Exploration concrétisée et pertinente de systèmes d'événements abstraits en vue de la génération automatique de tests

(1)

HAL Id: tel-02502304

https://tel.archives-ouvertes.fr/tel-02502304

Submitted on 9 Mar 2020

HAL is a multi-disciplinary open access

archive for the deposit and dissemination of sci-entific research documents, whether they are pub-lished or not. The documents may come from teaching and research institutions in France or abroad, or from public or private research centers.

L’archive ouverte pluridisciplinaire HAL, est destinée au dépôt et à la diffusion de documents scientifiques de niveau recherche, publiés ou non, émanant des établissements d’enseignement et de recherche français ou étrangers, des laboratoires publics ou privés.

automatique de tests

Guillaume Voiron

To cite this version:

Guillaume Voiron. Exploration concrétisée et pertinente de systèmes d’événements abstraits en vue de la génération automatique de tests. Autre [cs.OH]. Université Bourgogne Franche-Comté, 2019. Français. �NNT : 2019UBFCD027�. �tel-02502304�

(2)

´

Ecole doctorale n°37

Sciences Pour l’Ing ´enieur et Microtechniques

Doctorat d’Informatique

par

GUILLAUME

V

OIRON

Exploration concr étis ée et pertinente de syst èmes d’ év énements abstraits

en vue de la g ´en ´eration automatique de tests

Th èse pr ésent ée et soutenue à Besançon, le 27 Septembre 2019 Composition du Jury :

LEGALLPASCALE Professeur `a CentraleSup ´elec Rapportrice

LEDRUYVES Professeur `a l’Universit ´e de Grenoble

Alpes

Rapporteur KOSMATOVNIKOLA¨I Ing ´enieur chercheur au CEA LIST

Saclay

Examinateur KOUCHNARENKOOLGA Professeur `a l’Universit ´e de

Bourgogne-Franche-Comt ´e

Examinatrice

JULLIANDJACQUES Professeur ém érite Directeur de th èse

MASSON PIERRE-ALAIN Maˆıtre de conf érences à l’Universit é de

Bourgogne-Franche-Comt ´e

Codirecteur de th `ese

(3)

(4)

Universit ´e Bourgogne Franche-Comt ´e 32, avenue de l’Observatoire 25000 Besanon, France

Titre : Exploration concr étis ée et pertinente de syst èmes d’ év énements abstraits en vue de la g én ération automatique de tests

Mots-cl és : Syst èmes r éactifs, Abstraction de mod èles, Test à partir de mod èles, G én ération de tests pertinents, Couverture structurelle

R ´esum ´e :

Les travaux pr ésent és dans cette th èse constituent une contribution aux m éthodes de g én ération automatique de sous-approximations en vue de la g én ération de tests à partir de mod èles. Le test à partir de mod èle a pour objectif de garantir la conformit é d’une impl émentation vis- à-vis d’un mod èle, tous les deux conçus à partir des sp écifications par deux équipes diff érentes.

Dans cette th èse, nous proposons l’utilisation des techniques connues d’abstraction à partir de pr édicats de mod èles comportementaux qui permettent de r éduire à un ensemble fini et restreint l’espace d’ états manipul é. Nous proposons d’extraire les pr édicats d’abstraction à partir de l’objectif de test afin que les tests g én ér és couvrent les comportements cibl és par ce dernier. Cependant, le calcul d’une abstraction entraˆıne une perte d’information de l’atteignabilit é par rapport au mod èle initial. Nos objectifs sont donc dans un premier temps de calculer efficacement une abstraction de mod èle aussi repr ésentative que possible d’un objectif de test. Dans un second temps, nous cherchons à extraire à partir de cette abstraction des ex écutions instanciables sur le mod èle avant abstraction, ciblant les comportements à tester, et visant la couverture des états et des transitions du mod èle abstrait.

Nos contributions sont les suivantes. Nous d éfinissons une m éthode de g én ération de tests combinant plusieurs algorithmes qui permettent d’obtenir une bonne couverture structurelle d’une

abstraction de mod èle comportemental non d éterministe. Nous proposons dans un premier temps un algorithme calculant une abstraction de mod èle par pr édicats issus d’un objectif de test exprim é sous la forme d’une propri ét é temporelle. Cet algorithme calcule une sous-approximation du mod èle en couvrant les états et les transitions abstraits du mod èle. Il applique plusieurs heuristiques et diverses techniques d’exploration ayant pour but d’augmenter le nombre d’instances effectivement atteintes. Dans un second temps, nous proposons d’am éliorer par le biais de deux autres algorithmes la couverture structurelle obtenue par cette premi ère sous-approximation. Le premier, enti èrement automatis é, tire parti des modalit és des transitions abstraites qui fournissent des propri ét és d’atteignabilit é. Le second algorithme d’extension de la sous-approximation fait appel à l’expertise du testeur qui doit, à partir des transitions non couvertes, énoncer un pr édicat de pertinence qui guide et limite l’exploration et l’instanciation r éalis ées. Nous d éfinissons un ensemble de r ègles permettant d’ énoncer ce pr édicat de pertinence et de calculer un variant garantissant la terminaison de l’algorithme d’exploration. Ces deux algorithmes compl ètent la sous-approximation obtenue auparavant par des ex écutions instanciables. Enfin, nous mettons en œuvre une d émarche exp érimentale pour l’ évaluation de la qualit é de la m éthode, portant sur cinq études de cas.

(5)

(6)

I Introduction et ´etat de l’art 11

1 Introduction 13

1.1 Obstacles et d ´efis . . . 13

1.1.1 Test exhaustif impossible en pratique . . . 14

1.1.2 Conception de tests co ˆuteuse . . . 14

1.1.3 Conception de tests pertinents et suffisants . . . 14

1.2 Questions de recherche . . . 15

1.3 Plan de th `ese . . . 16

2 Contexte scientifique 17 2.1 Syst èmes év énementiels : syntaxe, s émantique et exemple . . . 17

2.1.1 Satisfiabilit ´e modulo th ´eories . . . 19

2.1.2 S émantique d’un syst ème év énementiel . . . 21

2.1.3 Exemple fil rouge . . . 22

2.2 Abstraction par pr ´edicats . . . 25

2.3 Syst `emes de transitions modaux . . . 28

2.4 Syst `emes de transitions approxim ´es . . . 32

2.5 Crit ères de couverture des syst èmes à états et transitions . . . 33

2.6 Propri ´et ´es temporelles . . . 34

2.6.1 Patrons de sp ´ecification . . . 34

2.6.2 Port ´ee des patrons . . . 36

3 Etat de l’art 37 3.1 G én ération de tests à partir de mod èles . . . 37

3.1.1 Test de syst `emes . . . 37

3.1.2 Sp ´ecifications de syst `emes . . . 38

3.1.3 Mod `eles de test . . . 39

3.1.4 Processus de g én ération de tests à partir de mod èles . . . 40

3.2 G én ération de tests à partir d’abstractions . . . 41 5

(7)

3.2.1 Sous-approximation de programmes utilisant les modalit ´es des

transitions . . . 43

3.2.2 Calcul d’une sous-approximation d’un syst ème pour la v érification de propri ét és : algorithmes αSearch et RefinementSearch . . . 45

3.2.3 G én ération d’un syst ème fini d’ états et de transitions : algorithme GenFSM . . . 47

3.2.4 G én ération d’une sous-approximation d’un syst ème avec estima-tion de la qualit é de cette derni ère . . . 49

3.3 Exploration symbolique dynamique . . . 50

3.3.1 Exploration symbolique . . . 51

3.3.1.1 Principe g ´en ´eral . . . 51

3.3.1.2 Limitations . . . 52

3.3.2 Exploration concolique . . . 52

3.3.3 Exploration symbolique partielle pour calculer des instances at-teintes de chaˆınes de Ball . . . 53

II Contributions 55 4 G én ération d’une sous-approximation couvrant au moins une fois tous les états et toutes les transitions de l’abstraction : algorithmeCXP 57 4.1 Probl ématiques . . . 57

4.2 Objectifs, principes et pr ´esentation de l’algorithmeCXP . . . 58

4.2.1 Entr ´ees, sorties et variables de l’algorithmeCXP . . . 59

4.2.1.1 Entr ´ees . . . 59

4.2.1.2 Sorties . . . 59

4.2.1.3 Variables . . . 59

4.2.2 Fonctionnement de l’algorithmeCXP . . . 60

4.2.2.1 Calcul d’une instance concr ète de chaque état abstrait initial 60 4.2.2.2 Calcul des instances de transitions abstraites à partir de l’ état initial . . . 60

4.2.2.3 Instanciation des transitions `a partir d’un ´etat vert . . . 62

4.2.2.4 Instanciation des transitions à partir d’un état vert vers un état bleu . . . 63

4.2.2.5 Instanciation des transitions abstraites `a partir des ´etats may-atteignables . . . 63

4.3 Application `a l’exemple fil rouge . . . 63

4.3.1 Param `etres en entr ´ee . . . 64

(8)

4.3.3 Calcul des instances de transitions abstraites `a partir de l’ ´etat initial 65

4.3.4 Instanciation des transitions `a partir d’un ´etat vert . . . 66

4.3.5 Instanciation des transitions à partir d’un état vert vers un état bleu . 67 4.3.6 Instanciation des transitions abstraites à partir des états may-atteignables . . . 67

