The DART-Europe E-theses Portal

(1)

HAL Id: tel-02502304

https://tel.archives-ouvertes.fr/tel-02502304

Submitted on 9 Mar 2020

HAL is a multi-disciplinary open access archive for the deposit and dissemination of sci- entific research documents, whether they are pub- lished or not. The documents may come from teaching and research institutions in France or abroad, or from public or private research centers.

L’archive ouverte pluridisciplinaire HAL, est destinée au dépôt et à la diffusion de documents scientifiques de niveau recherche, publiés ou non, émanant des établissements d’enseignement et de recherche français ou étrangers, des laboratoires publics ou privés.

automatique de tests

Guillaume Voiron

To cite this version:

Guillaume Voiron. Exploration concrétisée et pertinente de systèmes d’événements abstraits en vue de la génération automatique de tests. Autre [cs.OH]. Université Bourgogne Franche-Comté, 2019.

Français. �NNT : 2019UBFCD027�. �tel-02502304�

(2)

Ecole doctorale n°37´

Sciences Pour l’Ing ´enieur et Microtechniques

Doctorat d’Informatique

par

G^UILLAUME

V

OIRON

Exploration concr étis ée et pertinente de syst èmes d’ év énements abstraits en vue de la g én ération automatique de tests

Th èse pr ésent ée et soutenue à Besançon, le 27 Septembre 2019 Composition du Jury :

LEGALLPASCALE Professeur `a CentraleSup ´elec Rapportrice

LEDRUYVES Professeur `a l’Universit ´e de Grenoble Alpes

Rapporteur KOSMATOVNIKOLA¨I Ing ´enieur chercheur au CEA LIST

Saclay

Examinateur KOUCHNARENKOOLGA Professeur `a l’Universit ´e de Bourgogne-

Franche-Comt ´e

Examinatrice

JULLIANDJACQUES Professeur ém érite Directeur de th èse

MASSON PIERRE-ALAIN Maˆıtre de conf érences à l’Universit é de Bourgogne-Franche-Comt é

Codirecteur de th `ese

N^◦ X X X

(3)

(4)

Universit ´e Bourgogne Franche-Comt ´e 32, avenue de l’Observatoire 25000 Besanon, France

Titre :Exploration concr étis ée et pertinente de syst èmes d’ év énements abstraits en vue de la g én ération automatique de tests

Mots-cl és : Syst èmes r éactifs, Abstraction de mod èles, Test à partir de mod èles, G én ération de tests pertinents, Couverture structurelle

R ´esum ´e :

Les travaux pr ésent és dans cette th èse constituent une contribution aux m éthodes de g én ération automatique de sous-approximations en vue de la g én ération de tests à partir de mod èles.

Le test à partir de mod èle a pour objectif de garantir la conformit é d’une impl émentation vis- à- vis d’un mod èle, tous les deux conçus à partir des sp écifications par deux équipes diff érentes.

Dans cette th èse, nous proposons l’utilisation des techniques connues d’abstraction à partir de pr édicats de mod èles comportementaux qui permettent de r éduire à un ensemble fini et restreint l’espace d’ états manipul é. Nous proposons d’extraire les pr édicats d’abstraction à partir de l’objectif de test afin que les tests g én ér és couvrent les comportements cibl és par ce dernier.

Cependant, le calcul d’une abstraction entraˆıne une perte d’information de l’atteignabilit é par rapport au mod èle initial. Nos objectifs sont donc dans un premier temps de calculer efficacement une abstraction de mod èle aussi repr ésentative que possible d’un objectif de test. Dans un second temps, nous cherchons à extraire à partir de cette abstraction des ex écutions instanciables sur le mod èle avant abstraction, ciblant les comportements

à tester, et visant la couverture des états et des transitions du mod èle abstrait.

