Vérification des applications temps réel

(1)

HAL Id: inria-00000560

https://hal.inria.fr/inria-00000560

Submitted on 2 Nov 2005

HAL is a multi-disciplinary open access archive for the deposit and dissemination of sci- entific research documents, whether they are pub- lished or not. The documents may come from teaching and research institutions in France or

L’archive ouverte pluridisciplinaire HAL, est destinée au dépôt et à la diffusion de documents scientifiques de niveau recherche, publiés ou non, émanant des établissements d’enseignement et de recherche français ou étrangers, des laboratoires

Vernadat

To cite this version:

Françoise Simonot-Lion, Ye-Qiong Song, Bernard Berthomieu, François Vernadat. Vérification des

applications temps réel. Jacky Akoka, Isabelle Comyn-Wattiau. Encyclopédie de l’informatique et

des systèmes d’information, Vuibert, 2005. �inria-00000560�

(2)

i i

Vériation des appliations temps réel

FrançoiseSimonot-Lion,YeQiongSong,

BernardBerthomieu,FrançoisVernadat

Mots-lés:vériation,tempsréel,garantiedéterministe,garantieprobabiliste

Résumé:ehapitreprésentelesmoyensusuellementdisponiblespourvérierqu'unsystèmetempsréelrespete

les propriétés qui lui sont imposées. Cei reouvre des tehniques de vériation qui reposent sur desmodèles

mathématiquement analysables de manière exhaustive ou partielle. Les garanties exigées quant au respet des

ontraintespouvantêtredenaturedéterministeouprobabiliste,nousproposonsdestehniquespouresdeuxtypes

d'objetifs.

1 Introdution

Les propriétés des systèmes temps réel sont

imposées par les missions qui leur sont deman-

déesetparladynamiquedessystèmesphysiques

sous leur ontrle (que e soit dans le ontexte

d'une ligne de prodution ou d'un système em-

barqué).Nousnousintéressons,dansehapitre,

auxméthodesquigarantissentqu'un telsystème

estorret.Cetermesigniequ'il doitassurer la

missiondemandéeetrespetertouteslesproprié-

tésspéiées.Prouverqueessystèmesrespetent

lespropriétésquileurssontimposéespasse,entre

autres,pardeuxativitésfondamentales.

Lapremièrerelèvedelaoneptiond'unesolu-

tionquigarantisseles propriétésfontionnelles.

Ils'agit, danse as, d'analyser les fontionsdu

système,leursinterationsainsiquel'arhiteture

logiiellequilesimplémente.

6 - ?

-

Propriétés

attendues

Desription

informelle

Modélisation Vériation

orretion aord

Desription

opérationnelle

Fig.1.1Vériationd'unsystèmeparmodel-heking

Lagure1.1présentelesprinipalesétapesde

lavériation.Cetyped'approhesnéessitetrois

ingrédients:

une desription opérationnelle du système

expliitantommentfontionnelesystème;

unlangagedespéiationpermettantd'ex-

primerlespropriétésdusystèmequel'onsouhaite

vérier (f setion 2.3, les logiques temporelles

ommeoutildespéiation);

une proédure de déision permettant de

ontrler la onformité entre ladesription opé-

rationnelledusystèmeetsaspéiation,'est-à-

dire uneproédure qui permetde vérierque le

systèmesatisfait eetivement les propriétés que

l'onattenddelui. Cettephasedevériationdu

modèleestsouventappeléeontrledemodèles

oumodel-heking (fsetion 3.1, les prinipes

algorithmiquesdumodel-heking).

La deuxième ativité onsiste à prendre en

omptel'implantationdeslogiiels surunearhi-

teture matérielle, à savoir sur un ou plusieurs

alulateurs,haungéréparunsystèmed'exploi-

tation,etommuniquant,leas éhéant,viaune

arhiteturedeommuniationsousformederé-

1

(3)

seaux,munisdeprotooles,etinteronnetéspar

des passerelles. Le résultatde ette ativitésera

nomméparlasuitearhitetureopérationnelle.