4.4 Inf ´erence de l’ordre de traitement des ´etats abstraits . . . 68

4.4.1 Calcul de l’ensemble des ´etats abstraits cibles . . . 68

4.4.2 Calcul de l’ensemble des ´etats concrets connus dans l’ ´etat abstrait source . . . 68

4.4.3 Calcul d’une instance d’une may-transition dont l’ ´etat cible est dans RQ0 . . . 69

4.4.4 Calcul d’une instance pour toutes les autres May-transitions dont l’ ´etat cible est dans RQ0 . . . 69

4.4.5 Compl ´etion du MTS partiellement calcul ´e parCXPASO . . . 70

4.4.6 Application `a l’exemple du distributeur de caf ´e . . . 70

4.5 Complexit ´e, terminaison, compl ´etude et correction deCXP . . . 71

4.5.1 Complexit ´e deCXP . . . 71

4.5.2 Terminaison deCXP . . . 71

4.5.3 Compl ´etude et correction deCXP . . . 72

4.6 Bilan et conclusion . . . 72

5 Utilisation des modalit és must+ et must− _{pour compl éter la couverture des} états et des transitions de l’abstraction : algorithmeBCI 77 5.1 Probl ématique et solution . . . 77

5.2 Chaˆınes de Ball et structures de must-transitions . . . 78

5.2.1 D ´etermination des modalit ´es des transitions abstraites . . . 78

5.2.2 Chaˆınes de Ball . . . 78

5.2.3 Structures de must-transitions . . . 80

5.3 Principes de l’algorithmeBCI . . . 81

5.3.1 Entr ´ees, sorties et variables de l’algorithme de concr ´etisation des must−-structures . . . 82

5.3.1.1 Entr ´ees . . . 82

5.3.1.2 Sorties . . . 83

5.3.1.3 Variables . . . 83

5.4 Algorithme d’instanciation des must−_{-structures . . . 83}

5.4.1 Exploration de toutes les chaˆınes de must−-transitions . . . 83

(9)

5.4.3 Instanciation en avant des transitions de la chaˆıne . . . 85

5.4.4 Exploration des chaˆınes de branchement non explor ´ees . . . 86

5.5 Complexit ´e, terminaison, compl ´etude et correction deBCI . . . 87

5.5.1 Complexit ´e deBCI . . . 87

5.5.2 Terminaison deBCI . . . 87

5.5.3 Compl ´etude et correction deBCI . . . 88

5.6 Bilan et conclusion . . . 88

6 Am élioration d’une sous-approximation guid ée par un pr édicat de perti-nence : algorithmeRCXP 91 6.1 Limitation deCXP et objectifs de l’algorithme RCXP . . . 91

6.2 Pr ´edicats de pertinence . . . 92

6.2.1 M ´ethode de conception d’un pr ´edicat de pertinence . . . 92

6.2.2 Langage de description des pr ´edicats de pertinence . . . 94

6.2.3 Variant associ é aux états concrets en fonction d’un pr édicat de per-tinence . . . 95

6.3 AlgorithmeRCXP . . . 97

6.3.1 Principes de l’algorithmeRCXP . . . 97

6.3.2 Entr ´ees, sorties et variables de l’algorithmeRCXP . . . 98

6.3.2.1 Entr ´ees . . . 98

6.3.2.2 Sorties . . . 98

6.3.2.3 Variables . . . 98

6.3.3 Fonctionnement de l’algorithmeRCXP . . . 99

6.3.3.1 Calcul de l’ensemble des états concrets pertinents de d épart 99 6.3.3.2 Calcul d’une instance concr ète pertinente de chaque tran-sition abstraite may-atteignable . . . 99

6.3.3.3 Calcul des transitions d éclenchables apr ès l’atteinte d’un état pertinent . . . 100

6.4 Application a l’exemple fil rouge . . . 100

6.4.1 Param `etres en entr ´ee . . . 100

6.4.2 Calcul de l’ensemble des ´etats concrets pertinents de d ´epart . . . . 100

6.4.3 Calcul d’une instance concr `ete pertinente de chaque transition abs-traite may-atteignable . . . 101

6.4.4 Calcul des transitions d éclenchables apr ès l’atteinte du dernier état pertinent . . . 102

6.5 Complexit ´e, terminaison, compl ´etude et correction deRCXP . . . 102

(10)

6.5.2 Terminaison deRCXP . . . 103

6.5.3 Compl ´etude et correction deRCXP . . . 104

6.6 Bilan et conclusions . . . 104

7 M éthode de g én ération de tests par exploration concr ète et pertinente d’une abstraction par pr édicats 107 7.1 Proc édure compl ète pour la g én ération de tests pour un syst ème év énementiel . . . 107

7.2 Etapes principales de la m ´ethode . . . 109´

7.2.1 Mod ´elisation des exigences comportementales (objectif de test pri-maire) . . . 109

7.2.2 Extraction des pr ´edicats d’abstraction . . . 110

7.2.3 Calcul d’un ATS par l’algorithmeCXP . . . 110

7.2.4 Compl ´etion ´eventuelle de l’ATS par l’algorithmeBCI . . . 111

7.2.5 Identification des ´etats abstraits et des transitions abstraites non couverts . . . 111

7.2.6 S ´election d’un sous-ensemble des transitions non couvertes `a cou-vrir (objectif de test secondaire) . . . 111

7.2.7 D ´erivation d’un pr ´edicat de pertinence visant l’objectif de test se-condaire . . . 111

7.2.8 Application de l’algorithmeRCXP pour compl´eter le premier ATS . . 112

7.2.9 Application de la m éthode à tous les objectifs de test secondaires . 112 7.2.10 G én ération de tests par l’algorithme du postier chinois . . . 112

8 Impl émentation et évaluation exp érimentale 113 8.1 Fonctionnalit és et impl émentation de l’outil STRATEST . . . 114

8.1.1 Fonctionnalit ´es principales de STRATEST . . . 114

8.1.1.1 G ´en ´eration d’ATS et de tests . . . 114

8.1.1.2 Interface de programmation applicative pour les m ´ethodes formelles . . . 115

8.1.2 El ´ements d’impl ´ementation de S´ TRATEST . . . 115

8.2 Cas d’ ´etude et protocole exp ´erimental . . . 116

8.2.1 Cas d’ ´etude . . . 116

8.2.1.1 Distributeur de caf ´e . . . 116

8.2.1.2 Syst `eme ´electrique . . . 117

8.2.1.3 Ligne de m ´etro 14 . . . 117

8.2.1.4 Ascenseur . . . 118

(11)

8.2.2 Protocole exp ´erimental et mesures effectu ´ees . . . 119

8.2.2.1 Protocole exp ´erimental . . . 119

8.2.2.2 Mesures effectu ´ees . . . 120

8.3 R ´esultats exp ´erimentaux et comparaison des algorithmes . . . 121

8.3.1 Analyse comparative des r ´esultats obtenus avecCXP et CXPASO . . 122

8.3.2 Analyse comparative des r ´esultats obtenus avecCXP et BCI . . . . 125

8.3.3 Analyse comparative des r ´esultats obtenus avecCXP, RCXP et FULL128 8.3.4 Analyse comparative des r ´esultats obtenus avecRCXP et RCXPASO 135 8.3.4.1 Comparaison des taux de couverture entre RCXP et RCXPASO . . . 136

8.3.4.2 Inconv énients potentiels propres àRCXP et à RCXPASO . . 136

8.3.4.3 Comparaison des états concrets et des transitions concr ètes calcul ées parRCXP et RCXP_ASO . . . 137

8.4 Bilan sur les r ´esultats et conclusions . . . 138

III Conclusion et travaux futurs 141 9 Conclusion 143 9.1 G én ération de tests à partir d’une abstraction de mod èles . . . 143

9.2 G én ération de tests guid ée et limit ée selon leur pertinence vis- à-vis d’un objectif de test . . . 146

9.3 Impl ´ementation et exp ´erimentations . . . 147

10 Travaux futurs 149 10.1 Extension de la prise en charge du langage de mod ´elisation . . . 149

10.2 Étude de l’impact des m éthodes d’extraction des pr édicats d’abstraction . . 150

10.3 ´Etudes de nouveaux crit `eres de couverture . . . 150

(12)

I

NTRODUCTION ET

ETAT DE L

´

’

ART

(13)

(14)

I

NTRODUCTION

Cette th èse pr ésente une contribution à la g én ération automatique de tests à partir

de mod èles (en anglais Model-Based Testing, souvent abr ég é par MBT) pour des

syst `emes de grande taille ou infinis.

Les syst èmes cibl és par les contributions pr ésent ées dans cette th èse sont les syst èmes r éactifs et en particulier les syst èmes év énementiels mod élis és à l’aide du langage B [Abrial, 1996]. Ils diff èrent des programmes s équentiels classiques [Hoare, 1969] par leur flot de contr ôle implicite : les év énements d’un syst ème év énementiel sont d éclench és spontan ément lorsque leur condition de d éclenchement est atteinte. Par op-position, l’ordre dans lequel s’ex écutent les instructions d’un programme s équentiel sera toujours le m ême avec les m êmes entr ées et la simulation du programme permet donc de connaˆıtre cet ordre. Dans le cas des syst èmes év énementiels, les év énements sont d éclench és en fonction des évolutions de l’environnement, et plusieurs év énements pour-raient être d éclench és dans un état donn é du syst ème : les syst èmes év énementiels sont non-d éterministes.

