L'Art de la Spécification Valide

(1)

HAL Id: hal-02481632

https://hal.archives-ouvertes.fr/hal-02481632

Submitted on 17 Feb 2020

HAL is a multi-disciplinary open access

archive for the deposit and dissemination of sci-entific research documents, whether they are pub-lished or not. The documents may come from teaching and research institutions in France or abroad, or from public or private research centers.

L’archive ouverte pluridisciplinaire HAL, est destinée au dépôt et à la diffusion de documents scientifiques de niveau recherche, publiés ou non, émanant des établissements d’enseignement et de recherche français ou étrangers, des laboratoires publics ou privés.

L’Art de la Spécification Valide

Michel Lemoine

To cite this version:

Michel Lemoine. L’Art de la Spécification Valide. [Rapport de recherche] ONERA Document intérieur, N.T. 5/7084/MH, novembre 1970. 2020. �hal-02481632�

(2)

L’Art de la Sp´ecification Valide

Michel Lemoine

17 f´

evrier 2020

(3)

Table des mati`

eres

1 VALID en r´esum´e 5

1.1 But de VALID . . . 5

1.2 Les principes sur lesquels repose VALID . . . 5

1.3 Le processus de VALID . . . 7

1.3.1 Goal Oriented Requirement Engineering (GORE) . . . 8

1.3.2 Les diagrammes UML . . . 9

1.3.3 OCL : Object Constraint Language . . . 10

1.4 Documents construits avec VALID . . . 11

2 Les notations utilis´ees dans VALID 12 2.1 KAOS - OBJECTIVER . . . 12

2.1.1 Pourquoi KAOS/Objectiver . . . 13

2.1.2 Notations KAOS/Objectiver . . . 14

2.1.3 Processus de construction des mod`eles Objectiver . . . 16

2.2 Notations UML utilis´ees . . . 17

2.2.1 Règles de transformation de diagrammes de responsabilité en classes UML 17 2.2.2 Détails sémantiques sur les diagrammes de classe et les diagrammes états transitions . . . 18

2.2.3 Apport de la mod´elisation statique et dynamique ”`a-la-UML” . . . 20

2.3 Sp´ecification du syst`eme avec OCL . . . 20

3 L’outillage support de VALID 23 3.1 Outillage support de GORE . . . 23

3.2 Outillage support d’UML . . . 23

3.3 Outillage support d’OCL . . . 23

3.4 Illustration de VALID `a l’aide d’un exemple simple . . . 24

3.4.1 URD et SRD d’un mini syst`eme de gestion bancaire . . . 24

3.4.2 Identification des propri´et´es . . . 29

3.4.3 Codage en OCL . . . 30

3.4.4 Premi`eres conclusions . . . 31

4 Smartphone 32 4.1 URD d’un smartphone sˆur de fonctionnement . . . 32

4.2 Cahier des charges et mod`eles Objectiver . . . 34

4.2.1 Niveau initial . . . 35

4.2.2 Communication t´el´ephonique . . . 36

4.2.3 Autres fonctionnalit´es . . . 38

4.2.4 Authentification . . . 39

(4)

4.2.6 Introduction d’un code . . . 41

4.2.7 Gestion des informations partag´ees . . . 42

4.2.8 Vente smartphone . . . 43

4.3 Diagramme de classe du smartphone . . . 44

4.3.1 Etape 1 : identification des classes . . . .´ 44

4.3.2 Etape 2 : identification des op´´ erations des classes . . . 44

4.3.3 Etape 3 : identification des attributs des classes . . . .´ 45

4.3.4 Etape 4 : identification des relations . . . .´ 45

4.3.5 Etape 5 : repr´´ esentation graphique du smartphone . . . 45

4.3.6 Etape 6 : ´´ evaluation du diagramme de classes . . . 47

4.4 Sp´ecification en OCL du smartphone . . . 48

4.4.1 Sp´ecification de la classe ”gestionEmpreinte” . . . 49

4.4.2 Code OCL de la classe ”gestionnaireCode” . . . 52

4.4.3 Sp´ecification de la classe ”gestionServices” . . . 53

4.4.4 Sp´ecification de la classe ”gestionInformation” . . . 53

4.4.5 Sp´ecification de la classe ”CarteM`ere” . . . 54

5 En mati`ere de conclusion 55

A Appendix ”gestion bancaire” 56

(5)

Table des figures

1.1 Paradigme d’Abrial et Schuman . . . 6

1.2 Processus de VALID . . . 7

2.1 Mod`ele de buts . . . 14

2.2 Mod`ele de responsabilit´e . . . 15

2.3 Processus Objectiver . . . 16

2.4 Un exemple de diagramme de classes . . . 18

2.5 Diagramme ´etats-transitions de la classe ”Administrateur Annuaire” . . . 19

3.1 Diagramme de plus haut niveau pour les comptes bancaires . . . 24

3.2 Diagramme de raffinement de la gestion des comptes. . . 25

3.3 Diagramme de raffinement de la gestion des personnes. . . 26

3.4 Diagramme global `a ´eviter . . . 27

3.5 Diagramme de classes des comptes bancaires provenant de USE. . . 31

4.1 SmartPhone au plus haut niveau . . . 35

4.2 Appeler ou recevoir un appel . . . 36

4.3 Appeler ou recevoir un appel . . . 37

4.4 Autres fonctionnalit´es . . . 38

4.5 Authentification . . . 39

4.6 Lecture d’empreinte . . . 40

4.7 Lecture de code . . . 41

4.8 Tout ce qui concerne la gestion des informations partag´ees . . . 42

4.9 R´einitialisation du smartphone . . . 43

4.10 Diagramme de classe du smartphone . . . 46

(6)

Avertissement : L’art de la spécification valide, titre ô combien pompeux, n’est que le sincère hommage rendu à Donald Knuth pour ses ouvrages sur The Art of Programming.

Un titre plus modeste est : “VALID : une méthodologie pour la spécification for-melle”, sachant que le terme méthodologie est utilisé ici comme “un ensemble de méthodes”.

Le texte est compos´e de 5 chapitres et de 2 annexes.

— Le chapitre 1 est un résumé de la méthodologie VALID. Il présente les principes et le processus sous-jacent.

— Le chapitre 2 est relatif aux notations très utilisées que sont Objectiver, UML et OCL. Ces notations sont relatives à 3 domaines :

— la r´edaction des cahiers de charge avec Objectiver, — la conception et mod´elisation d’une solution en UML,

— la spécification de la solution envisagée avec OCL (Object Constraint Language). — Le chapitre 3 détaille l’outillage disponible.

Il est à remarquer que tous les outils proposés sont gratuits dans tout contexte à but non lucratif. Ce chapitre propose également un exemple simple couvrant tout le processus de VALID.

— Le chapitre 4 présente un exemple plus conséquent lié à un objet que tous les lecteurs possèdent : un smartphone, possédant de bonnes propriétés.

— Le chapitre 5 est une brève conclusion sur la méthodologie proposée par VALID. — L’annexe concerne les cahiers des charges générés avec Objectiver pour les exemples

pr´esent´es aux chapitres 3 et 4.

Le lecteur uniquement soucieux de comprendre ce qu’est la notion de spécification formelle lira le chapitre 1, alors que le lecteur soucieux de développer des spécification formelles devra maˆıtriser les autres chapitres.

(7)

1 VALID en r´

esum´

e

1.1 But de VALID

VALID est une m´ethodologie1 _{permettant de passer d’un cahier des charges du client `}_{a une}

spécification rigoureuse du système à développer.

Qui doit développer une spécification à partir du cahier des charges du client ? Ce n’est certainement pas le client (MOA) : il a des besoins, un budget et ce n’est ni son travail ni dans sa capacité à développer le futur système.

Ce n’est pas non plus le rôle de la maˆıtrise d’œuvre (MOE) qui ne doit pas être juge et partie : elle doit développer le système une fois qu’elle se sera mis d’accord avec la MOA sur les objectifs et le budget !

Id´ealement il faudrait faire intervenir une Assistance `a la Maˆıtrise d’Ouvrage (AMOA), ´

equipe pluridisciplinaire qui doit à la fois maˆıtriser les problèmes du client et avoir de très bonnes compétences informatiques, afin de faire valider par la MOA les besoins, et présenter à la MOE une première spécification rigoureuse du système à développer.

