaluationanalytiquedepiretempsderéponse fournitdes bornesplus petitesou égalesà elles fourniespar l'appro hedu network al ulus et, ainsi, les résultats obtenus par la dernière sont

pluspessimistes.Eneet,dansl'exempleprésenté i i, iln'estpaspossible d'obtenirdegarantie dé-terministedelapropriétésurletempsderéponse du message

M

5

en appliquant la te hnique du network al ulusalorsqu'ilestpossibledela ga-rantirparl'appro hefournieense tion3.2.En re-van he,ilfautnoterquelate hniquedenetwork al ulus  peut prendre en ompte un modèle detra plusgénéral(bornésupérieurement),

in-Message

R

i

D

i

E[Q

i

]

E[q

i

]

K

max

i

R

i

max

p

i

M

1

1,04 1,04 0,587 0,047 1 1,67 0,01

M

2

1,38 1,46 0,391 0,051 0 1,38 0,1

M

3

1,72 1,87 0,394 0,054 0 1,72 0,1

M

4

2,02 2,23 0,356 0,056 0 2,02 0,1

M

5

2,44 2,76 0,479 0,059 0 2,44 0,1

M

6

2,86 3,31 0,481 0,061 11 9,81

10

−12

M

7

3,24 3,80 0,443 0,063 10 9,56

10

−11

M

8

3,66 4,42 0,486 0,066 10 9,98

10

−11

M

9

4,04 4,93 0,448 0,068 9 9,73

10

−10

M

10

4,46 5,57 0,570 0,070 8 9,52

10

−9

M

11

4,72 5,93 0,491 0,071 8 9,78

10

−9

M

12

4,72 6,33 0,332 0,072 122 99,38 0

Tab.1.2Résultatsobtenusparappli ationdeste hniquesprésentéesdanslesse tions3.2( olonne

R

i

), 3.2 ( olonne

D

i

),4.1 ( olonnes

E[Q

i

]

et

E[q

i

]

)et4.2( olonnes

K

max

i

,

R

max

i

,

p

i

)

luantletra périodique/sporadiqueetêtre uti-lisée pour intégrer des véri ationsen ligne (par exemple, dansdes mé anismes de ontrle d'ad-mission dans les ar hite tures dequalité de ser-vi e).

5.2 Garantieprobabiliste

Enmodélisant e systèmesous laformed'un réseau de les d'attente eten appliquant la for-mule1.7, pour

λ

i

= 1/T

i

, nouspouvonsévaluer lesvaleursde

E[q

i

]

et

E[Q

i

]

pour ha undes mes-sages. En equi on erne letemps moyende ré-ponse, ommela hargeduréseaun'estpas impor-tante(

P

N

j=1

C

j

T

j

≈ 0, 22

), nouspouvons onstater quelamoyennedutempsd'attenteesttrèsfaible, lamajeurepartiedutempsderéponse étant due à la durée de transmission. Ce résultat ne four-nit au unegarantie probabilistesurlafaisabilité de ette messagerie; par ontre, il apporte une aide au on epteur de la messagerie pour para-métrer son appli ation ( hoix de la priorité des messagesauvudestempsmoyensderéponse ob-tenus, dimensionnementdu débitdu réseau, ...). Pour ompléter esévaluationset,enparti ulier, obtenirdesrésultatsentermesdegarantie proba-biliste, en prenant en ompte les erreurs, il faut re ouriràd'autresmoyens.

Aussi,dans equisuit,nous her honsà éva-luer, pour haque message

M

i

,sa probabilité de non-respe t de l'é héan e pour un modèle d'er-reurs donné. Dansla réalité, la plupart des bus CANembarquésdansl'automobilesont soumisà des erreurs de transmission ar les supports de transmission de type paires torsadées non blin-dées,enparti ulier,sontsensiblesàdes perturba-tions duesaux hampséle tromagnétiques.Dans CAN, haque trame erronée est retransmise au-tomatiquementaugmentantainsiletemps de

ré-ponse global du message. Le pire temps supplé-mentaireinduit par k retransmissions peut être estimépar:

E

i

(k) = k × (23τ

bit

+ max

j≤i

(C

j

))

(1.14) Le temps supplémentaire induit par une er-reur de transmission est omposé d'une part de la trame de signalisation d'erreurs (

23τ

bit

dans le pire as) etd'autre part de la retransmission de la trame orrompue. Dansle pire as, toutes les erreurs se produisent au dernier bit de la pluslonguetrame sus eptibled'êtreretransmise. Comptetenudu proto oled'a ès quirepose sur la priorité, seule une trame plus prioritaire ou égaleàlaprioritéi peutêtreretransmise.

En appliquant les formules 1.8, 1.14 et 1.10, on obtient

K

max

i

orrespondant au plus grand

R

max

i

telque

R

max

i

≤ δ

i

(voirtableau1.2).La pro-babilité

p

i

denon-respe tdelapropriétéaété al- uléesous l'hypothèseque haquetransmissiona uneprobabilitéd'erreur

p = 0, 1

(dernière olonne dutableau1.2).Laprobabilitéd'avoirexa tement

k

erreurs(for ément onsé utivesdansnotre as) suit une distribution géométrique. Selon la for-mule1.11,ona:

p

i

= 1 −

K

_i

max

X

k=0

P [N

err

(R

max

i

) = k]

p

i

= 1 −

K

_i

max

X

k=0

p

k

(1 − p)

(1.15)