Nos contributions sont les suivantes. Nous d éfinissons une m éthode de g én ération de tests combinant plusieurs algorithmes qui permettent d’obtenir une bonne couverture structurelle d’une

abstraction de mod èle comportemental non d éterministe. Nous proposons dans un premier temps un algorithme calculant une abstraction de mod èle par pr édicats issus d’un objectif de test exprim é sous la forme d’une propri ét é temporelle. Cet algorithme calcule une sous- approximation du mod èle en couvrant les états et les transitions abstraits du mod èle. Il applique plusieurs heuristiques et diverses techniques d’exploration ayant pour but d’augmenter le nombre d’instances effectivement atteintes. Dans un second temps, nous proposons d’am éliorer par le biais de deux autres algorithmes la couverture structurelle obtenue par cette premi ère sous- approximation. Le premier, enti èrement automatis é, tire parti des modalit és des transitions abstraites qui fournissent des propri ét és d’atteignabilit é.

Le second algorithme d’extension de la sous- approximation fait appel `a l’expertise du testeur qui doit, `a partir des transitions non couvertes,

énoncer un pr édicat de pertinence qui guide et limite l’exploration et l’instanciation r éalis ées. Nous d éfinissons un ensemble de r ègles permettant d’ énoncer ce pr édicat de pertinence et de calculer un variant garantissant la terminaison de l’algorithme d’exploration. Ces deux algorithmes compl ètent la sous-approximation obtenue auparavant par des ex écutions instanciables. Enfin, nous mettons en œuvre une d émarche exp érimentale pour l’ évaluation de la qualit é de la m éthode, portant sur cinq études de cas.

(5)

(6)

I Introduction et ´etat de l’art 11

1 Introduction 13

1.1 Obstacles et d ´efis . . . 13

1.1.1 Test exhaustif impossible en pratique . . . 14

1.1.2 Conception de tests co ˆuteuse . . . 14

1.1.3 Conception de tests pertinents et suffisants . . . 14

1.2 Questions de recherche . . . 15

1.3 Plan de th `ese . . . 16

2 Contexte scientifique 17 2.1 Syst èmes év énementiels : syntaxe, s émantique et exemple . . . 17

2.1.1 Satisfiabilit ´e modulo th ´eories . . . 19

2.1.2 S émantique d’un syst ème év énementiel . . . 21

2.1.3 Exemple fil rouge . . . 22

2.2 Abstraction par pr ´edicats . . . 25

2.3 Syst `emes de transitions modaux . . . 28

2.4 Syst `emes de transitions approxim ´es . . . 32

2.5 Crit ères de couverture des syst èmes à états et transitions . . . 33

2.6 Propri ´et ´es temporelles . . . 34

2.6.1 Patrons de sp ´ecification . . . 34

2.6.2 Port ´ee des patrons . . . 36

3 Etat de l’art 37 3.1 G én ération de tests à partir de mod èles . . . 37

3.1.1 Test de syst `emes . . . 37

3.1.2 Sp ´ecifications de syst `emes . . . 38

3.1.3 Mod `eles de test . . . 39

3.1.4 Processus de g én ération de tests à partir de mod èles . . . 40

3.2 G én ération de tests à partir d’abstractions . . . 41 5

(7)

3.2.1 Sous-approximation de programmes utilisant les modalit ´es des

transitions . . . 43

3.2.2 Calcul d’une sous-approximation d’un syst ème pour la v érification de propri ét és : algorithmesαSearchetRefinementSearch . . . 45

3.2.3 G én ération d’un syst ème fini d’ états et de transitions : algorithme GenFSM . . . 47

3.2.4 G én ération d’une sous-approximation d’un syst ème avec estima- tion de la qualit é de cette derni ère . . . 49

3.3 Exploration symbolique dynamique . . . 50

3.3.1 Exploration symbolique . . . 51

3.3.1.1 Principe g ´en ´eral . . . 51

3.3.1.2 Limitations . . . 52

3.3.2 Exploration concolique . . . 52

3.3.3 Exploration symbolique partielle pour calculer des instances atteintes de chaˆınes de Ball . . . 53

II Contributions 55 4 G én ération d’une sous-approximation couvrant au moins une fois tous les états et toutes les transitions de l’abstraction : algorithmeCXP 57 4.1 Probl ématiques . . . 57