La g én ération automatique de tests à partir de mod èles consiste à étudier formellement un mod èle de syst ème afin d’en d éduire des entr ées et des sorties permettant d’observer le fonctionnement d’une impl émentation du syst ème dans des situations particuli ères. Ces situations sont g én éralement caract éris ées par un objectif de test. Les tests (les entr ées et les sorties du programme) doivent ainsi couvrir, selon un ou plusieurs crit ère(s) de couverture bien d éfini(s), cet objectif de test.

1.1/

O

BSTACLES ET DEFIS

´

L’automatisation du processus de test et l’ étude formelle de programmes pr ésente plu-sieurs avantages par rapport à l’ écriture manuelle de tests qui motivent l’int ér êt des cher-cheurs à innover dans ces domaines. Cependant, un certain nombre d’obstacles et de d éfis restent à surmonter.

La pertinence, vis- à-vis d’un objectif de test, de tests exprim és manuellement n’est pas garantie ou est en tout cas difficile à évaluer. L’ écriture de tests vise à mettre en évidence l’existence d’erreurs, signe que les tests sont de bonne qualit é, mais cet objectif est par-ticuli èrement compliqu é à remplir, notamment si le syst ème concern é est tr ès grand. La fiabilit é de l’impl émentation du syst ème est ainsi incertaine, m ême lorsque les tests sont

écrits par des personnes exp ériment ées. 13

(15)

Les travaux de cette th èse constituent ainsi une contribution à la g én ération automatique de tests pertinents vis- à-vis d’un objectif de test particulier. Les diff érents algorithmes pro-pos és dans cette optique sont cependant conçus pour être efficaces et donc utilisables avec des syst èmes de grande taille, ou infinis.

1.1.1/ TEST EXHAUSTIF IMPOSSIBLE EN PRATIQUE

L’ écriture de tests exhaustifs consisterait à observer un syst ème dans tous les compor-tements qu’il est susceptible d’avoir, en tenant compte de toutes les configurations et de tous les param ètres environnementaux auxquels il peut être soumis. L’ écriture manuelle de tests non exhaustifs est d éj à tr ès co ûteuse en temps et l’ écriture manuelle de tests exhaustifs se r év èle donc impossible à mettre en œuvre en pratique. Il en va de m ême pour la g én ération automatique de tests : un syst ème trop complexe serait impossible à tester de mani ère exhaustive par un proc éd é automatique à moins de disposer d’une puissance de calcul non accessible encore aujourd’hui. Dans le cadre d’un syst ème infini d’ailleurs, le test exhaustif est litt éralement impossible puisque le syst ème peut effectuer une infinit é d’ex écutions.

1.1.2/ CONCEPTION DE TESTS COUTEUSEˆ

La g én ération automatique de tests permet de r éduire la charge de travail du testeur et de limiter ainsi le co ût en temps employ é au test d’un syst ème. Les m éthodes formelles actuellement employ ées pour effectuer l’analyse, la v érification, la validation et le test d’un syst ème restent cependant relativement co ûteuses, si ce n’est en temps d’ex écution, au moins en termes de ressources de calcul. Que ce soit pour un processus de production de tests automatique ou manuel, il reste d’ailleurs à la charge du testeur de sp écifier ce qui doit être intensivement test é et ce qui doit l’ être dans une moindre mesure.

La g én ération de tests à partir de mod èles r éduit en revanche consid érablement les co ûts li és à la maintenance d’un syst ème. En effet, un changement dans le fonction-nement du syst ème ne n écessite que de modifier le mod èle en cons équence pour qu’il soit conforme à ce changement. Les tests sont ensuite une nouvelle fois g én ér és automa-tiquement à partir du nouveau mod èle. Cela évite l’ écriture manuelle de nouveaux tests à chaque changement dans les exigences d écrivant le syst ème. De plus, si les tests étaient conformes aux pr éc édentes exigences, il est possible et m ême probable que certains ne soient plus conformes aux nouvelles exigences. La g én ération automatique de tests à partir d’un mod èle à jour vis- à-vis des exigences repr ésente donc un gain de temps non n égligeable pour l’ing énieur de test, ce qui repr ésente l’un des int ér êts de cette m éthode.

1.1.3/ CONCEPTION DE TESTS PERTINENTS ET SUFFISANTS

Une m éthode de g én ération automatique de tests s’efforcera de garantir la qualit é des tests qu’elle calcule. La qualit é d’une suite de tests (un ensemble de tests) pourrait être

évalu ée selon trois caract éristiques :

• sa capacit é à mettre en évidence des erreurs d’impl émentation d’un syst ème, ce

qui est difficile à évaluer car des tests qui ne mettraient pas en évidence d’erreurs ne sont pas n écessairement mauvais pour autant,

(16)

• sa pertinence vis- à-vis d’un objectif de test, c’est- à-dire la capacit é des tests qui le composent à couvrir, selon les crit ères de couverture sp écifi és, les situations cibl ées par l’objectif de test,

• le co ût d’ex écution des tests qui la composent : pour deux suites de tests g én érant

la m ême couverture de l’objectif de test, on pr éf érera g én éralement celle dont l’ex écution est la moins co ûteuse.

En pratique, les m éthodes de g én ération de tests cherchent à atteindre des objectifs diff érents et l’ évaluation de la qualit é de ces tests peut ne d épendre qu’en partie des crit ères énonc és pr éc édemment, ou d’aucun d’entre eux.

1.2/

Q

UESTIONS DE RECHERCHE

De ces limitations et d éfis concernant la g én ération de tests peuvent être extraites plu-sieurs questions de recherche.

Q1 Comment g én érer des tests pour des syst èmes infinis ?

Certains syst èmes peuvent poss éder un espace d’ états infini, c’est- à-dire que l’en-semble de situations (ou états) dans lesquels il peut se trouver est infini. L’application des m éthodes formelles, notamment de g én ération de tests, à un tel syst ème, ou à un syst ème dont l’espace d’ état est tr ès grand, est plus difficile à mettre en œuvre. Afin de pouvoir appliquer les contributions de cette th èse à des syst èmes infinis, on aura recours en particulier à la technique d’abstraction par pr édicats [Graf et al., 1997].

Q₂ Comment abstraire un syst `eme infini ou de grande taille en conservant ses comportements pertinents vis- `a-vis d’un objectif de test ?

L’abstraction d’un syst ème permet de calculer un syst ème fini à partir d’un syst ème infini au prix g én éralement d’une perte d’information sur les états pouvant effectivement être observ és sur ce syst ème. Cette perte d’information pourrait masquer les comportements du syst ème qu’on souhaiterait couvrir par les tests qui en seront issus. On cherchera donc à calculer des abstractions de syst èmes qui conservent les comportements dont l’observation est pertinente vis- à-vis d’un objectif de test.

Q₃ Comment g ´en ´erer efficacement des tests ?

Malgr é le recours aux techniques d’abstraction, il peut être impossible de consid érer et manipuler l’ensemble des états, qui peut rester grand, d’un syst ème abstrait. Les algorithmes de g én ération de tests constituant les contributions de cette th èse auront donc pour objectif de limiter les comportements du syst ème abstrait couverts par les tests, tout en favorisant leur conformit é avec les crit ères de couverture vis és.

Q4 Comment g én érer des tests pertinents vis- à-vis d’un objectif de test ?

Le fait de constituer une abstraction pertinente vis- à-vis d’un objectif particulier ne suffit pas toujours à garantir que les tests qui en sont issus seront eux-m êmes pertinents. La g én ération des tests à partir d’abstraction doit donc également être guid ée dans l’optique de couvrir l’objectif de test ou des objectifs interm édiaires li és à cet objectif de test.

(17)

Q₅ Qu’est-ce qu’une bonne couverture d’une abstraction ?

Il existe de nombreux crit ères de couverture d’une abstraction de syst ème : on peut par exemple vouloir g én érer des tests permettant d’observer tous les év énements, ou l’espace d’ état complet de ce syst ème abstrait, ou les deux, etc. Le probl ème de d éterminer la qualit é de la couverture d’une abstraction et d’un objectif de test reste un probl ème ouvert auquel on tentera d’apporter des él éments de r éponse.

1.3/

P

LAN DE THESE

`

Ce m émoire est d écompos é en trois parties.

La premi ère partie d écrit le sujet, le contexte scientifique des travaux pr ésent és ainsi

que les travaux et concepts existants constituant le cadre dans lequel cette th `ese s’ins-crit.

Le chapitre courant, le chapitre 1, est consacr é à l’introduction du sujet ainsi qu’ à

l’ énonciation des probl ématiques qui en d écoulent.

Lechapitre 2 pr ésente le contexte scientifique n écessaire à la compr éhension des

contri-butions de cette th èse. Les structures, les concepts importants et les notations mani-pul é(e)s tout au long de cette th èse y sont introduits.