Les propriétés qui doivent être vériées lors de

etteativitésontdespropriétésusuellementap-

pelées non fontionnelles. Celles-i dépendent,

enpartiulier,desperformanesdesmatérielssup-

port(puissane deproesseurs,débitderéseaux,

et.) et des temps induits par les stratégies de

partage deressoures (protooles d'aès aumé-

dium, ordonnaneurs loaux). La vériation de

propriétésnonfontionnellesrevientglobalement

àévaluerdeuxtypesdearatéristiques:lesdates

d'ourrenes de ertains événements et les be-

soinsentermesderessoures.Lesaratéristiques

relevant de l'un ou l'autre point peuvent appa-

raîtredansl'expressiondeontraintesàrespeter

(ontraintestemporelles,ontraintesd'oupation

mémoire,ontraintesdeonsommationd'énergie,

...)ou,leaséhéant,ommeritèresàoptimiser

(minimiserun tempsderéponse,unebandepas-

sante,l'énergieonsommée, ...).Deplus, leom-

portementdetoutsystèmetempsréelestétroite-

mentdépendantdesonenvironnement.Aussi,les

propriétés en général devront-elles être prouvées

enprenantenomptel'impatdeetenvironne-

mentsurlesystème.

Enn,onpeutaborderleproblèmedelavéri-

ationdepropriétéspourdessystèmestempsréel

dedeuxmanières qui,d'ailleurspeuvents'avérer

omplémentairesdansertainsas:

soitononçoitunsystèmedetellemanière

que les propriétés soient obtenues par onstru-

tion;l'appliationdeméthodesformellesquipar-

tantdelaspéiationdespropriétésattendueset

opérantparranementet/oudérivationonstruit

automatiquement la solution; dans le domaine

du temps réel, on peut iter, notamment, la

onstrutiond'unordonnanement detâhesfai-

sable, laonstrution d'unemessagerie (ongu-

ration/ordonnanementdetramestransmisessur

un réseau) faisable ou la synthèse de ontrleur

tempsréel;

soit,dansleasdesystèmesomplexespour

lesquelsdetellesméthodesnesontpasappliables

ausystèmedanssaglobalitéoudontledéveloppe-

mentestpartagé parplusieursateurs,onvérie

à haque étape de la oneption que la solution

enoursd'élaborationvérieralespropriétés ;là

enore, suivant laplaedansleylededévelop-

pementdu systèmeoùlavériation estopérée,

on distinguera : la vériation a priori, 'est-à-

dire avant laréalisation du système;e type de

vériation impliquedeonstruire un modèlede

es systèmesqui soit pertinent pour les proprié-

tésàvérier;letestquisefaitsurtoutoupartie

du systèmeavant la miseen servie de elui-i;

etenn,lavériationquipeutêtrefaiteenligne

pour garantir lors de l'exploitation et de la vie

dusystèmequeertainespropriétéssonttoujours

préservées.

Dansehapitre,nousaborderonsprinipale-

mentleproblème delavériationdepropriétés

quisoientspéiques auxsystèmestempsréel et

e par onstrution de modèles de es systèmes

puisméthodesd'étudesdeesmodèles.Lesteh-

niquesproposéesonerneront,alors,majoritaire-

ment,la vériationa priori. Deplus, deux mé-

thodes peuvent être déployées: l'une fondée sur

uneanalysemathématiqueexhaustive,l'autresur

uneanalysepartielle.L'idéalestd'opérerlavéri-

ation paranalysemathématiquedumodèledu

système. Malheureusement, la plupart des teh-

niquesdeetype(voirlehapitre¿¿Automates

et vériation¿¿ de la setion 1.9 ¿¿ Algorith-

miqueetprogrammation¿¿)sontdiilementap-

pliables pour des modèles omplexes (la om-

plexité d'unmodèlepeutvenird'une représenta-

tion du système à un n niveau de granularité

ou de la omplexité intrinsèque du système lui-

même).Danseas,lavériationpeutêtrefaite

parsimulation,'est-à-dire,exéutiondumodèle.

Sileproblèmedel'analysemathématiqueeste-

lui d'unepréision dumodèlequisoit pertinente

pourlavériationàréaliser, eluide lasimula-

tion tient dansla diulté d'exéuter lemodèle

suruneexhaustivitédes sénarios. Cesdeuxmé-

thodessontenfaitomplémentaires.