1.2 Les principes sur lesquels repose VALID

Les principes sur lesquels repose VALID viennent de deux sources complémentaires : d’un côté les aspects traditionnels du développement prônés par le Génie Logiciel (Software Engi-neering - SE) et de l’autre côté du paradigme de J.R. Abrial et S. Schuman.

Pour ce qui est du Génie Logiciel une source intéressante est le SWEBOK2. Cet ouvrage est disponible à www.swebok.org de l’IEEE. C’est une excellente compilation de tout le vo-cabulaire nécessaire au développement des Systèmes à Logiciel Prépondérant (SLP). Il offre ´

egalement une très bonne vision des problèmes et solutions potentielles associées, ainsi qu’une imposante bibliographie. Un autre ouvrage francophone très intéressant est le livre d’A. Stroh-meier3 _intitul´_{e G´}_{enie logiciel : principes, m´}_{ethodes et techniques.}

Le Génie Logiciel prône l’utilisation d’un cycle de vie (Software Life Cycle - SLC) ad hoc pour développer tout SLP. Quel que soit le SLC choisi, un certain nombre d’étapes séquentielles s’enchaˆınent, chacune ayant une ou plusieurs entrées et générant une ou plusieurs sorties. La principale faiblesse des SLC est liée au fait que les documents en sortie de chaque étape ne sont jamais garantis comme étant conformes aux documents en entrée. C’est pour cette raison que dès

1. M´ethodologie est ici pris dans le sens d’ensemble de m´ethodes et de techniques d’un domaine particulier. 2. Guide to the Software Engineering Body of Knowledge Fundamental Algorithms, P. Bourque et R.E. Fairley, 2014

3. G´enie logiciel : principes, m´ethodes et techniques, Presses polytechniques et universitaires romandes, A. Strohmeier et D. Buchs, 1996

(8)

le d´ebut des ann´ees 70 J.R. Abrial4 _{et S. Schuman ont propos´}_{e un paradigme qui se r´}_{esume en}

“Programmer, c’est prouver”. En d’autres termes il faut montrer que le document produit lors d’une certaine transformation est conforme au document en entrée. En mathématique traditionnelle, on représente ce paradigme par le schéma de la figure 1.1.

Figure 1.1 – Paradigme d’Abrial et Schuman

Une formule devient un théorème si on exhibe une preuve i.e. si la formule est déductible des axiomes à l’aide de règles d’inférence.

J.R. Abrial et S. Schuman ont propos´e les analogies suivantes : — “Preuve” et “D´eveloppement”

— “Axiomes” et “Spécification ou Cahier des charges du client” — “Théorème” et “Programme ou Spécification du système”.

Ce paradigme est été largement mis en pratique à travers des méthodologies (quasi) in-dustrielles comme celle proposée par RODIN5 (Rigorous Open Development Environment for Complex System). La seule limitation réside dans le fait que l’on part d’une spécification sup-posée être correcte. Or en Génie Logiciel traditionnel, même en utilisant des méthodes très ´

eprouvées, la spécification initiale demeure un texte en langue naturelle, représentant ce que souhaite le client. Et rien ne permet de garantir que ce texte en langue naturelle est bien représentatif des véritables besoins du client.

Notre proposition pour VALID consiste à combler ce trou, à savoir la capacité à développer une première spécification validée des besoins du client.

Comment valider les besoins du client ?

Une solution bien acceptée consiste à construire une spécification rigoureuse du sys-tème à développer.

Nous ne prétendons pas que le passage du cahier des charges initial du client à une sp´ ecifi-cation rigoureuse du système à développer est simple car le texte initial en langue naturelle est par définition très informel alors qu’une spécification rigoureuse est très formelle. C’est pour cette raison que nous introduisons dans VALID les moyens de rajouter, au fur et à mesure des transformations, la sémantique rendant la spécification de plus en plus rigoureuse, tout en permettant de vérifier que chaque étape est correcte.

Le lecteur curieux pourrait poser la question : comment valider une sp´ecification ri-goureuse, voire formelle ?

Nous utilisons la méthode traditionnelle de reverse-engineering qui consiste à traduire le texte formel en texte informel, traduction faite par l’AMOA. Autant le passage de l’informel au formel nécessite une méthode très rigoureuse6, autant le passage inverse est facile et les éventuelles

4. Jean-Raymond Abrial, ”Data Semantics”. In Klimbie and Koffeman (eds), Data Base Management, North-Holland, pp. 1–59.

5. http ://rodin.cs.ncl.ac.uk/ 6. C’est l`a l’objet de VALID.

(9)

erreurs induites sont immédiatement détectées lors d’une simple relecture par l’AMOA et la MOE

1.3 Le processus de VALID

Comment passer d’un cahier des charges du client à une spécification rigoureuse du système à développer ?

Le processus proposé par VALID est décrit dans la figure 1.2. Il fait apparaˆıtre 3 traitements séquentiels et 5 documents.

Figure 1.2 – Processus de VALID

(10)

Acronym (en) Definition (en) D´efinition

URD User Requirements Document Cahier des charges du client

GORE Goal Oriented Requirements

Engineering

Ing´enierie des Besoins par les Buts V & V Verification : Am I building the

right system ?

Validation : est-ce que je construis le bon syst`eme ?

Validation : Am I building the system right ?

V´erification : est-ce que je construis le syst`eme correctement ?

UML Design Unified Modelling Language Design

Conception avec les notations UML

SRD System Requirements

Docu-ment

Cahier des charges du Syst`eme `a D´ e-velopper

OCL Specification Object Constraint Language Specification

Sp´ecification avec la notation OCL Class Diagram Static view of classes Diagramme de classes, support de

l’Architecture Statique du Syst`eme State-transition

diagrams

Class automata Diagramme ´etats-transition de

chaque classe

Notez bien les faux amis que sont les termes “Validation and Verification” en anglais versus “V´erification et Validation” en fran¸cais !

1.3.1 Goal Oriented Requirement Engineering (GORE)

Le 1er _{traitement fait r´}_ef´_{erence `}_{a la technologie GORE qui permet de repr´}_{esenter des buts,}

qu’ils soient fonctionnels ou non fonctionnels. De nombreuses m´ethodologies rigoureuses existent : nous avons retenu KAOS. Deux raisons justifient ce choix :

— en premier la méthode est présentée dans l’ouvrage7 _{remarquable d’Axel Van}

Lam-sweerde ;

— en deuxième le fait que KAOS en tant que méthode est supporté par un outil commercial : Objectiver8_.

Le document en entrée de GORE est le cahier des charges initial (URD) fourni par le client. Il est supposé contenir l’expression de ses besoins. À noter que si ce cahier des charges n’existe pas, il faudra d’une manière ou d’une autre le créer afin d’avoir un document initial d’entrée auquel se référer.

L’objectif de GORE est de permettre de transformer l’URD d’entrée en un document de sortie que nous appellerons le cahier des charges revisité ou cahier des charges du sys-tème à développer (SRD). Ce dernier contient à la fois un texte et une suite de modèles, constituant une 1e _{formalisation du syst`}_{eme `}_{a d´}_{evelopper. Il est important que le texte du}

ca-hier des charges revisit´e soit conforme `a un standard pour les cahiers des charges, comme par exemple l’IEEE 8309_.

Pour ce qui est de la suite des mod`eles, elle repr´esente une 1e_sp´_{ecification semi formelle du}

système à développer. La technologie GORE est particulièrement importante car elle permet de commencer à concevoir le système à développer.

Le SRD qui est un document en sortie doit idéalement posséder 3 propriétés :

7. Axel Van Lamsweerde, Requirements Engineering, From System Goals to UML Models to Software Spe-cifications, 2009, Addison-Wesley

8. http ://objectiver.com

(11)

— il doit ˆetre complet, i.e. il doit explicitement contenir tous les besoins (fonctionnels et non fonctionnels) du client ;

— il doit être cohérent, i.e. il ne doit y avoir aucune contradiction entre les besoins ; — et enfin il faut que tous les besoins puissent être satisfaits, i.e. soient implantables avec

les technologies disponibles au moment de la r´edaction du cahier des charges.