Lechapitre 3 pr ´esente le cadre dans lequel les travaux de cette th `ese s’inscrit. Il

consti-tue un état de l’art en d étaillant les travaux existants dans la litt érature et dont les objectifs s’apparentent aux n ôtres.

La deuxi ème partie d étaille les contributions de cette th èse à la g én ération de tests à

partir d’abstraction de mod `eles.

Le chapitre 4 pr ésente une m éthode (appel ée CXP) efficace de calcul d’une

sous-approximation d’un syst ème év énementiel. A partir de cette sous-sous-approximation, on g én ère des tests dont l’objectif est de couvrir tous les états et toutes les transitions d’un syst ème abstrait au moins une fois.

Lechapitre 5 pr ésente une m éthode (appel ée BCI) faisant usage d’informations

d’attei-gnabilit é des s équences de transitions qui constituent un syst ème abstrait. A l’aide de

ces informations,BCI compl`ete la sous-approximation obtenue avec la m´ethode CXP.

Le chapitre 6 propose un m éthode (appel ée RCXP) permettant de couvrir les états

et transitions d’un syst ème abstrait qui n’auraient pas ét é couvertes avec CXP. RCXP

compl ète la sous-approximation calcul ée parCXP par des états et transitions jugés

per-tinents par le testeur.

Lechapitre 7 propose une m ´ethode `a suivre pour savoir quel(s) algorithme(s) de calcul

d’une sous-approximation appliquer selon la situation et comment l’appliquer.

Le chapitre 8 pr ésente l’outil de g én ération de tests d évelopp é pour appliquer

les diff érents algorithmes constituant les contributions de cette th èse et évaluer exp érimentalement ces m éthodes. Ce chapitre pr ésente également les r ésultats obtenus avec cet outil sur un ensemble de syst èmes év énementiels mod élis és en B év énementiel. La troisi ème partie conclut ce m émoire et expose les perspectives des travaux

pr ésent és. Lechapitre 9 pr ésente une conclusion g én érale sur les contributions et leur

capacit é à r épondre aux questions de recherche. Lechapitre 10 sugg ère des pistes de

(18)

C

ONTEXTE SCIENTIFIQUE

Ce chapitre d écrit le contexte scientifique sur lequel les travaux pr ésent és dans cette th èse s’appuient. Les syst èmes év énementiels sont le cadre formel pour mod éliser des syst èmes r éactifs. Ce sont les principaux syst èmes sur lesquels s’appliquent les contribu-tions de cette th èse. Ils sont pr ésent és en section 2.1 avec un exemple fil rouge qui per-mettra d’illustrer les d éfinitions et concepts utilis és sur l’ensemble de cette th èse. La sec-tion 2.2 pr ésente le concept d’abstracsec-tion par pr édicats qui permet de concentrer l’ étude sur une partie d’un syst ème év énementiel et non sur l’ensemble de ses comportements mod élis és. L’abstraction par pr édicats engendre des syst èmes dit abstraits. Structurelle-ment, il s’agit de syst èmes de transitions modaux qui sont pr ésent és en section 2.3. Les travaux effectu és dans le cadre de cette th èse visent à couvrir les états et les transitions qui composent les syst èmes de transitions modaux selon divers crit ères de couverture pr ésent és en section 2.5. Enfin, la section 2.6 pr ésente le langage de propri ét és tempo-relles utilis é pour exprimer des objectifs de test sur les syst èmes év énementiels.

N.B. Dans cette th `ese, tous les acronymes utilis ´es pour raccourcir et simplifier les

nota-tions proviennent de la version en anglais des concepts qu’ils d ´ecrivent. Par exemple, les

syst èmes év énementiels seront not és ES pourEvent Systems.

2.1/

S

YSTEMES

`

EV

´

ENEMENTIELS

´

:

SYNTAXE

,

SEMANTIQUE ET

´

EXEMPLE

Les contributions de cette th èse sont pr évues pour être appliqu ées à une classe de syst èmes mod élis és par des syst èmes év énementiels d écrits dans le langage B [Abrial, 1996] et pr ésent és par la d éfinition 1. Cette classe est plus g én éralement celle des syst èmes de transitions qui sont la s émantique des syst èmes év énementiels.

D éfinition 1 :Syst ème Év énementiel (ES)

Unsyst ème év énementielest un 4-uplet hX, Inv , Init, Evi o ù : • Xest un ensemble de variables d’ état,

• Inv est un invariant que chaque état du syst ème doit respecter, • Init est une action d’initialisation des variables d’ état du syst ème,

• Evest un ensemble de d éfinitions d’ év énements sous la forme ede f= a, où e est le nom de l’ év énement et a est sa d éfinition (l’action qu’il effectue sur les variables d’ état du syst ème).

L’invariant permet a minima de typer les variables d’ ´etat mais peut ´egalement exprimer 17

(19)

des contraintes plus fortes sur les valeurs relatives les unes aux autres que peuvent prendre les diff ´erentes variables.

L’application de l’action d’initialisation attribue une valeur à chaque variable d’ état du syst ème qui se trouve dans un état dit concret (voir d éfinition 2) et initial (puisqu’il r ésulte de l’application de l’action d’initialisation). Il peut exister plusieurs états initiaux pour un m ême syst ème év énementiel étant donn é que les actions d’un tel syst ème peuvent don-ner lieu à du non-d éterminisme (en particulier l’action d’initialisation).

D éfinition 2 :_{Etat concret d’un syst ème év énementiel}´ Soient ESde f= hX, Inv, Init, Evi un système événementiel.

Un état d’un syst ème év énementielassocie à chaque variable x de X une valeur dans son domaine de d éfinition, not é Dom(x). Cet état est également considéré comme la proposition d éfinie comme la conjonction de ces valuations, d énot ée V

x∈X

x = vx avec vx∈ Dom(x).

Les actions d’un syst ème év énementiel, qu’il s’agisse de l’action d’initialisation ou de l’action op ér ée par un év énement, modifient la valeur d’une ou plusieurs variables d’ état du syst ème et m ènent donc le syst ème dans un nouvel état concret. Elles appliquent donc une ou plusieurs substitutions sur les variables d’ état du syst ème, et ce de mani ère atomique, c’est- à-dire que toutes les substitutions qu’elles op èrent sont effectu ées ins-tantan ément. Dans le langage B év énementiel, les substitutions sont construites à partir de six substitutions dites primitives pr ésent ées par la d éfinition 3.

D éfinition 3 : Substitutions primitives en B év énementiel [Abrial, 1996, Abrial, 2010]

Soient S , S1et S2 et Sij (avec i, j ∈ N) des substitutions g én éralis ées, lessubstitutions

g én éralis ées du langage de sp écifications Bsont de l’une des six formes suivantes : 1. La substitution neutre skip qui n’affecte pas l’ état auquel elle est appliqu ée. 2. La substitution simple x:= E qui modifie la valuation (ici par la valeur de

l’expres-sion E) d’une unique variable d’ état (ici x) de l’ état auquel elle est appliqu ée. 3. La substitution multiple x, y, ... := E, F, ... qui modifie la valuation (ici par E, F, ...

respectivement) de plusieurs variables d’ état (ici x, y, ...) de l’ état auquel elle est appliqu ée. Cette substitution est également not ée x:= E || y := F || ....

4. La substitution gard ée P ⇒ S qui applique une substitution g én éralis ée (ici S ) à l’ état auquel elle est appliqu ée à condition que la garde P soit satisfaite par cet

´etat.

5. Le choix born é non d éterministe S1 [] S2 [] ... [] Sn avec n ∈ N qui applique, de mani ère non d éterministe, l’une des substitutions g én éralis ées qui le composent (ici S1 ou S2ou ... ou Sn) dont la garde est satisfaite par l’ état auquel le choix est appliqu é.

6. Le choix non born é et non d éterministe @i.S qui correspond aux choix non d éterministe Si0 [] Si1 [] ... pour toutes les valeurs de i ∈ {i0, i1, ...} satisfaisant

la garde de la substitution S .

L’atomicit é des substitutions r éalis ées par les actions est importante car les év énements d’un syst ème év énementiel sont d éclench és spontan ément et de mani ère non d éterministe lorsque le syst ème se trouve dans un état satisfaisant leur garde. Une fois qu’un év énement est d éclench é, aucun autre év énement n’est donc d éclench é avant que toutes les substitutions op ér ées par son action n’aient ét é r éalis ées. Les gardes des

(20)

sub-stitutions primitives, not ées grd(S) o ù S est une substitution primitive, sont pr ésent ées par la d éfinition 4.

D ´efinition 4 :Gardes des substitutions primitives [Dijkstra et al., 1990] Lesgardes des substitutions primitivessont les suivantes :

1. grd(skip)de f= vrai, 2. grd(x := E)de f= vrai, 3. grd(x, y, ... := E, F, ...)de f= vrai, 4. grd(P ⇒ S )de f= P ∧ grd(S ), 5. grd(S1[] S2[] ... [] Sn) de f = grd(S1) ∨ grd(S2) ∨ ... ∨ grd(Sn), 6. grd(@i.S )de f= ∃(i).(grd(S )).