2 Propriétés etgaranties exigées

Avantde dérireles tehniques qu'il estpos-

sible de mettreen ÷uvre pour opérer des véri-

ations dansles systèmestempsréel, nousintro-

duisonsdeuxnotionsimportantes.Lapremièrere-

ouvrel'expressiondespropriétésdansleontexte

tempsréeltandisqueladeuxièmeonerneletype

degarantieexigéequantaurespetdeesproprié-

tés.

2.1 Expressiondespropriétés

Dansleontextedessystèmestempsréel,une

grande partie des propriétés s'exprime sous la

formedeontraintesappliquéesauxdatesd'our-

renesd'événementssigniatifs.Ci-dessous,nous

donnons l'expressiondequelquesontraintesélé-

mentaires.

Contraintes sur des temps de réponse du

système Ellessontutiliséespourspéierlaa-

paité exigée d'un systèmeà répondreaux solli-

itations tant internes qu'externes. Ce peut être

la promptitudedu systèmeàréagir àunesitua-

tiondétetée,l'aptitudedel'arhiteturelogiielle

implantant une loi de ommande à fournir une

onsigne àunationneurdansdes tempsraison-

nables (par exemple, l'ationnement de la ré-

(4)

i i

Propriétés etgarantiesexigées 3

maillère entraînant l'axe de diretion d'un véhi-

ule en fontion de l'angle et du ouple volant

fourni par le onduteur, ...). Conrètement, il

s'agitd'exprimerlefaitqueladuréeséparantles

ourrenes demêmerang

i

^de^deux^événements

(dénommés,généralement,stimulus

S

^et^réponse

R

⁾ êst înférieure ^à ûn ^délai ^donné

δ

sup ^et ^supé-

rieure à

δ

inf^. ^Notons, qu'usuellement ette pro- priétéonsidère

δ

inf

= 0

^.

δ

inf

< date(R

i

) − date(S

i

) < δ

sup

Contraintes sur la régularité d'ourrene

d'unévénement Danse as,ils'agitdebor-

ner la variation de durée qui sépare les our-

renessuessives,

i

^,

i + 1

^, ^... ^d'un^même^événe-

ment périodique. Par exemple, l'existene d'une

gigue, 'est-à-dire d'unevariationde ettedurée

surles dates d'aquisition des grandeurs signi-

ativesd'unsystèmephysiquepeutentraînerune

inohérenepouruneloideommandequirepose-

rait surdes reonstrutions del'évolutionde es

grandeurs par aluls approhés deleur dérivée.

Dansunautredomaine,lanonrégularitédedif-

fusion d'une image vidéo peut restituer un lm

aveunepiétrequalité.Ononsidère,pourexpri-

mer une telle ontrainte que

E

^est l'événement onsidéré,

T

^la ^période ^spéiée ^d'ourrene ^de

etévénement etune valeur

ε

^quantiant ^la ^to-

léranesurl'irrégularité d'ourrenede

E

^de ^la

manièresuivante:

T − ε < date(E

i+1

) − date(E

i

) < T + ε

Contraintes sur la simultanéité d'our-

renes d'événements Ce type deontraintes

s'applique, par exemple, à toute appliation de-

vant diagnostiquer l'état d'un système physique

à partir d'un ensemble de mesures sur e sys-

tème ou de stimulus venant de e système; la

qualité du diagnosti est largement dépendante

deladuréedel'intervallependantlequel lesme-

suresontétéréaliséessurlesystèmephysique.Un

autre adre onerne les ontraintes de synhro-

nisationentrela prodution de ux audioet vi-

déo.Uneontraintedesimultanéités'exprimesur

un ensemble d'événements

E

^pour ^imposer ^que

les ourrenes des événements de l'ensemble se

produisent dans un intervalle borné par

ε

^; ^elle

peut seprésenterselon deuxformes:l'intervalle

doitonteniruneourreneaumoinsdehaque

événement (simultanéité faible, équation 1.1) ou

l'intervalledoitontenirlesourrenesdemême

rang de tous les événements (simultanéité forte,

équation1.2):