La probabilité de non-respe t est fon tion du nombre maximalde retransmissionsautorisé. Ainsi nous pouvons onstater que des messages prioritaires mais ayant des é héan es serrées ont

i

i

Con lusions 13

desprobabilitésdenon-respe tplusimportantes. Cetteinformationpermetau on epteur d'appli- ationsdebiendimensionnerlesystèmes'ilexige une ertainerobustesse vis à vis du respe t des ontraintessurdesmessagesdeprioritéélevée. 6 Con lusions

La véri ationd'appli ationsestunea tivité omplexequi estsouvent imposée pardes régle-mentationsinternationales,nationalesouinternes àuneentreprise.Eneet, esappli ationsrelèvent desystèmesdits ritiquesdontlamiseenservi e passe par une garantie déterministeou probabi-liste de leur bonfon tionnement. Cette garantie s'obtient de plus en plus tout au long de leur développement par analyse de modèles du sys-tème.Ce iamènedeuxproblèmesprin ipaux.Le premier est elui dela modélisation, 'est-à-dire dela spé i ation d'une abstra tion du système tellequ'ellepuisseêtreanalyséeetque ette ana-lyse fournisse un verdi t pertinent pour les ga-ranties attendues. Ledeuxième problème est e-luidel'exploitationdesmodèlessoitparson ana-lysemathématique,soitparsimulation.Résoudre

es deux problèmes repose sur les formalismes qui supportent la représentation des systèmes à événementsdis retstemporisésetéventuellement probabilistes. Sidenombreuses avan ées ont été obtenues esdernièresannéessur e sujet (déve-loppementdenouveauxformalismes,maîtrise de la omplexité de l'analyse) etsi on ommen e à voir quelques outils industriels appli ant es ré-sultats,iln'endemeurepasmoinsquela générali-sationdel'appli ationdeste hniquesde véri a-tionreste àpénétrer tousles se teursindustriels on ernésparla on eption d'appli ationstemps réel.Dans e hapitre,nousavonsprésentéla pro-blématiquedelavéri ationdansle ontextedu tempsréel.Puis,nousavonsidentiéquelques for-malismesette hniquesd'analyse quiont atteint undegrésigni atifdematuritéetqui,pour er-taines, sont déjàappliquéesdansl'industrie. En-n, grâ e à l'exemple on ret d'un système em-barquédans uneautomobile,nousavonsmontré omment ertainesdeste hniquesprésentées pou-vaients'appliquer,quellesabstra tionsdusystème devaient être onstruites et quels résultats pra-tiquesonpouvaitenattendre.

Index

analyse,1,2,58

appli ationstempsréel,1 automate,6,7 ontrle demodèles,1 lesd'attente,8,9,12 garantie,2 deterministe,11 probabiliste,12 logiquestemporelles,1,4

CTL(LogiqueTemporelleArbores ente), 4

TCTL(LogiqueTemporelleTemporisée), 5

LTL(LogiqueTemporelleLinéaire),4 model- he king,1,6

NetworkCal ulus,8,12 piretempsderéponse,7 propriété,113 équité,4 invariant,4 sûreté, 4 viva ité,4 réseauxdePetri,7,15 simulation,2,9 véri ation,1

d'appli ationstempsréel,1

i

i

INDEX 15

Bibliographie

A.O.Allen (1990),Probability, statisti s and queueingtheory with omputer s ien eappli ations,A ademi Press,In .

R.Alur,C.Cour oubetis,D.Dill(1990),Model-Che kingfor real-time systems,Pro of5thIEEESymp.on Logi inComputerS ien e

A.Arnold(1992),Systèmesdetransitionsnisetsémantiquedespro essus ommuni ants,MassonParis. B. Berthomieu and M. Menas he (1983), An Enumerative Approa h for AnalyzingTime Petri Nets,IFIP Congress1983.

B.Berthomieu, F.Vernadat (2003),State lass onstru tionsfor bran hing analysis of TimePetri nets, In Pro eedingsofTACAS2003.SpringerVerlag,LNCS2619,ISBN3-540-00898-5

D.Brand,P.Zaropolo(1983),OnCommuni atingFinite-StateMa hines,J.A.C.M,Vol.n

o

2 J.RBur h,E.MClark,K.LM Millan,DLDillandJ.LHwang(1990),Symboli model- he king:

10

20

states andbeyond,Pro of5thIEEESymp.onLogi inComputerS ien e,Avril83

M.Diaz(2003),Véri ation etmiseenoeuvredesréseauxdePetri,HermesS ien e,ISBN2-7462-0445-2 A. Finkel, Ph. S hnoebelen (2001), Well-stru tured transition systems everywhere!, Theoreti al Computer S ien e256(1-2):63-92.

R.Karp,R.Miller(1969),ParallelProgramShemata,JournalofComputerandSystemS ien e,Voln

0

3,4 A.KoubâaandY.Q.Song(2004),Evaluationandimprovementofresponsetimeboundsforreal-time appli a-tionsundernonpre-emptivexedprioritys heduling,InternationalJournalofProdu tionResear h,Vol.42,NO.14, pp2899-2913,July2004,Taylor&Fran isLtd.

J.Y.LeBoude and P.Thiran(2002),NetworkCal ulus :ATheory of Deterministi QueueingSystemsFor TheInternet,EditionsSpringerVerlagNew-York,In .

J.W.S.Liu(2000),Real-TimeSystems,UpperSaddleRiver,NewJersey,USA,EditionsPrenti e-Hall,In . D.Paret(1996),LebusCAN( ontrollerArea Network),Dunod.

Ph.S hnoebelen,B.Bérard,M.Bidoit,F.LaroussinieetA.Petit(1999),Véri ationdelogi iels:te hniques etoutilsdumodel- he king,Vuibert.