Certaines substitutions peuvent être effectu ées sans contraintes. C’est le cas de la substi-tution skip, qui n’effectue aucune modification des valeurs des variables d’ état du syst ème et de la substitution simple et multiple. La garde de ces substitutions est donc toujours vraie. Comme son nom l’indique, la substitution gard ée P ⇒ S requiert en revanche que la garde P soit v érifi ée par l’ état dans lequel le syst ème se trouve pour que la substitu-tion S puisse être appliqu ée, à condisubstitu-tion que la garde de cette derni ère soit également v érifi ée. Dans le cas du choix born é non-d éterministe, il faut que la garde de l’une des substitutions qui la composent soit v érifi ée pour que cette substitution soit appliqu ée. Si les gardes de deux substitutions ou plus sont satisfaites, l’une de ces substitutions est appliqu ée de mani ère non-d éterministe. Enfin, le choix born é non d éterministe n’est appliqu é que s’il existe une variable li ée satisfaisant la garde de la substitution qui le compose.

On associe à chaque substitution g én éralis ée un pr édicat avant-apr ès (not é prdX(S )

o ù S est une substitution g én éralis ée). Ce pr édicat s’exprime sur un couple d’ états cons écutifs : l’ état (ou les états) dans lequel le syst ème doit se trouver avant que la substitution puisse être appliqu ée et l’ état (ou les états) dans lesquels le syst ème se trouvera apr ès son application. Le concept de pr édicat avant-apr ès est pr ésent é par la d éfinition 5.

2.1.1/ SATISFIABILITE MODULO TH´ EORIES´

L’impl émentation d’un algorithme utilisant la technique d’abstraction par pr édicats repose g én éralement sur l’emploi de solveurs de contraintes dits SMT (pour Satisfiabilit é Mo-dulo Th éories). De tels solveurs permettent de d éterminer la satisfiabilit é ou la non-satisfiabilit é de formules exprim ées en logique du premier ordre. Une formule est dite satisfiable s’il est possible de trouver une interpr étation (on parle alors de mod èle) qui la rend vraie.

Soit φ une formule logique du premier ordre. On utilise dans la suite de ce m émoire la notation SAT(φ) pour d éterminer si la formule φ est satisfiable. SAT(φ) masque donc un appel à un solveur SMT qui retourne soit un mod èle lorsque φ est satisfiable, soit unsat lorsque φ n’est pas satisfiable, soit unknown si le solveur n’est pas parvenu à d éterminer si φ était satisfiable ou non.

(21)

D éfinition 5 :Pr édicat avant-apr ès

Unpr édicat avant-apr èsest un pr édicat portant sur un ensemble de variables d’ état d’un syst ème. Il contraint les valuations possibles des variables avant et apr ès application d’une substitution.

Soit X un ensemble de variables d’ état d’un syst ème év énementiel. On utilise le nom de la variable pour d ésigner cette variable avant application d’une substitution et la notation prim ée pour d ésigner cette variable apr ès application d’une substitution.

Les pr édicats avant-apr ès des substitutions g én éralis ées sont alors d éfinis comme suit : • prdX(skip) de f = V x∈X x0_{= x,} • prdX(x := E) de f = x0_{= E ∧ V} y∈X−{x} y0= y, • prdX(x, y, ... := E, F, ...) de f = x0_{= E ∧ y}0_{= F ∧ ... ∧} V z∈X−{x,y,...}z 0_{= z,} • prdX(P ⇒ S ) de f = P ∧ prdX(S ), • prdX(S1[] S2) de f = prdX(S1) ∨ prdX(S2), • prdX(@i.S ) de f

= ∃(i).prdX(S ) si i n’est pas modifi´ee par S , • prdX(@i.S )

de f

= ∃(i, i0_).prd

X∪{i}(S ) si i est modifi´ee par S et intervient donc dans la relation prdX∪{i}(S ).

Par exemple, soit hX, Inv , Init, Evi un syst ème év énementiel o ù :

• Xde f= {x, y},

• Invde f= x ∈ {0..1} ∧ y ∈ {0..1}, • Initde f= x := 0 || y := 1,

• Evde f= {ede f= x = 0 ∧ y = 1 ⇒ x := y || y := x}.

Le pr édicat avant-apr ès de l’unique év énement de ce syst ème est le suivant :

prdX(e) de f

= x = 0 ∧ y = 1 ∧ x0_{= y ∧ y}0_{= x}

La notation(c, c0_{) := SAT(Inv ∧ Inv[}X0

/X] ∧ prdX(e))indique alors que le tuple(c, c0) est le mod`ele

retourn ´e par l’appel au solveur SMT avec la formule prdX(e) tout en respectant l’invariant

Inv et l’invariant dans lequel toutes les variables de X sont prim ´ees (not ´e Inv[X0_/

X]). En

l’occurrence, le mod `ele retourne une valuation pour chaque variable non prim ´ee (x= 0 et

y= 1) et pour chaque variable prim´ee (x0= y = 1 et y0= x = 0).

L’ ´etat concret c est alors la conjonction des valuations des variables non prim ´ees du

mod èle, et c0 _{est la conjonction des valuations des variables prim ées du mod èle. On}

aura ainsi cde f= x = 0 ∧ y = 1 etc0 de f_{= x = 1 ∧ y = 0}_{. On note que m ˆeme si c}0 _{correspond `a la}

conjonction des valuations des variables prim ées dans le mod èle, il s’agit quand m ême d’un état concret et donc les valuations portent sur les variables de X, et non pas sur les variables de X prim ées.

Si le solveur SMT n’est pas parvenu à d éterminer la satisfiabilit é de la formule Inv ∧

Inv[X0

/X] ∧ prdX(e) ou qu’il a d étermin é que la formule n’ était pas satisfiable, on consid ère

que (c, c0) vaut unknown ou unsat (donc (c, c0) ∈ {unknown, unsat}) afin de simplifier les

notations.

N.B. Afin d’all éger les notations, tous les appels à SAT, on consid ère que l’invariant Inv et

l’invariant prim ´e Inv[X0_/

X] font implicitement partie de la formule dont la satisfiabilit´e doit

être v érifi ée. En effet, tout état retourn é dans le mod èle doit se conformer à l’invariant.

Ainsi, SAT(prdX(e)) correspond `a l’appel au solveur suivant :SAT(Inv ∧ Inv[X

0

(22)

2.1.2/ S ´EMANTIQUE D’UN SYSTEME` EV´ ENEMENTIEL´

La s émantique d’un syst ème év énementiel est d éfinie par un syst ème de transitions

étiquet ées (not é LTS pour Labelled Transition System). La d éfinition 6 pr ésente le

concept standard de LTS qui est un quadruplet hC, C0, L, Ri o`u C0est un ensemble d’ ´etats

initiaux, C est un ensemble d’ ´etats contenant C0, L est un ensemble d’ ´etiquettes et R est

une relation de transitions ´etiquet ´ees qui est un sous-ensemble de C × L × C. Une

transi-tion est un triplet(c, e, c0) (on note aussi c→ c−e 0) o ù c est un état source, c0un état cible et

eune étiquette indiquant le nom de l’ év énement appliqu é pour effectuer le changement

d’ ´etat de c `a c0_.

D éfinition 6 :Syst ème de Transitions Étiquet ées (LTS)

Unsyst ème de transitions étiquet éesest un 4-uplet hC, C0, L, Ri où : • Cest un ensemble d’ états

• C₀⊆ Cest un ensemble d’ ´etats initiaux • Lest un ensemble d’ ´etiquettes

• R ⊆ C × L × C est une relation de transitions

La s émantique d’un syst ème év énementiel est le LTS qui lui est associ é comme indiqu é par la d éfinition 7 issue des travaux de [Bert et al., 2000]. Son ensemble d’ états concrets est l’ensemble des n-uplets de valuations de X qui satisfont l’invariant du syst ème év énementiel. L’invariant d éfinit le domaine de valeurs de chaque variable de X ainsi que des contraintes sp écifiques au cas d’ étude.

D éfinition 7 :S émantique d’un syst ème év énementiel ´

Etant donn é un syst ème év énementiel ES de f= hX, Inv, Init, Evi, sa sémantique est un LTSde f= hC, C₀, L, Ri où :

• C de f= { V x∈X

x = vx | vx ∈ Dom(x) ∧ SAT( V x∈X

x = vx∧Inv)} est l’ensemble des ´etats concrets qui satisfont l’invariant Inv ,

• C₀de f= {c | c ∈ C ∧SAT(prdX(Init)∧c[X

0

/X])= sat} est l’ensemble des ´etats concrets initiaux obtenus par application de la substitution d’initialisation Init,

• Lde f= {e | ede f= a ∈ Ev} est l’ensemble des noms d’´ev´enements de ES, • Rde f= {c→ c−e 0_{| c ∈ C ∧ e}de f_{= a ∈ Ev ∧ c}0_{∈ C ∧ SAT}_(prd

X(a) ∧ c0[X

0

/X] ∧ c)= sat} est la relation de transitions concr `etes.

D éfinition 8 :Atteignabilit é concr ète

Un ´etat concret c0_{est dit atteignable si une transition c} 0

e −

→ c0 _{avec c}

0 ∈ C0 appartient à la cl ôture transitive et r éflexive de R. Une transition c → c−e 0 _{∈ R} _{est également dite} atteignable si son état source c est lui-m ême atteignable.