4.2 Objectifs, principes et pr ´esentation de l’algorithmeCXP . . . 58

4.2.1 Entr ´ees, sorties et variables de l’algorithmeCXP . . . 59

4.2.1.1 Entr ´ees . . . 59

4.2.1.2 Sorties . . . 59

4.2.1.3 Variables . . . 59

4.2.2 Fonctionnement de l’algorithmeCXP . . . 60

4.2.2.1 Calcul d’une instance concr ète de chaque état abstrait initial 60 4.2.2.2 Calcul des instances de transitions abstraites à partir de l’ état initial . . . 60

4.2.2.3 Instanciation des transitions `a partir d’un ´etat vert . . . 62

4.2.2.4 Instanciation des transitions à partir d’un état vert vers un état bleu . . . 63

4.2.2.5 Instanciation des transitions abstraites `a partir des ´etats may-atteignables . . . 63

4.3 Application `a l’exemple fil rouge . . . 63

4.3.1 Param `etres en entr ´ee . . . 64

4.3.2 Calcul d’une instance concr `ete de chaque ´etat abstrait initial . . . . 64

(8)

4.3.3 Calcul des instances de transitions abstraites `a partir de l’ ´etat initial 65

4.3.4 Instanciation des transitions `a partir d’un ´etat vert . . . 66

4.3.5 Instanciation des transitions à partir d’un état vert vers un état bleu . 67 4.3.6 Instanciation des transitions abstraites à partir des états may- atteignables . . . 67

4.4 Inf ´erence de l’ordre de traitement des ´etats abstraits . . . 68

4.4.1 Calcul de l’ensemble des ´etats abstraits cibles . . . 68

4.4.2 Calcul de l’ensemble des ´etats concrets connus dans l’ ´etat abstrait source . . . 68

4.4.3 Calcul d’une instance d’unemay-transition dont l’ ´etat cible est dans RQ⁰ . . . 69

4.4.4 Calcul d’une instance pour toutes les autres May-transitions dont l’ ´etat cible est dansRQ⁰ . . . 69

4.4.5 Compl ´etion du MTS partiellement calcul ´e parCXPASO . . . 70

4.4.6 Application `a l’exemple du distributeur de caf ´e . . . 70

4.5 Complexit ´e, terminaison, compl ´etude et correction deCXP . . . 71

4.5.1 Complexit ´e deCXP . . . 71

4.5.2 Terminaison deCXP . . . 71

4.5.3 Compl ´etude et correction deCXP . . . 72

4.6 Bilan et conclusion . . . 72

5 Utilisation des modalit és must⁺ et must⁻ pour compl éter la couverture des états et des transitions de l’abstraction : algorithmeBCI 77 5.1 Probl ématique et solution . . . 77

5.2 Chaˆınes de Ball et structures demust-transitions . . . 78

5.2.1 D ´etermination des modalit ´es des transitions abstraites . . . 78

5.2.2 Chaˆınes de Ball . . . 78

5.2.3 Structures demust-transitions . . . 80

5.3 Principes de l’algorithmeBCI . . . 81

5.3.1 Entr ´ees, sorties et variables de l’algorithme de concr ´etisation des must⁻-structures . . . 82

5.3.1.1 Entr ´ees . . . 82

5.3.1.2 Sorties . . . 83

5.3.1.3 Variables . . . 83

5.4 Algorithme d’instanciation desmust⁻-structures . . . 83

5.4.1 Exploration de toutes les chaˆınes demust⁻-transitions . . . 83 5.4.2 Exploration symbolique en arri `ere desmust⁻-transitions d’une chaˆıne 84

(9)