L’obtention de ces 3 propriétés est indispensable si l’on veut développer un système valide. En effet le cahier des charges initial contient beaucoup d’implicite et est donc particulièrement incomplet ! Qui plus est, les besoins du client sont la concaténation de nombreux besoins ex-primés par ses différentes parties prenantes. Et cet ensemble de besoins contient très souvent de nombreuses contradictions. Dernier point à ne pas négliger : le client veut certainement voir son système implanté ! Pour cela il dispose d’un budget et il est donc essentiel que le cahier des charges revisité puisse être implanté ou, si l’on ne peut pas, il faut pouvoir expliquer pourquoi certaines fonctionnalités ou non fonctionnalités (i.e. buts ou contraintes) ne peuvent pas l’être.

1.3.2 Les diagrammes UML

Le 2e _{traitement du processus de VALID est celui qui nous fait passer d’un cahier des}

charges revisité (texte et ensemble de modèles) à une première architecture du système. En effet, après avoir bien défini ce que devra satisfaire le système à développer, il faut être capable de modéliser le système sous une forme exclusivement fonctionnelle car il ne faut pas oublier qu’un ordinateur, malgré tous les progrès réalisés depuis le début de l’informatique, est surtout apte à transformer (i.e. traiter) des données en d’autres données. Cela revient à dire que les aspects fonctionnels et non fonctionnels du cahier des charges revisité doivent tous être convertis en fonctions ou traitements. Si cela ne pose pas de difficulté majeure pour les aspects fonctionnels du cahier des charges revisité, il y a nécessité à transformer les non fonctionnalités ou contraintes du système à développer en fonctionnalités.

Comment faire cela ?

Une solution, maintenant bien acceptée en informatique, consiste à construire, via des no-tations appropriées, une représentation statique et dynamique du système. La représentation statique doit permettre d’identifier quels sont les composants du système et leurs relations, la représentation dynamique doit quant à elle permettre d’exprimer le comportement de chaque composant.

Ayant modélisé de fa¸con très abstraite les aspects statique et dynamique d’un système, il est alors possible de répondre à la question : est-ce cela que souhaite le client ? Et il est clair que la notation UML10 _{offre de r´}_{eelles possibilit´}_{es, si l’on sait se restreindre, dans les}

diagrammes `a utiliser.

Nous avons choisi deux types de diagramme : — le diagramme de classes du syst`eme ;

— et le diagramme ´etats-transitions de chaque classe du diagramme de classe.

Ces deux types de diagrammes vont permettre d’avoir une vision statique et dynamique de l’architecture m´etier11 _{du syst`}_{eme `}_{a d´}_evelopper.

Comment passer du cahier des charges revisité à l’architecture du système ? Le cahier des charges revisité contient, par définition et de fa¸con textuelle, toutes les fonction-nalités et contraintes à satisfaire. Ces fonctionnalités et contraintes sont (théoriquement) toutes

10. Les notations UML sont suppos´ees ˆetre largement connues !

11. Nous parlons de l’architecture métier du système à développer car il ne s’agit pas encore d’implanter le système. De ce fait le vocabulaire utilisé est encore le vocabulaire du client. Bien évidemment le développement par la MOE du système transformera chacune des classes métier en des classes informatiques.

(12)

traduites en termes de traitements (i.e. opérations). Nous proposons de regrouper les opérations en classes, au sens traditionnel de l’Orienté Objet. En d’autres termes, la modélisation du cahier des charges revisité permet d’identifier des opérations que l’on regroupe en classes, responsables d’une ou plusieurs opérations ou fonctionnalités. Bien évidemment le regroupement ne se fait pas au hasard : il est guidé par la méthode choisie pour modéliser le cahier des charges revisité. En particulier il faut introduire dans l’architecture du système les modèles des entités sur lesquelles les opérations (exigences ou attentes) agissent. On dira plus simplement qu’il ne faut pas oublier de représenter les données manipulées. Le diagramme de classes résultant comportera donc d’une part les agents du systèmes et de l’environnement, et d’autre part les données manipulées par ces agents.

Le passage des aspects statiques aux aspects dynamiques se fait de fa¸con traditionnelle via l’introduction d’un automate qui permet de décrire, pour une classe donnée, comment ses opérations s’enchaˆınent les unes les autres.

Les deux types de diagrammes UML créés vont ainsi à leur tour étendre les propriétés du cahier des charges revisité. On se retrouve donc avec des modèles plus complets, cohérents et implantables.

1.3.3 OCL : Object Constraint Language

Le 3e _{traitement pr´}_econis´_{e par VALID est celui qui va donner une s´}_{emantique aux}

fonc-tionnalités identifiées lors de la modélisation du cahier des charges revisité. Il faut bien se rappeler qu’une modélisation UML tant statique que dynamique fait apparaˆıtre d’une part les ´

eléments manipulés (ici des classes au sens de l’Orienté Objet) et d’autre part des identificateurs d’opérations12_{, ces derni`}_{eres n’ayant a priori aucune signification particuli`}_{ere, en dehors de la}

vraisemblance syntaxique que l’AMOA a bien voulu lui donner. L’étape “Spécification en OCL” consiste justement à donner une 1re _{signification `}_{a chaque op´}_{eration i.e. `}_{a pr´}_{eciser comment les}

opérations font évoluer les éléments manipulés Quelle technique peut-on utiliser ?

Celle que nous proposons a été promue il y a maintenant longtemps par C.A.R. Hoare (plus souvent appellé T. Hoare) avec la notion de pré- et post-conditions et invariants, notions que l’on retrouve dans des langages de programmation orientés objets de haut niveau comme Eiffel et JML. L’intérêt de l’utilisation d’un tel style est que l’on n’exprime pas seulement le “comment” mais également le “quoi”. En d’autres termes on ne développe pas seulement un algorithme pour une opération donnée mais également les propriétés que cette opération respecte ou confère au système, selon le cas. Et c’est là le but ultime d’une spécification du système à développer. En effet, tout système possède un certain nombre de propriétés. C’est à partir de l’expression de ces propriétés que l’on pourra exprimer en “quoi” une opération, quelle qu’elle soit, respecte les propriétés du système.

Il faut surtout ne pas oublier que certaines contraintes provenant du cahier des charges revisité, même si elles ont été toutes transformées en fonctionnalités, peuvent être traduites en propriétés du système. Ce faisant on pourra établir une tra¸cabilité entre les contraintes initiales du cahier des charges et les fonctionnalités implantables.

Une difficulté potentielle est relative à l’identification des propriétés du système à développer. En effet, un invariant du système n’est rien d’autre qu’une propriété, en général exprimée en logique. D’où la difficulté inhérente à l’approche formelle, et donc en particulier à VALID :

12. Attention au vocabulaire. Dans une modélisation de diagrammes avec UML on parle d’opérations ou de services, pas de méthodes ! Ce dernier vocabulaire est réservé à l’implantation !

(13)

quelles sont les propriétés du système ? Il est clair que certaines sont évidentes à la lecture de l’URD ou du SRD. La difficulté réside dans l’identification de toutes les propriétés !

La dernière difficulté à régler est celle de la notation à utiliser.

Nous avons porté notre choix vers OCL car ce langage formel est volontairement simple d’accès et représente un juste milieu entre langage naturel et langage mathématique. Il permet ainsi de limiter les ambigüités dans la spécification des contraintes logicielles. Sa grammaire simple lui permet d’être interprété par des outils logiciels pour faire de la programmation par contrat et vérifier qu’un logiciel répond à ses spécifications techniques. En particulier, OCL permet de manipuler des invariants dans un modèle, sous forme de pseudo-code :

— pr´e et postconditions pour une op´eration ; — expressions de navigation ;

— expressions bool´eennes ; — etc.

Une autre raison du choix d’OCL est qu’il est utilisé dans la définition du métamodèle UML. `

A se rappeler : la programmation par contrat de B. Meyer d´erive de la logique qu’avait postul´ee T. Hoare !