On qualifie les états concrets et les transitions concr ètes d’atteint(e)slorsqu’il existe une s équence de transitions du CTS qui y m ène en partant d’un état concret initial (un état de C₀).

Les états initiaux d’un syst ème év énementiel sont les états c atteints (voir d éfinition 8) par application de la substitution d’initialisation Init. L’ état c étant l’ état cible, il doit être

prim é pour être consistant avec le pr édicat avant-apr ès de Init. La notation c[X0_/

X] d´efinit

un état cible obtenu à partir de l’ état c en primant chacune des variables. Par exemple,

étant donn é l’ étatcde f= x1= v1∧... ∧ xn= vn avecn= |X|,c[X

0

(23)

Les transitions du LTS s émantique d’un syst ème év énementiel sont tous les triplets

(c, e, c0_{) qui satisfont le prédicat avant-après pour chaque événement e} de f_{= a. Autrement}

dit, c satisfait la garde de a (grd(a)) et l’application de a à c mène à l’état c0_.

2.1.3/ EXEMPLE FIL ROUGE

Afin d’illustrer les d éfinitions et les concepts d éj à vus et à venir dans la suite de cette th èse, on pr ésente ici un exemple fil rouge de syst ème év énementiel. Cet exemple, pr ésent é par la figure 2.1, mod élise le comportement d’un distributeur de caf é en lan-gage B év énementiel.

X de f= {Balance, Pot, Status, CofLeft, AskCof , AskChange} Inv de f= Pot ∈0..MAX POT+ 50 ∧ Balance ∈ 0..MAX BAL ∧

CofLeft ∈0..MAX COF ∧ Pot mod 50= 0 ∧ Balance mod 50 = 0 ∧

Status ∈ {off , on, error } ∧ AskCof ∈ {false, true} ∧ AskChange ∈ {false, true} ∧ AskChange= true ⇒ (Balance > 0 ∧ AskCof = false) ∧

AskCof_{= true ⇒ (Balance ≥ 50 ∧ AskChange = false) ∧} Balance= 0 ⇒ (AskCof = false ∧ AskChange = false) Init de f= Balance:= 0 || Pot := 0 || CofLeft := 10 ||

Status:= off || AskCof := false || AskChange := false - insert50 de f= Status= on ∧ AskChange = false ∧ AskCof = false ∧

Balance+ 50 ≤ MAX BAL ⇒ Balance := Balance + 50 - insert100 de f₌ Status_{= on ∧ AskChange = false ∧ AskCof = false ∧}

Balance+ 100 ≤ MAX BAL ⇒ Balance := Balance + 100 - powerUp de f= Status= off ∧ CofLeft > 0 ∧ Pot ≤ MAX POT ⇒

Status:= on || Balance := 0 || AskCof := false || AskChange := false - powerDown de f₌ (Status= on ∧ AskChange = false ∧ AskCof = false ∧ Balance = 0) ∨

Status= error ⇒ Status := off - autoOut de f= Status= on ⇒ Status := error

- takePot de f= Status= off ∧ Pot ≥ MAX POT − 50 ⇒ Pot := 0 - cofReq de f₌ Status_{= on ∧ Balance ≥ 50 ∧ AskCof = false ∧}

AskChange= false ⇒ AskCof := true - changeReq de f= Status= on ∧ Balance > 0 ∧ AskCof = false ∧

AskChange= false ⇒ AskChange := true - addCof de f₌ ∃x.(x ∈ 1..MAX COF ∧ CofLeft + x ≤ MAX COF∧

Status= off ⇒ CofLeft := CofLeft + x)

- serveCof de f= Status= on ∧ Balance ≥ 50 ∧ AskCof = true ∧ CofLeft > 0 ∧ Pot ≤ MAX POT ⇒ AskCof:= false || Balance := Balance − 50 ||

CofLeft:= CofLeft − 1 || Pot := Pot + 50 ||

(Pot ≥ MAX POT ∨ CofLeft= 1 ⇒ Status := error [] Pot+ 50 ≤ MAX POT ∧ CofLeft , 1 ⇒ skip) ||

(Balance > 50 ⇒ AskChange := true [] Balance = 50 ⇒ skip)

- backBalance de f= Status= on ∧ Balance > 0 ∧ AskChange = true ⇒ Balance := 0 || AskChange := false

FIGURE2.1 – Sp écification d’un distributeur de caf é en B év énementiel

Les constantes utilis ées par ce syst ème, dont la valeur est fix ée arbitrairement, ont la signification suivante :

• MAX BAL : il s’agit de la quantit é maximale d’argent que l’utilisateur peut ins érer dans le distributeur avant de demander un caf é ou de r écup érer son argent, • MAX POT : il s’agit de la quantit é maximale d’argent que la machine peut contenir, • MAX COF : il s’agit du nombre maximal de caf és pouvant être stock és (et vendus)

(24)

Les variables d’ état de ce syst ème sont celles de l’ensemble nomm é X :

• Balance ∈0..MAX BAL: une variable indiquant la somme d’argent ins ´er ´ee par l’utilisa-teur dans la machine,

• Pot ∈0..MAX POT+50: une variable indiquant la somme d’argent r écolt ée par la vente de caf és,

• Status ∈ {off, on, error }: une variable indiquant l’ ´etat de fonctionnement de la machine

(off signifiant qu’elle est arr ˆet ´ee, on signifiant qu’elle fonctionne, eterror signifiant

qu’une erreur s’est produite),

• CofLeft ∈ 0..MAX COF : une variable indiquant le nombre de caf ´es restant dans le distributeur,

• AskCof ∈ {false, true}: une variable indiquant si l’utilisateur a demand ´e du caf ´e (true)

ou non (false),

• AskChange ∈ {false, true}: une variable indiquant si l’utilisateur a demand é à r écup érer

la somme ins ´er ´ee dans la machine sans effectuer d’achat (true) ou non (false).

L’invariant Inv sert `a typer les variables d’ ´etat et ajoute notamment les contraintes sui-vantes :

• L’utilisateur ne peut introduire que des pi `eces multiples de 50 unit´es et le pot ne

peut contenir qu’une somme multiple de50. Il s’agit d’une simplification de la

ma-chine pour ne pas mod ´eliser la gestion de divers types de pi `eces.

• L’utilisateur ne peut pas demander à r écup érer son argent tant qu’il n’en a pas

ins ér é dans le distributeur ou s’il vient de demander un caf é et que le distributeur ne lui a pas encore d élivr é.

• L’utilisateur ne peut pas demander de caf é tant qu’il n’a pas ins ér é suffisamment

d’argent dans le distributeur ou s’il vient de demander à r écup érer l’argent qu’il a ins ér é.

La substitution d’initialisation Init initialise laBalanceet lePot `a0 (Balance:= 0 || Pot := 0), le

nombre de caf ´es dans le distributeur `aMAX COF (CofLeft := MAX COF), met le distributeur

à l’arr êt (Status:= off) et consid ère qu’aucun caf é n’a encore ét é demand é (AskCof := false)

et que l’utilisateur n’a pas demand é à r écup érer son argent (AskChange:= false).

Les év énements mod élis és simulent à la fois les actions r éalis ées par le distributeur lui-m êlui-me, par le technicien charg é de la lui-maintenance de la lui-machine, ou encore par un utilisateur du distributeur.

L’utilisateur peut ins ´erer de l’argent dans le distributeur (50 ou 100 unit´es d’argent par

le biais des év énementsinsert50 etinsert100 respectivement) puis demander un caf é (par

activation de l’ év énement cofReq) dont le prix est fix é à 50 unités. Il peut également

de-mander à r écup érer l’argent qu’il a ins ér é dans le distributeur (par le biais de l’ év énement

changeReq) dans le cas o `u il ne souhaite plus de caf ´e.

Le distributeur d élivre un caf é (serveCof) à l’utilisateur si et seulement si il a demand é

un caf é, s’il reste des caf és en stock et si au moins50 unités d’argent ont été insérées

par l’utilisateur. Le distributeur rend l’argent ins ér é à l’utilisateur (backBalance) si celui-ci

l’a r éclam é (par l’ év énementchangeReq) et rend la monnaie si l’utilisateur a demand é un

caf é et introduit une somme sup érieure à50 unités.

Le technicien peut mettre la machine en ´etat de marche (powerUp) ou l’arr ˆeter (powerDown)

pour ajouter du caf é (addCof), r écup érer l’argent gagn é gr âce aux ventes de caf és (

(25)

lorsque le pot est plein ou que le dernier caf é a ét é d élivr é).

En cas d’erreur, le distributeur n’accepte plus d’argent de la part de l’utilisateur tant que le technicien ne l’a pas remise en ´etat de marche.

Exemple 1 : Illustration des concepts li és aux syst èmes év énementiels

Dans cet exemple, les concepts li és aux syst èmes év énementiels sont illustr és sur l’exemple fil rouge du distributeur de caf é.