5.4.3 Instanciation en avant des transitions de la chaˆıne . . . 85

5.4.4 Exploration des chaˆınes de branchement non explor ´ees . . . 86

5.5 Complexit ´e, terminaison, compl ´etude et correction deBCI . . . 87

5.5.1 Complexit ´e deBCI . . . 87

5.5.2 Terminaison deBCI . . . 87

5.5.3 Compl ´etude et correction deBCI . . . 88

5.6 Bilan et conclusion . . . 88

6 Am élioration d’une sous-approximation guid ée par un pr édicat de perti- nence : algorithmeRCXP 91 6.1 Limitation deCXPet objectifs de l’algorithmeRCXP. . . 91

6.2 Pr ´edicats de pertinence . . . 92

6.2.1 M ´ethode de conception d’un pr ´edicat de pertinence . . . 92

6.2.2 Langage de description des pr ´edicats de pertinence . . . 94

6.2.3 Variant associ é aux états concrets en fonction d’un pr édicat de pertinence . . . 95

6.3 AlgorithmeRCXP . . . 97

6.3.1 Principes de l’algorithmeRCXP . . . 97

6.3.2 Entr ´ees, sorties et variables de l’algorithmeRCXP . . . 98

6.3.2.1 Entr ´ees . . . 98

6.3.2.2 Sorties . . . 98

6.3.2.3 Variables . . . 98

6.3.3 Fonctionnement de l’algorithmeRCXP . . . 99

6.3.3.1 Calcul de l’ensemble des états concrets pertinents de d épart 99 6.3.3.2 Calcul d’une instance concr ète pertinente de chaque transition abstraitemay-atteignable . . . 99

6.3.3.3 Calcul des transitions d éclenchables apr ès l’atteinte d’un état pertinent . . . 100

6.4 Application a l’exemple fil rouge . . . 100

6.4.1 Param `etres en entr ´ee . . . 100

6.4.2 Calcul de l’ensemble des ´etats concrets pertinents de d ´epart . . . . 100

6.4.3 Calcul d’une instance concr `ete pertinente de chaque transition abstraitemay-atteignable . . . 101

6.4.4 Calcul des transitions d éclenchables apr ès l’atteinte du dernier état pertinent . . . 102

6.5 Complexit ´e, terminaison, compl ´etude et correction deRCXP. . . 102

6.5.1 Complexit ´e deRCXP . . . 102

(10)

6.5.2 Terminaison deRCXP . . . 103

6.5.3 Compl ´etude et correction deRCXP . . . 104

6.6 Bilan et conclusions . . . 104

7 M éthode de g én ération de tests par exploration concr ète et pertinente d’une abstraction par pr édicats 107 7.1 Proc édure compl ète pour la g én ération de tests pour un syst ème év énementiel . . . 107

7.2 Etapes principales de la m ´ethode . . . 109´

7.2.1 Mod ´elisation des exigences comportementales (objectif de test pri- maire) . . . 109

7.2.2 Extraction des pr ´edicats d’abstraction . . . 110

7.2.3 Calcul d’un ATS par l’algorithmeCXP . . . 110

7.2.4 Compl ´etion ´eventuelle de l’ATS par l’algorithmeBCI . . . 111

7.2.5 Identification des ´etats abstraits et des transitions abstraites non couverts . . . 111

7.2.6 S ´election d’un sous-ensemble des transitions non couvertes `a couvrir (objectif de test secondaire) . . . 111

7.2.7 D ´erivation d’un pr ´edicat de pertinence visant l’objectif de test secondaire . . . 111

7.2.8 Application de l’algorithmeRCXPpour compl ´eter le premier ATS . . 112

7.2.9 Application de la m éthode à tous les objectifs de test secondaires . 112 7.2.10 G én ération de tests par l’algorithme du postier chinois . . . 112