1.4 Documents construits avec VALID

Tel que présenté dans l’illustration 1.2, VALID prend en entrée un cahier des charges client et permet de générer en final une spécification rigoureuse du système à développer.

Cette spécification est composée d’une part du texte (conforme à un certain standard) du cahier des charges revisité, d’autre part de 3 types de diagrammes :

1. un diagramme de classes métier représentatif de l’architecture statique du système à développer ;

2. un ensemble de diagrammes ´etats-transitions, un diagramme par classe ;

3. et pour chaque classe, un texte OCL contenant (éventuellement) des invariants de classe, et pour chaque opération de classe sa sémantique en termes de pré- et post-conditions. Dans la pratique le niveau de détails de la spécification ainsi construite sera très fortement couplé au texte du cahier des charges revisité. En d’autres termes, plus ce dernier sera détaillé et complet et cohérent, plus la spécification sera détaillée. Cela revient à dire que la 1e_´_{etape de}

VALID est essentielle. Qui plus est, c’est cette étape qui précise les contraintes que le système à développer doit respecter ! Il est clair que plus on pourra transformer les contraintes en termes de fonctionnalités, meilleure sera la spécification.

Il ne faut cependant pas croire que cette transformation sera toujours simple : il restera des cas où l’on ne saura pas faire, et ce sera alors le rôle de la MOE de demander à la MOA de mieux préciser les contraintes de son système.

En particulier les non fonctionnalités identifiées dans l’URD initial devraient être toutes traduites en fonctionnalités ou en propriétés. Il est impératif de vérifier que ce sera le cas et montrer, via de la tra¸cabilité que toute contrainte initiale se traduit soit par une fonctionnalité, soit par une propriété du système à implanter.

(14)

2 Les notations utilis´

ees dans VALID

Le 2e _{chapitre de VALID pr´}_{esente bri`}_{evement les notations choisies et pour chacune d’elles}

donne un aper¸cu de la méthode sous-jacente à utiliser pour transformer les documents d’entrée en documents de sortie.

2.1 KAOS - OBJECTIVER

Nous introduisons ci-après un glossaire récapitulatif du vocabulaire utilisé pour GORE par Objectiver.

Id. Description Alias (en)

attente but terminal assigné à un agent de l’environnement expectation agent objet actif réalisant des opérations pour atteindre des

buts

Objectiver distingue les agents du syst`eme (uniquement responsable d’exigences) et les agents de l’environne-ment (uniquel’environne-ment responsable d’attentes)

agent

but, sous-but, objectif, besoin

assertion prescriptive capturant un objectif `a satisfaire par la coop´eration d’agents.

Les exigences et les attentes sont des cas particuliers de buts

goal, need

but fonction-nel

un but est qualifi´e de fonctionnel quand il correspond `a un traitement traduisible par un algorithme

functional goal but non

fonc-tionnel

un but est considéré comme non fonctionnel quand il d´ e-crit une propriété du système (comme par exemple s´ ecu-rité, performance, ...) ou quand il décrit une contrainte `

a satisfaire pour développer le système (choix imposé du langage de programmation, ...)

constraint, operational constraint

conflit un conflit entre buts existe si sous une certaine condi-tion, les buts ne peuvent être réalisés tous ensemble

conflict exigence but terminal assign´e `a un agent du logiciel en consid´

e-ration, i.e. `a d´evelopper

requirement obstacle condition, (autre qu’un but) dont la satisfaction peut

empêcher certains buts d’être atteints ; tout obstacle d´ e-finit un ensemble de comportement non souhaités

(15)

Id. Description Alias (en) propri´et´e du

domaine

invariant du domaine ou hypothèse. Un invariant du do-maine est une propriété que l’on sait vraie dans chaque état d’éléments du domaine, par exemple une loi phy-sique.

Une hypothèse est une propriété sur un élément du do-maine supposée vraie

domain property

raffinement relation liant un but `a d’autres buts appel´es ses sous-buts.

La conjonction (raffinement ET) de tous les sous-buts constitue une condition n´ecessaire pour garantir le but raffin´e.

La disjonction (raffinement OU) de sous-buts stipule que la satisfaction d’un seul sous-but suffit `a satisfaire le but p`ere.

refinement

responsabilit´e relation entre un agent et une exigence ou une attente responsibility

2.1.1 Pourquoi KAOS/Objectiver

Pour ce qui est de la capture des besoins nous avons choisi la m´ethode KAOS support´ee par l’outil industriel Objectiver. La raison de ce choix est triple :

— une notation simple ;

— une m´ethode sous-jacente efficace ;

— et surtout la possibilité de définir un cahier des charges revisité ayant les propriétés requises, à savoir complétude, cohérence et satisfiabilité.

Explications

— Dans l’article ancien de G. A. Miller1 _intitul´_{e ”The magical number seven, plus or minus}

two : Some limits on our capacity for processing information” il a été (dé)montré que si l’on veut maˆıtriser une notation, quelle qu’elle que soit, il faut que le nombre de concepts consi-dérés soit petit. 7(+/-2) est ce fameux nombre magique. Et de ce point de vue, comme on peut le voir dans les modèles des buts et des responsabilités de KAOS/Objectiver présentés ci-après le nombre de concepts est très restreint.

— La méthode de développement de KAOS/Objectiver préconise de partir des objectifs (buts ou besoins, vocabulaire équivalent) client de plus haut niveau et de les raffiner en une ou plusieurs arborescences. Le raffinement consiste à décomposer chaque but en un ensemble de sous-buts plus simples à satisfaire. On retrouve implicitement les principes introduits dans le monde de l’informatique dès 1971 par N. Wirth dans Program Development by Stepwise Refinement. Les feuilles des arborescences sont les buts de plus bas niveau. Elles sont appelées ATTENTE ou EXIGENCE. Les EXIGENCES sont des buts à impérativement implanter. Les ATTENTES sont également des buts mais leur satisfaction est laissée à l’extérieur du système. Il est essentiel de comprendre que ce qui sera à implanter est l’ensemble des feuilles des arborescences, pas du tout les buts et sous-buts intermédiaires. L’efficacité de la méthode KAOS est liée en particulier au fait que l’on arrête de raffiner dès que le sous-but considéré peut être traduit par un algorithme ou une fonctionnalité que l’on saura facilement implanter.

— Propriétés des arborescences. Nous avons écrit qu’un cahier des charges revisité doit être complet (i.e. tous les besoins ont été envisagés), cohérent (absence de contradiction

(16)

entre les besoins) et satisfiable (on sait implanter). Ces 3 propriétés sont atteignables avec KAOS/Objectiver. La complétude est obtenu via d’une part le raffinement ET ou OU et d’autre part via la notion d’obstacles. Ce concept introduit par Axel Van Lamsweerde dans son livre Requirements Engineering consiste à identifier si pour chaque sous-but il y a des conditions qui font qu’un sous-but ne serait pas atteignable. Comme l’identification de ces obstacles est sous une forme logique mathématique, on peut aisément garantir que toutes les conditions peuvent être identifiées, donc que le système sera complet. Bien évidemment l’identification de ces obstacles conduit à introduire de nouveaux sous-buts pour pallier, autant que possible, les obstacles !

La cohérence est plus difficile à mettre œuvre. En effet elle dépend de l’identification dans les arborescences de buts manifestement en contradiction. Ce travail ne peut être réalisé que par analyse de la sémantique des différents buts représentés dans les arbores-cences. Ces dernières pouvant être très grandes, il n’est pas toujours simple de découvrir les contradictions potentielles. Il existe heureusement un moyen rigoureux de démontrer la cohérence. Ce moyen s’appuie sur les méthodes formelles qui consistent à modéliser le système complet sous forme de propriétés mathématiques exprimées en utilisant une logique.

Quelle logique ? Diverses logiques sont utilisables. La plus utilis´ee est la logique des pr´ e-dicats du 1er_{ordre. Elle est en g´}_en´_{eral suffisante !}

Enfin, la satisfiabilité est simple à garantir car la construction des arborescences suppose que les feuilles sont implantables. Si tel n’était pas le cas, cela signifierait que l’arbores-cence est infinie !

2.1.2 Notations KAOS/Objectiver

Nous redonnons ci-après la signification des notations utilisées dans les modèles de buts et les modèles de responsabilités.