La garde de l’ év énement powerUp se d étermine ainsi :

grd(powerUp) de f= Status= off ∧ CofLeft > 0 ∧ Pot ≤ MAX POT ∧

grd(Status := on || Balance := 0 || AskCof := false || AskChange := false) = Status= off ∧ CofLeft > 0 ∧ Pot ≤ MAX POT ∧ true

= Status= off ∧ CofLeft > 0 ∧ Pot ≤ MAX POT

L’ év énement powerUp applique une substitution gard ée dont la garde estgrd(powerUp)et

la substitution appliqu ´ee lorsque cette garde est satisfaite est la substitution multiple

sui-vante :Status:= on || Balance := 0 || AskCof := false || AskChange := false.

Le pr édicat avant-apr ès correspondant à la substitution gard ée appliqu ée par

l’ év énementpowerUpse d étermine donc ainsi :

prdX(powerUp) de f

= Status= off ∧ CofLeft > 0 ∧ Pot ≤ MAX POT ∧

prdX(Status := on || Balance := 0 || AskCof := false || AskChange := false) de f

= Status= off ∧ CofLeft > 0 ∧ Pot ≤ MAX POT ∧

Status’ = on ∧ Balance’ = 0 ∧ AskCof’ = false ∧ AskChange’ = false ∧ Pot’= Pot ∧ CofLeft’ = CofLeft

N.B. Seules les variables Status,Balance,AskCof et AskChange sont modifi ´ees par la

sub-stitution multiple appliqu ´ee par powerUp. Les variables restantesPot etCofLeft restent en

revanche inchang ´ees, ce qu’exprime la conditionPot’= Pot ∧ CofLeft’ = CofLeft.

Soient les ´etats concrets suivants :

• c0 de f

= Balance = 0 ∧ Pot = 0 ∧ Status = off ∧ CofLeft = 10 ∧ AskCof = false ∧ AskChange = false • c1de f= Balance = 0 ∧ Pot = 0 ∧ Status = on ∧ CofLeft = 10 ∧ AskCof = false ∧ AskChange = false

On note que c0 est un état initial du syst ème car il correspond exactement à l’application

de la substitution d’initialisationInitde f= Balance := 0 || Pot := 0 || Status := off || CofLeft := 10 || AskCof

:= false || AskChange := false. Cette substitution d’initialisation ´etant d ´eterministe et portant

sur toutes les variables d’ état du syst ème, c0est en r éalit é le seul état initial du syst ème.

La substitution gard ée correspondant à l’ év énementpowerUp peut être appliqu ée à c0car

il satisfait sa garde grd(powerUp) (leStatus estoff,CofLeft vaut10 ce qui est sup´erieur `a 0,

et lePotvaut0 ce qui est inf´erieur `aMAX POT).

L’application de cette substitution `a c0 ne modifie pas la valeur du Pot ni de CofLeft qui

restent donc respectivement `a0 et 10. En revanche, elle modifie les valeurs des autres

variables (comme exprim é par prdX(powerUp)) en mettant le Status à on, la Balance à 0,

AskCof à false et AskChange à false. L’ état concret atteint par l’application de powerUp à c₀

(26)

respectives duStatus, de laBalance, deAskCof et deAskChangesont fix ´ees `a on,0,false et

falsedans c1.

L’application de powerUp `a c₁ est en revanche impossible car la garde de powerUp

(grd(powerUp)) requiert que leStatussoitoff, ce qui n’est pas le cas dans c1o `u leStatusest

on.

La figure 2.2 montre une partie du LTS s ´emantique du distributeur de caf ´e sous la forme d’un graphe.

FIGURE2.2 – LTS s ´emantique partiel du distributeur de caf ´e

Les états concrets (de c0 à c4) sont repr ésent és par des rectangles aux coins arrondis.

L’ état initial c₀ est mis en évidence par une bordure plus épaisse que les autres états

concrets et par la fl èche (tout à gauche) ayant pour état cible c0 et n’ayant aucun état

source. Les transitions sont repr ésent ées par des fl èches allant d’un état à un autre et portant le nom de l’ év énement qu’elles appliquent.

On obtient ainsi le LTS partiel hC, C0, L, Ri o`u :

• C= {c0, c1, c2, c3, c4},

• C0= {c0},

• L = {insert50, insert100, powerUp, powerDown, autoOut, takePot, cofReq, changeReq, addCof , serveCof , backBalance}, • R= { c0 powerUp −−−−−−→ c1, c1 powerDown −−−−−−−−→ c0, c1 autoOut −−−−−−→ c2, c2 powerDown −−−−−−−−→ c0, c1 insert100 −−−−−−−→ c4, c1 insert50 −−−−−−→ c3 }

Dans l’objectif de g én érer des tests, calculer le LTS s émantique complet d’un syst ème n’est pas envisageable en raison de son tr ès grand nombre d’ états et de transitions poten-tiels. Afin de limiter une explosion de l’espace d’ états consid ér é, on propose l’utilisation de la technique d’abstraction par pr édicats pr ésent ée par la section 2.2.

2.2/

A

BSTRACTION PAR PREDICATS

´

L’abstraction par pr édicats [Graf et al., 1997] est une technique qui permet de r éduire l’es-pace d’ états à traiter et de le ramener à un ensemble fini (m ême dans le cas o ù l’ensemble d’ états concrets est infini). Avec des pr édicats d’abstraction bien choisis, le syst ème

(27)

abs-trait permet de se focaliser sur les états et transitions ayant un int ér êt particulier vis- à-vis d’un objectif de test ou d’une propri ét é du mod èle à v érifier par exemple.

L’abstraction par pr ´edicat n ´ecessite un ensemble non vide P de f= {p1, ..., pn} de n ∈ N

pr édicats d’abstraction pr ésent és par la d éfinition 9.

D ´efinition 9 :Pr ´edicat d’abstraction

Unpr édicat d’abstractionest un pr édicat exprim é en logique du premier ordre et portant sur les variables d’ état du syst ème à abstraire.

Les pr édicats d’abstraction permettent de construire des classes d’ équivalence pour tous les états concrets d’un syst ème év énementiel. Ces classes d’ équivalence constituent des

états dits abstraits pr ésent és par la d éfinition 10.

D ´efinition 10 :Etat abstrait

Soit Pde f= {p1, ..., pn}un ensemble de pr ´edicats d’abstraction.

Un état abstraitest un n-uplet qde f= (q₁, q₂, ..., qn) avec qi égal à ¬piou à pi pour i ∈1..n. Un état abstrait est également consid ér é comme le pr édicatVn

i=1qi.

Par la suite, on note A l’ensemble des états abstraits. Par d éfinition d’un état abstrait, cet

ensemble contient2n _{états, o ù n est le nombre de pr édicats d’abstraction.}

On associe à un état concret d’un syst ème l’ état abstrait auquel il correspond (i.e. la classe d’ équivalence à laquelle il appartient) par le biais d’une fonction d’abstraction pr ésent ée par la d éfinition 11.

D ´efinition 11 :Fonction d’abstraction

Soient C un ensemble d’ ´etats concrets et A un ensemble d’ ´etats abstraits.

Unefonction d’abstractionest une fonction totale α: C → A qui à un état concret c de C associe l’ état abstrait q de A qu’il satisfait. Ainsi, α(c) est l’état abstrait qde f= (q1, q2, ..., qn) tel que c ∧ qiest une formule valide pour tout i ∈1..n.

Par abus de langage, on dit que q contient c, qu’un ´etat concret c est dans l’ ´etat abstrait

q, ou encore que c est un ´etat concret de q, lorsque α(c)= q.

La d éfinition 12 pr ésente la notion de syst ème d’ états et de transitions abstraits

D ´efinition 12 :Syst `eme abstrait

Soit P un ensemble de pr ´edicats d’abstraction.

Lesyst ème abstraitissu de P est un 4-uplet hA, A0, L, Ri où : • Aest l’ensemble des états abstraits constitu és à partir de P, • A₀⊆ Aest un ensemble d’ états abstraits initiaux,

• Lest un ensemble d’ ´etiquettes,

• R ⊆ A × L × Aest une relation de transitions abstraites.

Une transition(q, e, q0) ∈ R est dite abstraite (car q et q0 sont des ´etats abstraits). Elle est

not ´ee q→ q−e 0.

L’exemple 2 illustre, à l’aide du distributeur de caf é, les principaux concepts li és à l’abs-traction par pr édicats. La notion de syst ème abstrait n’est pas illustr ée ici mais sera exem-plifi ée dans la section 2.3.

(28)

Exemple 2 : Illustration des concepts d’abstraction par pr ´edicats

On utilise l’ensemble de pr ´edicats d’abstraction Pde f= {p0, p1, p2}o `u :

• p0de f= Status = off ∧ Pot ≥ MAX POT −50 (garde de takePot),

• p1de f= Status = on (garde de autoOut),

• p2de f= (Status = on ∧ AskChange = false ∧ AskCof = false ∧ Balance = 0) ∨ Status = error (garde

de powerDown).