∀e, f ∈ E, ∃i, j, ˛

˛

˛ date(e

ⁱ

) − date(f

^j

) ˛

˛

˛ < ε

^(1.1)

∀e, f ∈ E, ∀i, ˛

˛

˛ date(e

ⁱ

) − date(f

ⁱ

) ˛

˛

˛ < ε

^(1.2)

2.2 Typesdegarantiesdepropriétés

Les exigenes imposées à un système temps

réelrelèventdeplusieurstypesdegarantiessurle

respetdespropriétésspéiées.

Unegarantie,ditedéterministe,néessite que

laontraintesoitvériéeàtoutinstant.Lesteh-

niquesquipermettentd'obtenirunteltypedega-

rantiesurun systèmereposent généralement sur

uneidentiationdupireasetpeuventonduire

à un surdimmensionnement du système dès que

elui-idevientomplexe.

Une garantie en moyenne ou probabiliste,

est un autremoyen d'expression d'uneexigene.

Il s'agit de spéier, que sur une suite d'ins-

tanes (par exemple les ourrenes suessives

des ouples d'événements stimulus et réponse),

un pourentage de elles-i doit respeter la

ontrainte donnée. On utilise généralement e

typed'expression pour des ontraintes detemps

ditessouplesoufaibles.Notonsquedansnombre

d'appliationstempsréel,respeteretyped'exi-

genesnegarantitpaslaqualitédusystème.Par

exemple,garantirqu'untempsderéponseestin-

férieur à une borne dans 90% des as ne spéi-

e pas la répartition des 10% de as où ette

ontrainten'estpasvériée.Surmilleinstanes,e

peutêtreunetousles entoulesentpremières;

silesystèmetempsréelimplanteuneappliation

de ontrle-ommande, l'impat sur l'environne-

ment ontrlé n'est pas le même et le système

peut, même,neplus assurersa missionde façon

sûre.

An de palier l'impréision que peut révéler

unegarantie enmoyenne,ilestpossibled'exiger

des garanties déterministes qui tolèrent le non-

respetd'uneontraintepartouteslesinstanesà

laonditionque ladistributiondeséhes relève

d'unmodèlespéiéformellement.Onparlealors

degarantiedéterministe

(m, k)−f irm

^.^Supposons

quelapropriétés'exprimeparuneontraintebor-

nant supérieurement un temps de réponse entre

unévénementstimulusetunévénementréponse;

unegarantie

(m, k)−f irm

^signie^que,^à^tout^ins-

tant,pourles

k

^dernières^ourrenes ^suessives

del'événementstimulus,

m

^,âu^moinsôntônduit

àuneourrene del'événement réponse respe-

tantlaontrainte.

2.3 Formalismesd'expressiondespropriétés

Aprèsavoirvuesdiérentsexemplesdepro-

priétés, nous introduisons maintenant quelques

formalismes,baséssurlalogiquetemporelle,spé-

iquement dédiés à l'expression et à la véri-

ation de propriétés des systèmes dont l'état

évolue dynamiquement ave le temps. On peut

(5)

s'intéresser à des propriétés purement qualita-

tivestellesquel'absenede bloage, lapotentia-

lité/inévitabilité d'un événement, et. On lasse

souvent les propriétés à satisfaire endeux types

omplémentaires : les propriétés de sûreté ex-

primantlefaitqueRiendemauvaisnepeutar-

river etlespropriétésdevivaité exprimantle

fait que Quelque hose de bon va arriver. On

peut aussi vouloir quantier la propriété(temps

de réponse, temps d'utilisation d'une ressoure,

et). Le bref panorama quisuit introduitles lo-

giques temporelles qualitatives etune logique

temporelle temporisée permettant quant à elle

d'adresserdespropriétésdenatureplusquantita-

tive.Pourette setionainsi quepourlasetion

3.1,nousinvitonsleleteurintéresséàsereporter

à(Arnold1992),(Diaz2003),(Shnoebelen1999).