Figure 2.1 – Modèle de buts Concepts manipulés dans le modèle des buts

— BUT : but, sous-but Un but permet d’exprimer un objectif fonctionnel ou non fonc-tionnel que le syst`eme doit satisfaire.

ATTENTE et EXIGENCE sont des buts terminaux, i.e. des buts non raffinés par convention. Une ATTENTE est un but assigné à un agent de l’environnement. Une EXIGENCE est un but assigné à un agent du système, i.e. du système à développer.

(17)

— PROPRIETE DU DOMAINE

Une propriété du domaine représente un invariant du domaine ou une hypothèse. Un invariant du domaine est une propriété vraie pour un certain élément du système alors qu’une hypothèse est une propriété que l’on suppose toujours vraie.

— OBSTACLE

Condition autre qu’un but qui peut empêcher certains buts d’être atteints : ils peuvent également définir des comportements non souhaités. Les obstacles sont des éléments es-sentiels d’une analyse des risques du logiciel à développer.

— CONFLIT (repr´esent´e par un zigzag rouge)

C’est une relation entre 2 buts, relation traduisant le fait que les 2 buts en conflit ne peuvent être réalisés en même temps. À ne pas confondre avec les obstacles ! Un conflit traduit souvent le fait qu’il manque de l’information dans le cahier des charges initial. — Relation entre buts : raffinement de but

Tout but non terminal se raffine en une arborescence. L’arborescence comprend des raf-finements ET, et/ou des rafraf-finements OU.

Raffinement ET : une seule sous-arborescence (seul le raffinement ET est représenté dans le modèle de buts de la figure 2.1). Une arborescence ET traduit le fait que le but de plus haut niveau (i.e. le but père) est satisfait par le ET (condition suffisante) de tous ses sous-buts.

Raffinement OU : d’un but p`ere partent plusieurs sous-arborescences.

Le raffinement OU traduit le fait que la satisfaction de l’une des sous-arborescences est suffisante `a satisfaire le but de plus haut niveau.

— Relation entre obstacle et but : obstruction et r´esolution

Une obstruction (représentée par une flèche à extrémité rouge) est une relation qui va d’un obstacle vers un but : une obstruction empêche la réalisation d’un but.

Une résolution (représentée par une flèche à extrémité verte) est une relation qui va d’un but vers un obstacle : une résolution est l’introduction d’un (nouveau) (sous-)but afin d’annihiler/amoindrir les effets d’un obstacle.

Figure 2.2 – Modèle de responsabilité Concepts manipulés dans le modèle des responsabilités — Agent

C’est un élément actif du système réalisant (i.e. satisfaisant) des buts terminaux (AT-TENTE ou EXIGENCE).

(18)

C’est l’agent que la MOE devra mettre en place pour satisfaire des EXIGENCEs. 2. Agent de l’environnement

C’est l’agent externe au syst`eme MAIS dont la pr´esence est indispensable afin de satisfaire les ATTENTEs.

— Relation entre agent et buts

Il s’agit d’assignation de responsabilit´e entre un agent du syst`eme et une exigence, un agent de l’environnement et une attente.

2.1.3 Processus de construction des mod`

eles Objectiver

Il est à noter que Objectiver propose un diagramme très simple du processus préconisé par KAOS dans l’illustration suivante.

Figure 2.3 – Processus Objectiver

Le processus Objectiver fait apparaˆıtre les documents en entrée et en sortie, et de fa¸con très simplifiée l’étape de modélisation. De cette illustration il faut retenir :

— que les documents en entrée ne se limitent pas au seul cahier des charges client. Des interviews des parties prenantes et la prise en compte des documents existants sont pertinentes pour analyser le problème et en déduire les modèles ;

— que les documents en sortie sont d’une part et en premier un modèle Web du cahier des charges revisité et d’autre part et en final le cahier des charges revisité textuel ;

— comme l’indique cette illustration l’intérêt d’un document Web est double : sa facilité de partage entre les parties prenantes, et de ce fait sa validation informelle par les parties prenantes elles-mêmes.

(19)

La construction des modèles avec l’environnement support d’Objectiver se fait en 9 étapes séquentielles.

1. Introduction de l’URD dans un diagramme de texte d’Objectiver 2. Analyse du texte et identification des buts

3. Structuration des buts en un ou plusieurs diagrammes des buts

4. Identification des agents du syst`eme et de l’environnement et construction des dia-grammes des responsabilit´es

5. Documentation de tous les concepts (diagrammes de buts, attentes et exigences, agents) 6. Validation/invalidation des mod`eles par les parties prenantes

7. Mise à jour des modèles 8. Blindage des modèles 9. Génération du SRD

2.2 Notations UML utilis´

ees

Pour ce qui concerne la construction du diagramme de classe et des diagrammes ´ etats-transitions de chaque classe, nous faisons l’hypothèse que tous les lecteurs connaissent ces notations et maˆıtrisent correctement leur sémantique. Nous renvoyons donc au site où la dernière version d’UML est disponible. Au début 2018 il s’agit de la version 2.5.

2.2.1 R`

egles de transformation de diagrammes de responsabilit´

e en

classes UML

VALID propose des règles simples de transformation pour passer des modèles Objectiver (modèle des buts et modèle des responsabilités) à des classes ”à-la-UML”. En effet Objectiver, en introduisant la notion d’agents (du système et de l’environnement) attribue explicitement la responsabilité des fonctionnalités de plus bas niveau (respectivement les exigences et les attentes) à ces agents.

Que sont ces agents en UML ? Ni plus ni moins que des classes au sens de l’Orient´e Objet. Rappelons qu’une classe est une abstraction qui offre, lorsqu’elle est instanci´ee, des services, ici des buts terminaux (exigence et attente), qui sont a priori fonctionnels.

La r`egle de transformation propos´ee par VALID est donc :

— tout agent du système est transformé en une classe interne, dont les opérations sont les exigences dont il est responsable ;

— tout agent de l’environnement est transform´e en une classe externe (ou utilitaire), dont les op´erations sont les attentes dont il est responsable !

Le distinguo entre classe du système et classe utilitaire (ou classe externe) provient du fait qu’en KAOS/Objectiver un agent de l’environnement est responsable d’attentes c’est-à-dire de services qui sont/seront disponibles (théoriquement) à l’extérieur du système à développer ! Alors que les exigences correspondent à ce qu’il faudra implanter pour le système à développer. Cette règle permet donc d’envisager maintenant de construire une première architecture du système à développer en introduisant un diagramme de classes client et des diagrammes ´ etats-transitions. En d’autres termes il faut donc regrouper les classes UML en un diagramme de classes permettant ainsi d’obtenir l’architecture statique métier du système. Le fait d’associer

(20)

`

a chaque classe client un automate (i.e. un diagramme états-transition) permet de maˆıtriser la dynamique du système2 à développer, et en particulier d’obtenir de la part de la MOA une validation encore plus forte puisqu’il existe des outils informatiques permettant de simuler le fonctionnement des automates !

2.2.2 D´

etails s´

emantiques sur les diagrammes de classe et les

dia-grammes ´

etats transitions

Diagramme de classes

En UML un diagramme de classes métier contient trois types de classes, comme présenté dans l’illustration de la figure 2.4. Il est à noter que les deux diagrammes font référence à un exemple non traité dans ce document.

Figure 2.4 – Un exemple de diagramme de classes

La classe “Système Annuaire” est ici la classe métier du système à développer. En effet quel que soit le système à développer (même si ici nous nous restreignons à des classes métier) il est indispensable de se rappeler que le système final est composé d’une part de classes externes, d’autre part de classes internes. Cette classe système (la seule à être exécutable) représente le système, tel que l’utilisateur le souhaite (en espérant que l’AMOA a bien fait son travail). Cette classe système est le reflet de l’interface du système, tel qu’il sera utilisé ! Il est à noter que dans ce diagramme de classes n’apparaˆıt aucune relation entre les différentes classes externes

2. Attention cependant au fait que les automates ne concernent que les classes du système, et certainement pas tout le système. L’automate du système complet contient trop d’états pour pouvoir être explicitement représenté.