8 Impl émentation et évaluation exp érimentale 113 8.1 Fonctionnalit és et impl émentation de l’outil STRATEST . . . 114

8.1.1 Fonctionnalit ´es principales de STRATEST . . . 114

8.1.1.1 G ´en ´eration d’ATS et de tests . . . 114

8.1.1.2 Interface de programmation applicative pour les m ´ethodes formelles . . . 115

8.1.2 El ´ements d’impl ´ementation de S´ TRATEST . . . 115

8.2 Cas d’ ´etude et protocole exp ´erimental . . . 116

8.2.1 Cas d’ ´etude . . . 116

8.2.1.1 Distributeur de caf ´e . . . 116

8.2.1.2 Syst `eme ´electrique . . . 117

8.2.1.3 Ligne de m ´etro 14 . . . 117

8.2.1.4 Ascenseur . . . 118

8.2.1.5 GSM . . . 118

(11)

8.2.2 Protocole exp ´erimental et mesures effectu ´ees . . . 119

8.2.2.1 Protocole exp ´erimental . . . 119

8.2.2.2 Mesures effectu ´ees . . . 120

8.3 R ´esultats exp ´erimentaux et comparaison des algorithmes . . . 121

8.3.1 Analyse comparative des r ´esultats obtenus avecCXPetCXPASO . . 122

8.3.2 Analyse comparative des r ´esultats obtenus avecCXPetBCI . . . . 125

8.3.3 Analyse comparative des r ´esultats obtenus avecCXP,RCXPetFULL128 8.3.4 Analyse comparative des r ´esultats obtenus avecRCXPetRCXPASO 135 8.3.4.1 Comparaison des taux de couverture entre RCXP et RCXPASO . . . 136

8.3.4.2 Inconv énients potentiels propres àRCXPet àRCXPASO . . 136

8.3.4.3 Comparaison des états concrets et des transitions concr ètes calcul ées parRCXPetRCXPASO . . . 137

8.4 Bilan sur les r ´esultats et conclusions . . . 138

III Conclusion et travaux futurs 141 9 Conclusion 143 9.1 G én ération de tests à partir d’une abstraction de mod èles . . . 143

9.2 G én ération de tests guid ée et limit ée selon leur pertinence vis- à-vis d’un objectif de test . . . 146

9.3 Impl ´ementation et exp ´erimentations . . . 147

10 Travaux futurs 149 10.1 Extension de la prise en charge du langage de mod ´elisation . . . 149

10.2 Étude de l’impact des m éthodes d’extraction des pr édicats d’abstraction . . 150

10.3 ´Etudes de nouveaux crit `eres de couverture . . . 150

10.4 Am ´elioration des algorithmes . . . 150

(12)

I NTRODUCTION ET ETAT DE L ´ ’ ART

11

(13)

(14)

I NTRODUCTION

Cette th èse pr ésente une contribution à la g én ération automatique de tests à partir de mod èles (en anglais Model-Based Testing, souvent abr ég é par MBT) pour des syst èmes de grande taille ou infinis.

Les syst èmes cibl és par les contributions pr ésent ées dans cette th èse sont les syst èmes r éactifs et en particulier les syst èmes év énementiels mod élis és à l’aide du langage B [Abrial, 1996]. Ils diff èrent des programmes s équentiels classiques [Hoare, 1969]

par leur flot de contr ôle implicite : les év énements d’un syst ème év énementiel sont d éclench és spontan ément lorsque leur condition de d éclenchement est atteinte. Par op- position, l’ordre dans lequel s’ex écutent les instructions d’un programme s équentiel sera toujours le m ême avec les m êmes entr ées et la simulation du programme permet donc de connaˆıtre cet ordre. Dans le cas des syst èmes év énementiels, les év énements sont d éclench és en fonction des évolutions de l’environnement, et plusieurs év énements pour- raient être d éclench és dans un état donn é du syst ème : les syst èmes év énementiels sont non-d éterministes.

La g én ération automatique de tests à partir de mod èles consiste à étudier formellement un mod èle de syst ème afin d’en d éduire des entr ées et des sorties permettant d’observer le fonctionnement d’une impl émentation du syst ème dans des situations particuli ères.

Ces situations sont g én éralement caract éris ées par un objectif de test. Les tests (les entr ées et les sorties du programme) doivent ainsi couvrir, selon un ou plusieurs crit ère(s) de couverture bien d éfini(s), cet objectif de test.