Aspets qualitatifs Les logiques temporelles

sont des extensions du alul propositionnel ob-

tenues en ajoutant de nouveaux onneteurs

desopérateurstemporelspermettantdedérire

l'évolutiondynamiqued'unsystème.Cettedyna-

miquepeut êtreperçuesoit omme un ensemble

d'exéutions(approhelinéaire),soitommel'ar-

boresenedesexéutionspossibles(approhear-

boresente).Ahaunedeespereptionsestas-

soiéeunelogiquequenousdérivonsmaintenant.

Parlasuite,ononsidèreunensembledevariables

propositionnelles

P

^permettant^de^apturer^l'état

dusystème.

LalogiquetemporellelinéaireLTL ex-

primedespropriétéssurdesséquenesd'étatsque

le système atteint au ours d'une de ses exéu-

tions.UnepropriétéLTLestsatisfaiteparunsys-

tème si toute exéution du système la satisfait.

ParmilesopérateurstemporelsdeLTL,ontrouve

permettantd'exprimerl'invarianeet

♦

permettantd'exprimerlapossibilité.Defaoninfor-

melle, uneséquenesatisfait

φ

^si ^la^propriété

φ

^est^vraie^sur^tous^les ^états^de^la^séquene^tan-

disqu'onnotera

♦ φ

^pour^spéier^que^la^séquene

passeparunétatoùlapropriété

φ

^est^vraie.^L'ex-

pressivité de LTL tient à la possibilité d'imbri-

quer les diérents opérateurs temporels, omme

lemontrentlesquelquesexemplessuivants:

Exlusion mutuelle :

¬(Sc

1

∧ Sc

2

)

On n'atteint jamais un état où deux pro-

essus sontensetionritique.

Vivaité:

(Requete ⇒ ♦ Reponse)

Toute requête sera suivie au bout d'un

tempsniparuneréponse

Equité:

( ♦ Demande) ⇒ ( ♦ Accord)

Touterequêteinnimentposéereevraune

innitéd'aords

LalogiquetemporellearboresenteCTL

exprime des propriétés surles exéutionspos-

siblesd'unsystème,matérialiséesparunearbore-

senedesesétatssuessifs.Uneexéutionparti-

ulièredusystèmeorresponddonàunebranhe

(éventuellementinnie)deetarbre.CTLutilise

par exemple les quatre opérateurs suivants dont

la sémantique intuitiveest illustréepar lagure

1.2.

AF

φ

^Toujours ^nalement

φ

EF

φ

^Il^est ^possible^que^nalement

φ

AG

φ

^Toujours ^partout

φ

EG

φ

^Il^est ^possible^que^partout

φ

CommepourLTL,l'expressivitédeCTLtient

à la possibilité d'imbriquer les diérents opéra-

teurstemporels, ommelemontrentesquelques

exemples:

Exlusion mutuelle :

AG (¬(Sc

1

∧ Sc

2

))

On n'atteint jamais un état où deux pro-

essus sontensetionritique.

Potentialité :

AG ( Requete ⇒ EF Reponse)

Toute requête sera potentiellement suivie

auboutd'untempsniparune réponse

Inévitabilité :

AG ( Requete ⇒ AF Reponse)

Touterequêteserainévitablementsuivieau

boutd'un tempsniparuneréponse

CTLetLTLontdesexpressivitésomplémen-

taires :CTL ommeLTLpermetd'exprimerdes

propriétés de sûreté etde vivaité. CTL permet

aussi d'exprimer des propriétés de potentialité.

Parontre,lespropriétésd'équiténesontpasex-

primablesenCTL.Danslesdeuxas,eslogiques

nepermettentd'exprimerquedesnotionsqualita-

tives:ainsionpeutspéierqu'uneréponsearrive

enuntempsnimaisonnepeutpasspéierque

ette réponse doit arriver en moins de

k

^unités

de temps. Pour permettre e type de spéia-

tion, les logiquestemporelles lassiques(LTL ou

CTL)ontétéétenduesandepouvoirquantier

le temps :onparlealors de logiquestemporelles

temporisées.Onretrouvedeslogiquestemporisées

linéairesetarboresentes.Atitred'exemplenous

introduisonsTCTL, l'extension temporiséedela

logique CTL.