(21)

ou internes. La raison de cette absence de relations provient du fait que le cahier des charges que nous avons trait´e n’en fait apparaˆıtre implicitement aucune !

Diagramme ´etats-transitions

Comme on peut le voir dans l’illustration 2.5, le diagramme états-transitions fait apparaˆıtre les services ou opérations offertes par la classe “Administrateur Annuaire”. Nous avons respecté la sémantique des diagrammes états-transitions au sens de Harel. En d’autres termes, un et un seul état initial, un ou plusieurs états finals. L’absence d’état final signifierait que l’automate ne s’arrête jamais !

Un examen plus détaillé du diagramme états-transitions fait apparaˆıtre les 6 opérations identifiées dans le diagramme de classes. Remarque : normalement les transitions entre états doivent être labellées par le nom des opérations figurant dans la classe dont on construit le diagramme états-transitions. Nous avons respecté ce principe. Mais pour des raisons de clarté et surtout de simplicité des états, les identificateurs choisis sont très abrégés.

Figure 2.5 – Diagramme états-transitions de la classe ”Administrateur Annuaire” Le diagramme fait également apparaˆıtre des gardes ([OK, pas OK, erreur] et une nouvelle transition “exit”. Pourquoi ces nouveaux éléments ? C’est là un apport très significatif de la modélisation de l’automate. En effet, le raffinement de buts en sous-buts fait apparaˆıtre de nombreux sous-buts, sans pour autant être sûr que tous les cas possibles ont été examinés. Les obstacles ont permis d’en identifier de nouveaux, mais encore une fois la complétude n’est pas garantie totale. Avec un automate on va pouvoir demander au client une validation et obte-nir, comme dans l’illustration considérée, le fait qu’il manque des transitions. Les 2 transitions correspondant aux gardes ([OK] et [pas OK]) proviennent du fait que l’authentification de l’ad-ministrateur de l’annuaire a été réussie ou pas. Une modification qui doit être faite concerne la nouvelle opération “exit” introduite dans le diagramme états-transitions de la classe “Admi-nistrateur Annuaire”. Cette transition correspond simplement au fait que l’admi“Admi-nistrateur de l’annuaire peut quitter normalement le système, information totalement absente du cahier des charges initial.

(22)

2.2.3 Apport de la mod´

elisation statique et dynamique ”`

a-la-UML”

La modélisation ”à-la-UML” du système à développer est restreinte aux aspects statique et dynamique de l’utilisation du système. Ce point peut paraˆıtre restrictif, mais il ne l’est pas car l’objectif affiché de VALID est la spécification (i.e. plus le “quoi” que le “comment”) du système `

a d´evelopper.

La modélisation ”à-la-UML” permet d’obtenir la liste des composants qu’il faudra implanter et pour chacun d’eux on représentera leur comportement. Attention à bien vérifier que tous les composants sont bien pris en compte, et en particulier toutes les données, représentées également par des classes. L’identification de ces données est relativement simple dans la mesure où la plupart apparaissent en tant que paramètres des opérations identifiées.

Comme le montre le simple exemple ci-dessus, la modélisation du diagramme de classes et du comportement de chaque classe permet à la fois de corriger certaines erreurs et surtout de valider la complétude du document. Dans la pratique on invalide la complétude car on est plus `

a même de détecter des manques ou des erreurs. C’est une remarque générale à ne pas oublier ! On sait plus invalider que valider !

L’étape de modélisation avec UML permet de donner plus de sémantique dans la mesure où on spécifie sous une forme graphique quel est le comportement de toute instance de chaque classe. Donc les aspects complétude (ou au contraire absence de complétude) sont bien mis en valeur.

2.3 Sp´

ecification du syst`

eme avec OCL

Pourquoi faut-il spécifier formellement avant de programmer un système ? Petit rappel : dans l’étape initiale de VALID nous montrons comment on peut passer des besoins d’un client (l’URD) à un cahier des charges du système (le SRD) à développer. Cette ´

etape permet de s’assurer que l’on a bien identifi´e les besoins du client. La 2e _´_{etape permet}

ensuite de passer du cahier des charges revisité à une architecture du système à développer. Cette architecture, statique et partiellement dynamique, est la condition sine qua non initiale `

a satisfaire avant de développer des programmes. Mais cette architecture est insuffisante car nous n’avons aucun contenu sémantique pour les éléments composant du système. Le rôle de la 3e _´_{etape de VALID consiste `}_{a sp´}_{ecifier le syst`}_{eme, i.e. `}_{a d´}_{ecrire formellement ce que chaque}

´

elément composant du système doit faire. Pour cette description nous avons besoin de notations précises. Avant de passer à un langage de programmation de type algorithmique, il est important de spécifier en utilisant la logique mathématique traditionnelle, éventuellement complétée par de l’algorithmique.

Et pour ce faire OCL (tout autant que d’autres notations comme par exemple JML - Java Modeling Language) est une très bonne notation. On va donc pouvoir spécifier logiquement i.e. spécifier des propriétés des éléments composant du système ou simplement spécifier des opérations. L’intérêt d’une telle notation est que sans négliger les aspects algorithmiques (i.e. le “Comment”) on peut spécifier (i.e. le “Quoi”) les propriétés logiques du système.

(23)

UML model:

<umlmodel> ::= model <modelname> [ <modelbody> ] <modelname>::= <name> ___________________________________ Model body <modelbody>::= { <enumerationdefinition> } { <associationdefinition> | <associationclassdefinition> } <classdefinition>

{<classdefinition> | <associationdefinition> | <associationclassdefinition>} [ constraints { constraintdefinition> } ]

_________________________________________ Enumeration

<elementname> ::= <name> _________________________________________ Class definition

<classdefinition> ::= [ abstract ] class <classname> [ < classname> { , <classname> } ] [ attributes { <attributename> : <type> } ]

[ operations { <operationdeclaration> [ = <oclexpression> ] { <preconditiondefinition> | <postconditiondefinitioni } } ] [ constraints { <invariantdefinition> } ] end <classname> ::= <name> <attributename> ::= <name> _________________________________ Association definition

<associationdefinition> ::= ( association | composition | aggregation ) <associationname> between

<classname> [ <multiplicity> ] [ role <rolename> ] [ ordered ] <classname> [ <multiplicity> ] [ role <rolename> ] [ ordered ] { <classname> [ <multiplicity> ] [ role <rolename> ] [ ordered ] } end

<multiplicity> ::= ( * | <digit> { <digit> } [ .. ( * | <digit> { <digit> } ) ] ) { , ( * | <digit> { <digit> } [ .. ( * | <digit> { <digit> } ) ] ) }

(24)

_________________________________ Associationclass definition

<associationclassdefinition> ::= [ abstract ] associationclass <classname> [ < <classname> { , <classname> } ] between

<classname> [ <multiplicity> ] [ role <rolename> ] [ ordered ] <classname> [ <multiplicity> ] [ role <rolename> ] [ ordered ] { <classname> [ <multiplicity> ] [ role <rolename> ] [ ordered ] } [ attributes { <attributename> : <type> } ]

[ operations { <operationdeclaration> [ = <oclexpression> ] {<preconditiondefinition> | <postconditiondefinition> } } ] [ constraints { <invariantdefinition> } ]

end

__________________ Constraint

<invariantcontext> ::= context [ <variablename> : ] <classname> { <invariantdefinition> } <operationcontext> ::= context <classname> <operationconstraints>

( <preconditiondefinition> | <postconditiondefinition> ) { <preconditiondefinition> | <postconditiondefinition> }

<preconditiondefinition> ::= pre [ <preconditionname> ] : <booleanoclexpression> <postconditiondefinition> ::= post [ <postconditionname> ] : <booleanoclexpression> ) <invariantname> ::= <name> <variablename> ::= <name> <preconditionname> ::= <name> <postconditionname> ::= <name> ________________________________ Operation declaration

<operationdeclaration> ::= <operationname> ( [ <parameters> ] ) [ : <type> ]

<parametername> ::= <name> _______________________

Type

<type> ::= <collectiontype> | <simpletype> | <enumerationname> <collectiontype> ::= ( Set | Bag | Sequence ) (

{ <collectiontype> | <simpletype> | <enumerationname> } )

<simpletype> ::= Integer | Real | Boolean | String | <classname> _____________________________

<name> ::= ( <letter> | ) { <letter> | <digit> | } <letter> ::= a | b | . . . | z | A | B | . . . | Z <digit> ::= 0 | 1 | . . . | 9

<oclexpression> ::= (* Replace this symbol by an ordinary OCL expression. *) <booleanoclexpression> ::= (* Replace this symbol by an ordinary OCLexpression

which results in a boolean value. *) _____________________________________ Expressions OCL

(25)

3 L’outillage support de VALID

VALID propose une méthodologie qui offre un processus et reprend des notations bien conso-lidées, et d’usage courant. Toute méthodologie nécessitant la présence d’outils support, nous avons sélectionné pour chaque étape du processus des outils de niveau industriel et, dans la mesure du possible, gratuits.