1.1/ O

BSTACLES ET DEFIS

´

L’automatisation du processus de test et l’ étude formelle de programmes pr ésente plusieurs avantages par rapport à l’ écriture manuelle de tests qui motivent l’int ér êt des cher- cheurs à innover dans ces domaines. Cependant, un certain nombre d’obstacles et de d éfis restent à surmonter.

La pertinence, vis- à-vis d’un objectif de test, de tests exprim és manuellement n’est pas garantie ou est en tout cas difficile à évaluer. L’ écriture de tests vise à mettre en évidence l’existence d’erreurs, signe que les tests sont de bonne qualit é, mais cet objectif est particuli èrement compliqu é à remplir, notamment si le syst ème concern é est tr ès grand. La fiabilit é de l’impl émentation du syst ème est ainsi incertaine, m ême lorsque les tests sont

écrits par des personnes exp ériment ées.

13

(15)

Les travaux de cette th èse constituent ainsi une contribution à la g én ération automatique de tests pertinents vis- à-vis d’un objectif de test particulier. Les diff érents algorithmes pro- pos és dans cette optique sont cependant conçus pour être efficaces et donc utilisables avec des syst èmes de grande taille, ou infinis.

1.1.1/ TEST EXHAUSTIF IMPOSSIBLE EN PRATIQUE

L’ écriture de tests exhaustifs consisterait à observer un syst ème dans tous les comportements qu’il est susceptible d’avoir, en tenant compte de toutes les configurations et de tous les param ètres environnementaux auxquels il peut être soumis. L’ écriture manuelle de tests non exhaustifs est d éj à tr ès co ûteuse en temps et l’ écriture manuelle de tests exhaustifs se r év èle donc impossible à mettre en œuvre en pratique. Il en va de m ême pour la g én ération automatique de tests : un syst ème trop complexe serait impossible

à tester de mani ère exhaustive par un proc éd é automatique à moins de disposer d’une puissance de calcul non accessible encore aujourd’hui. Dans le cadre d’un syst ème infini d’ailleurs, le test exhaustif est litt éralement impossible puisque le syst ème peut effectuer une infinit é d’ex écutions.

1.1.2/ CONCEPTION DE TESTS COUTEUSEˆ

La g én ération automatique de tests permet de r éduire la charge de travail du testeur et de limiter ainsi le co ût en temps employ é au test d’un syst ème. Les m éthodes formelles actuellement employ ées pour effectuer l’analyse, la v érification, la validation et le test d’un syst ème restent cependant relativement co ûteuses, si ce n’est en temps d’ex écution, au moins en termes de ressources de calcul. Que ce soit pour un processus de production de tests automatique ou manuel, il reste d’ailleurs à la charge du testeur de sp écifier ce qui doit être intensivement test é et ce qui doit l’ être dans une moindre mesure.

La g én ération de tests à partir de mod èles r éduit en revanche consid érablement les co ûts li és à la maintenance d’un syst ème. En effet, un changement dans le fonctionnement du syst ème ne n écessite que de modifier le mod èle en cons équence pour qu’il soit conforme à ce changement. Les tests sont ensuite une nouvelle fois g én ér és automa- tiquement à partir du nouveau mod èle. Cela évite l’ écriture manuelle de nouveaux tests à chaque changement dans les exigences d écrivant le syst ème. De plus, si les tests étaient conformes aux pr éc édentes exigences, il est possible et m ême probable que certains ne soient plus conformes aux nouvelles exigences. La g én ération automatique de tests à partir d’un mod èle à jour vis- à-vis des exigences repr ésente donc un gain de temps non n égligeable pour l’ing énieur de test, ce qui repr ésente l’un des int ér êts de cette m éthode.