(6)

i i

Vériationàgarantiedéterministe 5

AG p AF p

EF p EG p

Fig.1.2ExemplesdesatisfationdesmodalitésdeCTL

Logique temporelle temporisée TCTL

TCTL enrihitles opérateurs temporelsde CTL

en prenant en ompte des informations quanti-

tatives surl'éoulement du temps. Ainsi les for-

mulesdeTCTL font appelàun symbolerelatio-

nel

∼∈ {<, ≤, =, >, ≥}

^et^un ^rationnel

θ

^qui ^va

permettre de quantier l'éoulement du temps.

Nous ne rentrerons pas plusen détaildans l'ex-

posédeTCTLetrenvoyonsà(Shnoebelen,1999)

pour plus d'informations. Nous onluons ette

setionendonnonsquelquesexemplesdeproprié-

tésTCTL.

Séjour bornéensetion ritique:

AG ( Sc ⇒ AF

≤K

¬ Sc)

Unproessus nerestepasplusde

k

^unités

detempsensetionritique

Réativitébornée :

AG ( P robleme ⇒ ¬ AG

≤5

Alarme)

^:

Lorsqu'un problème survient, l'alarme se

délenheetseprolongeau moins5unités

detemps

Inévitabilité bornée:

AG ( Requete ⇒ AF

≤k

Reponse)

Touterequêteserainévitablementsuivieen

moins de

k

^unités ^de ^temps ^par ^une ^ré-

ponse

Lateneminimale:

AG ( Requete ∧ ¬ EF

≤k

Reponse)

Unerequêtenepeutpasreevoirderéponse

enmoinsde

k

^unités^de^temps

Enombinantlesdeuxdernièresformules,on

peut exprimerdes ontraintestemporelles appli-

quéesauxdatesd'ourrenesd'événementssigni-

atifstellesqueellesprésentéesàlasetionpré-

édente.Ainsiuneontraintedutype

δ

inf

< date(R

i

) − date(S

i

) < δ

sup

pourras'exprimerparlaformulesuivante:

[AG ( R

i

∧ ¬ EF

≤δ_inf

S

i

)] ∧ [AG (R

i

⇒ AF

≤δsup

S

i

)]

3 Vériationà garantie déterministe

L'objetif de ette setion est de présenter

quelquestehniquespermettantdevérierqu'une

garantie déterministe de propriété est assurée

par un système. En partiulier, nous proposons

dans un premier temps des tehniques qui s'ap-

pliquentde manièregénériqueàdes modèles ex-

primés dans un formalisme donné. Il s'agit no-

tammentdesméthodesd'analysedemodèles(ou

model-heking)desystèmes disrets temporisés.

Dansundeuxièmetemps,nousprenonsenompte

les objets lassiquement manipulés ausein d'un

système temps réel, à savoir les ressoures, les

tâhesetlesmessages/paquets,etnousintrodui-

sons quelquesméthodespropres àla vériation

desystèmesdéritssousformedeetyped'objets.

3.1 AnalysedemodèlesMo del-heking

Nousdonnonsmaintenantlesgrandsprinipes

dumodel-hekingdeformulesdelogiquestempo-

relles. Leleteur intéressése reportera ave pro-

t à(Arnold, 1992),(Diaz,2003),(Shnoebelen,

1999).

Une propriété exprimée en LTL (f setion

2.3) est satisfaite par un système si toute exé-

ution de elui-i la satisfait. Pour s'assurer de

ette propriéte, onvérie en fait qu'auuneexé-

ution du système ne satisfait la négation de la

formuleà vérier. Pour e faire, onassoie à la

négation de lapropriété un automatede Buhi

qui laaratérise eton eetue un produit syn-

hroneentrele omportement du systèmeetet

automate.Ons'assureensuite queles onditions

d'aeptation donnéespar l'automate de Buhi

nesont pas satisfaites. Dansla négative, ondis-

posed'uneséquenesatisfaisantlanégationdela

propriétéquel'on herhaitàvérier, don d'un

ontre-exemple. On peut proéder à la volée