3.1 Outillage support de GORE

Pour l’étape GORE, notre choix s’est porté sur Objectiver pour les raisons évoquées plus haut. Cet outil industriel, outre sa puissance expressive, a aussi le grand mérite d’être gratuit pour l’enseignement et la recherche.

http ://www.objectiver.com permet de télécharger une version d’évaluation de l’outil.

3.2 Outillage support d’UML

Pour l’étape 2, à savoir la modélisation UML de l’architecture statique du système à d´ eve-lopper et les diagrammes états-transitions des classes, de nombreux outils sont disponibles.

— Papyrus dans sa version intégré à l’IDE Eclipse https ://eclipse.org/papyrus/ est un outil très pertinent. Il est à noter que Papyrus inclut un éditeur OCL directement lié aux différents diagrammes UML que l’on aura construit.

— ArgoUML est un logiciel libre qui supporte les langages suivants : Java, C++, PHP, C# et SQL.

— une autre solution très simple d’utilisation est l’environnement StarUML téléchargeable `

a l’adresse http ://staruml.io.

La liste des éditeurs UML est longue. Peu importe le support UML choisi car notre objectif reste la manipulation (construction et surtout vérification) de spécifications OCL.

3.3 Outillage support d’OCL

Pour ce qui est d’OCL, nous pr´econisons d’abord de sp´ecifier le texte OCL (n’importe quel ´

editeur de texte convient), puis, de manipuler les textes OCL `a l’aide de l’environnement USE. Cet environnement est disponible `a https ://sourceforge.net/projects/useocl/.

USE s’avère être un outil puissant de manipulations de spécifications textuelles et graphiques d’OCL. Il est à noter que USE permet de visualiser a posteriori le diagramme de classe de la spécification écrite en OCL.

(26)

Précaution à prendre : une bonne lecture du manuel d’utilisation intitulé USE : UML-based Specification Environment est indispensable à tous ceux qui veulent vraiment sp´ e-cifier des systèmes valides.

3.4 Illustration de VALID `

a l’aide d’un exemple simple

La méthodologie VALID est illustrée ci-après via un exemple très simple.

3.4.1 URD et SRD d’un mini syst`

eme de gestion bancaire

L’URD que nous proposons est relatif à un système de gestion bancaire. Ce système inclut d’une part des banques et des comptes bancaires, et d’autre part des personnes propriétaires de ces comptes bancaires. L’objectif final du système est de permettre la gestion des comptes et des propriétaires, gestion signifiant essentiellement création, suppression, modification, etc.

Appliquant la méthode et les notations d’Objectiver, nous proposons la suite de diagrammes de buts présentés ci-après.

Figure 3.1 – Diagramme de plus haut niveau pour les comptes bancaires

Le système de gestion bancaire est raffiné en 2 sous-buts (gestion des comptes et gestion des personnes) et une attente (gestion des banques). “Gestion des banques” est une attente, donc a priori sous la responsabilité d’un agent extérieur, ici identifié par “Banques”.

(27)

Figure 3.2 – Diagramme de raffinement de la gestion des comptes.

Pour le raffinement de la “gestion des comptes”, nous avons créé 3 exigences, permettant respectivement de “créer un compte”, “supprimer un compte” et “associer un compte à une personne”. Ces 3 exigences sont sous la responsabilité de l’agent “Gestionnaire compte”.

(28)

Figure 3.3 – Diagramme de raffinement de la gestion des personnes.

Le sous-but “gestion des personnes” est relatif aux personnes qui ont un compte bancaire. C’est pour cela que nous avons considéré 2 exigences, l’un relative à la création d’un propriétaire d’un compte, l’autre à la suppression d’un propriétaire d’un compte.

(29)

Ce qu’il ne faut pas faire avec Objectiver c’est de construire des diagrammes comportant trop d’exigences et/ou d’attentes. Le diagramme ci-dessous est relativement illisible.

Idéalement tout sous-but ne devrait être raffiné que par un seul niveau de sous-buts, d’at-tentes et/ou d’exigences.

Figure 3.4 – Diagramme global `a ´eviter

En effet la lisibilité de tout diagramme de buts est essentielle à la compréhension du problème ainsi qu’à la solution proposée.

(30)

Dictionnaire des symboles manipul´es

Type Identificateur D´efinitions

Agent Banques Repr´esente l’ensemble des banques

Agent Gestionnaire compte Agent responsable des comptes, donc fournis-sant les exigences “créer compte, supprimer compte, associer compte à propriétaire” Agent Gestionnaire propriétaire Responsable de “créer propriétaire compte,

supprimer propri´etaire compte”

Buts et

sous-buts non docu-ment´es

syst`eme de gestion bancaire, ges-tion compte, gesges-tion des per-sonnes

Sont raffin´es dans des diagrammes de buts

Attente gestion des banques On fait l’hypothèse que les banques sont g´ e-rées par une entité externe

Exigences cr´eer compte, supprimer compte,

associer compte à propriétaire, créer compte,

supprimer propri´etaire compte

Sont d´efinis dans le SRD correspondant pr´ e-sent´e en annexe

(31)

3.4.2 Identification des propri´

et´

es

Pour pouvoir spécifier formellement en OCL il faut avant tout bien identifier les propriétés que le système doit préserver. Pour l’exemple considéré et bien que l’URD de départ ne le précise pas, nous introduisons 3 propriétés à impérativement respecter :

1. un client peut avoir plusieurs comptes ;

2. pour une banque donn´ee, un client ne peut y avoir qu’un et un seul compte ; 3. tous les comptes bancaires doivent avoir un solde positif.

La prise en compte des propri´et´es peut se faire soit directement au niveau graphique, soit au niveau du texte OCL :

— Les items 1 et 2 sont spécifiés graphiquement dans le diagramme de classes (présenté plus loin) par des multiplicités appropriées.

— L’item 3 est traduit dans la spécification OCL par l’expression “inv positif : solde>0”. Il est à remarquer qu’il n’y a pas d’ordre entre les propriétés car elles doivent être ind´ epen-dantes. Si ce n’est pas le cas, il faut alors le traduire graphiquement et/ou logiquement. Un tel cas traduit sans nul doute une modélisation pour le moins “faible”!

(32)

3.4.3 Codage en OCL

model CompteBancaire class Banque attributes nom: String end class Personne attributes age : Integer end class Compte attributes solde : Integer operations crediter (c:Integer) pre: c>0

post: solde = solde@pre + c debiter (d:Integer)

pre: d>0 and solde>d

post: solde = solde@pre - d getSolde ()

end

association

aDesClients between

Banque[*] role banque

Personne[1..*] role clients end association aDesComptes between Banque[1..*] Compte[*] end association aUnCompte between

Personne [1] role proprietaire Compte[1..*]

end

constraints context Compte

(33)

Seule la 3e _propri´_et´_{e est prise en compe au niveau OCL puisque les deux autres ont pu ˆ}_etre

traitées graphiquement. Le codage OCL fait apparaˆıtre l’invariant qui stipule que tout compte doit avoir un solde positif. La spécification de l’opération de débit préserve bien cet invariant puisque en précondition on vérifie que la somme à retirer est bien positive et que cette somme est bien inférieure au solde du compte.