L’ensemble A des états abstraits contient ainsi2|P| = 23 = 8 états, notés qi avec i ∈ 0..7

o `u : • q0de f= ¬p0∧ ¬p1∧ ¬p2 • q1de f= ¬p0∧ ¬p1∧ p2 • q2de f= ¬p0∧ p1∧ ¬p2 • q3de f= ¬p0∧ p1∧ p2 • q4de f= p0∧ ¬p1∧ ¬p2 • q5de f= p0∧ ¬p1∧ p2 • q6de f= p0∧ p1∧ ¬p2 • q7de f= p0∧ p1∧ p2

N.B. Tous les ´etats abstraits doivent ´egalement satisfaire l’invariant pour appartenir au

syst ème abstrait. De plus, les états abstraits dont la formule logique qui leur correspond ne peut pas être satisfaite sont dits vides. Dans cet exemple, les états abstraits suivants sont vides :

• q5 car leStatus ne peut pas être à la fois égal àoff comme requis par p0 et égal à

onouerror comme requis par p₂

• q6 et q7 car le Status ne peut pas être à la fois égal à off comme requis par p0 et

´egal `aoncomme requis par p1

On consid ère g én éralement que A ne contient que les états abstraits non vides : A =

{q0, q1, q2, q3, q4}.

Soient les ´etats concrets suivants :

• c5 de f= Status = error ∧ AskChange = false ∧ AskCof = false ∧ Balance = 0 ∧ Pot = 100 ∧ CofLeft

= 0

• c6de f= Status = on ∧ AskChange = true ∧ AskCof = false ∧ Balance = 0 ∧ Pot = 100 ∧ CofLeft = 10

• c7 de f

= Status = on ∧ AskChange = false ∧ AskCof = false ∧ Balance = 0 ∧ Pot = 100 ∧ CofLeft = 10 • c8de f= Status = on ∧ AskChange = false ∧ AskCof = false ∧ Balance = 0 ∧ Pot = 500 ∧ CofLeft = 0

• c9de f= Status = off ∧ AskChange = false ∧ AskCof = false ∧ Balance = 0 ∧ Pot = 50 ∧ CofLeft = 0

• c10 de f= Status = off ∧ AskChange = false ∧ AskCof = false ∧ Balance = 0 ∧ Pot = MAX POT ∧

CofLeft= 0

L’association r éalis ée par la fonction d’abstraction α sur ces états sera alors la suivante :

• α(c₅)= q₁car, dans c5, leStatusn’est nioff nioncomme requis par p0et p1

respec-tivement mais vauterror, ce qui suffit `a satisfaire le pr ´edicat p2.

• α(c₆)= q₂ car, dans c6, leStatusn’est pasoff comme requis par p0, vautoncomme

requis par p1 et le bool ´een AskChange vaut true, ce qui rend le pr ´edicat p2 non

satisfiable puisqu’il requiert soit queAskChangesoittrue, soit que leStatussoiterror.

• α(c₇) = α(c₈) = q₃ car, dans c7 et c8, le Status n’est pas off comme requis par p0,

vaut on comme requis par p1 et toutes les conditions impos ´ees par la premi `ere

partie de la disjonction de p2(Status= on ∧ AskChange = false ∧ AskCof = false ∧ Balance

= 0) sont vraies.

(29)

qui ne satisfait pas p0, leStatus n’est pason comme requis par p1 et leStatusn’est nion, nierror comme requis par p2.

• α(c10)= q4car, dans c10, leStatusestoff et lePotest ´egal `aMAX POT comme requis

par p0, le Status n’est pas on comme requis par p1, et le Status n’est ni on ni error

comme requis par p2.

Les syst èmes abstraits permettent donc de concentrer une étude sur une ou plu-sieurs propri ét és d’un syst ème év énementiel en s électionnant des pr édicats d’abstrac-tion adapt és et de r éduire l’espace d’ états à un ensemble fini et r éduit d’ états abstraits. L’abstraction par pr édicats entraˆıne en revanche une perte d’information sur l’atteignabi-lit é des états et transitions abstraits : il peut ne pas exister d’ état concret (respectivement de transition concr ète) atteignable instanciant un état abstrait (respectivement une tran-sition abstraite).

2.3/

S

YSTEMES DE TRANSITIONS MODAUX

`

On associe des modalit és aux transitions abstraites afin de les classer en fonction de leur atteignabilit é et de l’atteignabilit é des états abstraits qui les composent. La notion de modalit é est pr ésent ée par la d éfinition 13.

D ´efinition 13 :Modalit ´e d’une transition abstraite

Soient un syst ème év énementiel ES de f= hX, Inv, Init, Evi, P un ensemble de prédicats d’abstraction et ASde f= hA, A0, L, Ri un système abstrait.

On consid ère quatre modalit és possibles pour une transition abstraite q→ q−e 0_{∈ R}_{d éfinies} comme suit :

1. La modalit é may est attribu ée à q → q−e 0 _{lorsqu’il existe une transition concr ète} c→ c−e 0_{du LTS s émantique de ES telle que α(c)}_{= q, α(c}0₎_{= q}0_.

2. La modalit émust−_{est attribu ée à q}_{→ q}₋e 0_{lorsqu’elle poss ède la modalit é may et} que pour tout c0 _{tel que α(c}0₎ _{= q}0_{, il existe un état concret c tel que α(c)}_{= q et} c→ c−e 0est une transition du LTS s émantique de ES.

3. La modalit émust+est attribu ée à q→ q−e 0lorsqu’elle poss ède la modalit é may et que pour tout c tel que α(c) = q, il existe un état concret c0 _{tel que α(c}0₎ _{= q}0 _et c→ c−e 0_{est une transition du LTS s émantique de ES.}

4. La modalit émust# est attribu ée à q→ q−e 0_{lorsqu’elle poss ède à la fois la modalit é} must−et must+.

La figure 2.3 illustre les quatre modalit és possibles pour une transition. La modalit é may est attribu ée à toute transition abstraite pour laquelle il existe au moins une instance

concr ète correspondante. La modalit é must−est attribu ée à toute transition abstraite pour

laquelle tous les états concrets de l’ état abstrait cible poss èdent un pr éd écesseur dans

l’ état abstrait source par cette transition. La modalit é must+ est attribu ée à toute

transi-tion abstraite pour laquelle tous les états concrets de l’ état abstrait source poss èdent un successeur dans l’ état abstrait cible par cette transition.

Sur la figure 2.3a, il existe une instance (c0q0

e1 −→ c3q1) de la transition abstraite q0 e1 −→ q1 et deux instances (c3q1 e₁ −→ c7q2 et c5q1 e₁ −→ c8q2) de la transition q1 e₂ −→ q2. Les transitions

(30)

q0−→ qe1 1et q1 −→ qe2 2 sont donc des may-transitions.

Sur la figure 2.3b, tous les ´etats concrets (c3q1, c3q1 et c3q1) de l’ ´etat abstrait q1 sont la

cible d’une instance de la transition abstraite q0

e₁

−→ q1. De m ˆeme, tous les ´etats concrets

(c6q2, c7q2et c8q2) de l’ ´etat abstrait q2sont la cible d’une instance de la transition abstraite

q₁ −→ qe2 2. Les transitions q0

e1

−→ q1 et q1

e2

−→ q2 sont donc des must−-transitions qu’on

notera ainsi respectivement q0

e−₁

−−→ q1et q1

e−₂

−−→ q2.

Sur la figure 2.3c, tous les ´etats concrets (c0q0, c1q0 et c2q0) de l’ ´etat abstrait q0 sont

la source d’une instance de la transition abstraite q0

e1

−→ q1. De m ˆeme, tous les ´etats

concrets (c3q1, c4q1 et c5q1) de l’ ´etat abstrait q1 sont la source d’une instance de la

transition abstraite q1 e₂ −→ q2. Les transitions q0 e₁ −→ q1 et q1 e₂

−→ q2 sont donc des

must+-transitions qu’on notera respectivement q0

e+₁

−−→ q1 et q1

e+₂

−−→ q2.

Enfin, sur la figure 2.3d, les transitions abstraites q0

e1

−→ q1 et q1

e2

−→ q2 poss `edent `a la

fois les propri ´et ´es d’une must−-transition et d’une must+-transition. Il s’agit donc de deux

must#-transitions qu’on notera respectivement q0

e#₁ −→ q1 et q1 e#₂ −→ q2. q0 e1 q1 c0q0 e1 c3q1 c1q0 c2q0 q2 e2 c7q2 e2 c4q1 c5q1 e2 c8q2 c6q2

(a) Illustration d’une s ´equence de may-transitions compos ´ee des may-transitions q0

e1 −→ q₁et q1 e2 −→ q₂ q0 e1- q1 c0q0 e1 c3q1 c4q1 e1 c1q0 c5q1 e1 c2q0 q2 e 2-c6q2 e2 c7q2 e2 c8q2 e2

(b) Illustration d’une s ´equence de must− -transitions compos ´ee des -transitions q₀ e

− 1 −→ q₁et q₁ e − 2 −→ q₂ q0 e1+ q1 c0q0 c4q1 e1 c1q0 e1 c2q0 e1 q2 e2+ c3q1 e_e2 c6q2 2 c5q1 c7q2 e2 c8q2

(c) Illustration d’une s ´equence de must+ -transitions compos ´ee des -transitions q₀ e

+ 1 −→ q₁et q₁ e + 2 −→ q₂ q0 e1# q1 c0q0 e1 c3q1 c4q1 e1 c1q0 c5q1 e1 c2q0 e1 q2 e2# c6q2 e2 c7q2 e2 e2 c8q2 e2

(d) Illustration d’une s ´equence de must# -transitions compos ´ee des -transitions q0

e#₁ −→ q₁et q₁ e # 2 −→ q₂