1.1.3/ CONCEPTION DE TESTS PERTINENTS ET SUFFISANTS

Une m éthode de g én ération automatique de tests s’efforcera de garantir la qualit é des tests qu’elle calcule. La qualit é d’une suite de tests (un ensemble de tests) pourrait être

évalu ée selon trois caract éristiques :

• sa capacit é à mettre en évidence des erreurs d’impl émentation d’un syst ème, ce qui est difficile à évaluer car des tests qui ne mettraient pas en évidence d’erreurs ne sont pas n écessairement mauvais pour autant,

(16)

• sa pertinence vis- à-vis d’un objectif de test, c’est- à-dire la capacit é des tests qui le composent à couvrir, selon les crit ères de couverture sp écifi és, les situations cibl ées par l’objectif de test,

• le co ût d’ex écution des tests qui la composent : pour deux suites de tests g én érant la m ême couverture de l’objectif de test, on pr éf érera g én éralement celle dont l’ex écution est la moins co ûteuse.

En pratique, les m éthodes de g én ération de tests cherchent à atteindre des objectifs diff érents et l’ évaluation de la qualit é de ces tests peut ne d épendre qu’en partie des crit ères énonc és pr éc édemment, ou d’aucun d’entre eux.

1.2/ Q

UESTIONS DE RECHERCHE

De ces limitations et d éfis concernant la g én ération de tests peuvent être extraites plusieurs questions de recherche.

Q₁ Comment g én érer des tests pour des syst èmes infinis ?

Certains syst èmes peuvent poss éder un espace d’ états infini, c’est- à-dire que l’ensemble de situations (ou états) dans lesquels il peut se trouver est infini. L’application des m éthodes formelles, notamment de g én ération de tests, à un tel syst ème, ou à un syst ème dont l’espace d’ état est tr ès grand, est plus difficile à mettre en œuvre. Afin de pouvoir appliquer les contributions de cette th èse à des syst èmes infinis, on aura recours en particulier à la technique d’abstraction par pr édicats [Graf et al., 1997].

Q₂ Comment abstraire un syst `eme infini ou de grande taille en conservant ses comportements pertinents vis- `a-vis d’un objectif de test ?

L’abstraction d’un syst ème permet de calculer un syst ème fini à partir d’un syst ème infini au prix g én éralement d’une perte d’information sur les états pouvant effectivement être observ és sur ce syst ème. Cette perte d’information pourrait masquer les comportements du syst ème qu’on souhaiterait couvrir par les tests qui en seront issus. On cherchera donc à calculer des abstractions de syst èmes qui conservent les comportements dont l’observation est pertinente vis- à-vis d’un objectif de test.

Q₃ Comment g ´en ´erer efficacement des tests ?

Malgr é le recours aux techniques d’abstraction, il peut être impossible de consid érer et manipuler l’ensemble des états, qui peut rester grand, d’un syst ème abstrait. Les algorithmes de g én ération de tests constituant les contributions de cette th èse auront donc pour objectif de limiter les comportements du syst ème abstrait couverts par les tests, tout en favorisant leur conformit é avec les crit ères de couverture vis és.

Q₄ Comment g én érer des tests pertinents vis- à-vis d’un objectif de test ?

Le fait de constituer une abstraction pertinente vis- à-vis d’un objectif particulier ne suffit pas toujours à garantir que les tests qui en sont issus seront eux-m êmes pertinents. La g én ération des tests à partir d’abstraction doit donc également être guid ée dans l’optique de couvrir l’objectif de test ou des objectifs interm édiaires li és à cet objectif de test.

(17)

Q₅ Qu’est-ce qu’une bonne couverture d’une abstraction ?

Il existe de nombreux crit ères de couverture d’une abstraction de syst ème : on peut par exemple vouloir g én érer des tests permettant d’observer tous les év énements, ou l’espace d’ état complet de ce syst ème abstrait, ou les deux, etc. Le probl ème de d éterminer la qualit é de la couverture d’une abstraction et d’un objectif de test reste un probl ème ouvert auquel on tentera d’apporter des él éments de r éponse.

1.3/ P

LAN DE THESE

`

Ce m émoire est d écompos é en trois parties.