L’utilisation de l’environnement USE permet de visualiser les différents éléments manipulés dans la spécification OCL avec tous les détails introduits lors de la modélisation. Cette visua-lisation du diagramme de classe est riche car elle s’appuie sur une spécification plus complète (les opérations sont introduites).

Personne age : Integer Banque nom : String Compte solde : Integer crediter(c : Integer) debiter(d : Integer) getSolde() clients 1..* aDesClients banque * compte * aDesComptes banque 1..* compte 1..* aUnCompte proprietaire ₁

Figure 3.5 – Diagramme de classes des comptes bancaires provenant de USE.

3.4.4 Premi`

eres conclusions

De ce simple exemple nous pouvons conclure qu’il faut procéder avec une extrême rigueur si l’on veut obtenir un résultat offrant les 3 propriéts attendues que sont la complétude, la cohérence et la satisfiabilité.

Il faut cependant ne pas oublier que ce qui a été construit est un ensemble de modèles à partir d’un URD client. Quid de la validation de cette modélisation ? Quelles techniques à utiliser et aussi qui peut mener cette évaluation ?

(34)

4 Smartphone

Ce chapitre traite un exemple plus élaboré, réutilisant le processus VALID.

4.1 URD d’un smartphone sˆ

ur de fonctionnement

L’URD initial pourrait ˆetre traduit par la simple phrase : “Smartphone sˆur de fonctionnement via l’utilisation d’une empreinte digitale”.

Avant de rentrer dans les détails, nous rappelons à tous nos lecteurs (qui ont certainement un smartphone) ce que nous envisageons comme définition. Un ordiphone1 ou téléphone intel-ligent, est un téléphone mobile disposant de nombreuses fonctionnalités : assistant numérique personnel, appareil photo numérique et même ordinateur portable. La saisie des données se fait le plus souvent par le biais d’un écran tactile ou, plus rarement d’un clavier ou d’un sty-let. Selon le principe d’un ordinateur, il peut exécuter divers logiciels/applications grâce à un système d’exploitation spécialement con¸cu pour mobiles, et donc en particulier fournir des fonc-tionnalités en plus de celles des téléphones mobiles classiques comme : l’agenda, la télévision, le calendrier, la navigation sur le Web, la consultation et l’envoi de courrier électronique, la géolocalisation, le dictaphone/magnétophone, la calculatrice, la boussole, l’accéléromètre, le gyroscope, la messagerie vocale visuelle, la cartographie numérique etc. Les appareils les plus sophistiqués bénéficient également de la reconnaissance vocale et de la synthèse vocale.

Quelques détails à considérer

Compte-tenu de la richesse des services fournis par un smartphone la quantité d’informations personnelles est très grande et doit donc être particulièrement protégée. D’où un très haut niveau de sécurité pour ce qui concerne l’accès à son contenu. Pour ce faire l’utilisateur devra systématiquement être identifié lorsqu’il veut utiliser manuellement son téléphone.

Afin de rendre l’utilisation des smartphones sûre, les constructeurs les ont dotés de lecteur d’empreinte digitale (même s’il s’avère que ce système n’est pas sans faille). Il faut alors garantir que l’empreinte digitale sera parfaitement reconnue, ce qui pose de nombreuses questions :

— comment cr´eer une premi`ere empreinte digitale ?

— comment garantir que la reconnaissance de l’empreinte est correcte ? — que faut-il envisager de faire si l’on veut vendre le smartphone ?

— quid d’un mode de secours sans utiliser l’empreinte digitale (c’est le cas si le propri´ e-taire du smartphone ne peut plus utiliser ses empreintes digitales).

— etc. !

Nous présentons ci-après comment Objectiver a été utilisé pour modéliser le cahier des charges revisité pour un smartphone, intelligent et sûr de fonctionnement.

Il est essentiel de remarquer que les modèles présentés ci-après traduisent une solution po-tentielle, et que bien d’autres modélisations peuvent être tout aussi valides. En d’autres termes

1. Dans la suite du texte nous utiliserons plus souvent le terme smartphone, mˆeme si l’Acad´emie recommande d’utiliser le terme ordiphone !

(35)

il faut se convaincre que les modèles sont complets, cohérents et faisables, donc conduisent à une implémentation effective.

Seule la découverte d’une erreur permet d’invalider et de ce fait, le lecteur doit faire un sérieux effort de compréhension de la solution proposée.

(36)

4.2 Cahier des charges et mod`

eles Objectiver

La pr´esentation des arborescences et leur lecture est faite de gauche `a droite et en profondeur `

a raison d’un diagramme par page. Il est à noter qu’il n’y a aucune priorité entre les différents sous-buts. Nous rappelons que tous les sous-buts doivent être satisfaits lors d’un raffinement ET, alors que pour un raffinement OU un seul sous-but satisfait garantit le but père.

Les modèles présentés ci-après introduisent pour la plupart la notion d’obstacle. Cette notion permet de prendre en compte tout ce qui empêche une fonctionnalité d’aboutir. Elle correspond `

(37)

4.2.1 Niveau initial

Figure 4.1 – SmartPhone au plus haut niveau Le diagramme fait apparaˆıtre 5 sous-buts pour le smartphone :

1. ”communication téléphonique” qui permet le dialogue entre un appelant et un appelé, 2. ”autres fonctionnalités” qui recouvre tous les autres services offerts par le smartphone, 3. ”authentification ” qui assure les aspects sécurité,

4. ”information partagée” qui correspond à toutes les informations gérées par les diverses applications,

5. et ”vente smartphone” qui concerne les actions à effectuer lorsque l’on vend le téléphone. Il est à noter que les points 4 et 5 ci-dessus ne figurent pas explicitement dans l’URD initial. Il faut cependant les prendre en compte pour une plus grande complétude.

Important : l’aspect ”vol du smartphone” n’a pas besoin d’être considéré puisqu’il y a une authentification requise pour se servir du téléphone. Tout smartphone étant de nos jours géolocalisable, il aurait même pu être envisagé de récupérer un smartphone volé.

(38)

4.2.2 Communication t´

el´

ephonique

Figure 4.2 – Appeler ou recevoir un appel

Ce diagramme représente le fait d’appeler un correspondant ET le fait de recevoir un appel téléphonique. Où peut-on introduire la notion d’obstacle ?

Manifestement les exigences ”appelant”, ”échange” et ”appelé” ne peuvent donner lieu à un obstacle car pour identifier un obstacle il faut prendre la négation de tout (sous-)but et vérifier si cette négation peut être à son tour raffinée.

Pour les attentes considérées (”appelant”, échange” et ”appelé”), leur négation n’a aucun sens. On ne doit donc pas les considérer.

(39)

Par contre la négation du sous-but ”communication téléphonique” est simplement traduite par ”pas de réseau téléphonique”. Et ce dernier sous-but est résolu par 2 exigences, ”attendre réparation” et ”chercher nouveau réseau”.

Le lecteur attentif constate qu’il s’agit bien d’un OU entre les 2 r´esolutions, donc qu’il faut prendre en compte ces 2 r´esolutions au niveau de la conception.

Figure 4.3 – Appeler ou recevoir un appel Une communication téléphonique est un échange entre deux téléphones.

Le choix de prendre des attentes est lié au fait que c’est le matériel téléphonique qui assure ces services.

L’obstacle envisagé est le fait de ne pas avoir de réseau téléphonique. Dans ce cas, deux résolutions sont proposées :

— “attendre réparation” stipule que le matériel téléphonique ne fait rien. Il y a simplement attente !

— “chercher un nouveau réseau” stipule que le matériel fait la recherche d’un nouveau réseau. Il faut bien se rappeler qu’en Objectiver on doit modéliser tous les cas possibles. C’est à l’im-plémentation qu’un choix final sera fait, selon les capacités du matériel considéré.

Il faut aussi remarquer que dans la mod´elisation les attentes tout comme les exigences correspondent `a des actions ou traitements, traduits par des verbes ou des substantifs.

Le seul obstacle considéré est relatif à l’absence de réseau téléphonique. Dans ce cas là, il est proposé soit d’attendre la réparation du réseau, soit de chercher un nouveau réseau. Ces exigences sont sous la responsabilités de 2 agents différents : ”matériel téléphonique” d’un côté, ”gestionnaire services” de l’autre.