La premi ère partie d écrit le sujet, le contexte scientifique des travaux pr ésent és ainsi que les travaux et concepts existants constituant le cadre dans lequel cette th èse s’inscrit.

Le chapitre courant, le chapitre 1, est consacr é à l’introduction du sujet ainsi qu’ à l’ énonciation des probl ématiques qui en d écoulent.

Lechapitre 2pr ésente le contexte scientifique n écessaire à la compr éhension des contributions de cette th èse. Les structures, les concepts importants et les notations manipul é(e)s tout au long de cette th èse y sont introduits.

Lechapitre 3pr ésente le cadre dans lequel les travaux de cette th èse s’inscrit. Il consti- tue un état de l’art en d étaillant les travaux existants dans la litt érature et dont les objectifs s’apparentent aux n ôtres.

La deuxi ème partie d étaille les contributions de cette th èse à la g én ération de tests à partir d’abstraction de mod èles.

Le chapitre 4 pr ésente une m éthode (appel ée CXP) efficace de calcul d’une sous- approximation d’un syst ème év énementiel. A partir de cette sous-approximation, on g én ère des tests dont l’objectif est de couvrir tous les états et toutes les transitions d’un syst ème abstrait au moins une fois.

Lechapitre 5 pr ésente une m éthode (appel éeBCI) faisant usage d’informations d’atteignabilit é des s équences de transitions qui constituent un syst ème abstrait. A l’aide de ces informations,BCIcompl ète la sous-approximation obtenue avec la m éthodeCXP. Le chapitre 6 propose un m éthode (appel ée RCXP) permettant de couvrir les états et transitions d’un syst ème abstrait qui n’auraient pas ét é couvertes avec CXP. RCXP compl ète la sous-approximation calcul ée parCXPpar des états et transitions jug és pertinents par le testeur.

Lechapitre 7 propose une m ´ethode `a suivre pour savoir quel(s) algorithme(s) de calcul d’une sous-approximation appliquer selon la situation et comment l’appliquer.

Le chapitre 8 pr ésente l’outil de g én ération de tests d évelopp é pour appliquer les diff érents algorithmes constituant les contributions de cette th èse et évaluer exp érimentalement ces m éthodes. Ce chapitre pr ésente également les r ésultats obtenus avec cet outil sur un ensemble de syst èmes év énementiels mod élis és en B év énementiel.

La troisi ème partie conclut ce m émoire et expose les perspectives des travaux pr ésent és. Lechapitre 9pr ésente une conclusion g én érale sur les contributions et leur capacit é à r épondre aux questions de recherche. Lechapitre 10sugg ère des pistes de recherche à explorer dans la continuit é des travaux effectu és lors de cette th èse.

(18)

C ONTEXTE SCIENTIFIQUE

Ce chapitre d écrit le contexte scientifique sur lequel les travaux pr ésent és dans cette th èse s’appuient. Les syst èmes év énementiels sont le cadre formel pour mod éliser des syst èmes r éactifs. Ce sont les principaux syst èmes sur lesquels s’appliquent les contributions de cette th èse. Ils sont pr ésent és en section 2.1 avec un exemple fil rouge qui per- mettra d’illustrer les d éfinitions et concepts utilis és sur l’ensemble de cette th èse. La section 2.2 pr ésente le concept d’abstraction par pr édicats qui permet de concentrer l’ étude sur une partie d’un syst ème év énementiel et non sur l’ensemble de ses comportements mod élis és. L’abstraction par pr édicats engendre des syst èmes ditabstraits. Structurelle- ment, il s’agit de syst èmes de transitions modaux qui sont pr ésent és en section 2.3. Les travaux effectu és dans le cadre de cette th èse visent à couvrir les états et les transitions qui composent les syst èmes de transitions modaux selon divers crit ères de couverture pr ésent és en section 2.5. Enfin, la section 2.6 pr ésente le langage de propri ét és temporelles utilis é pour exprimer des objectifs de test sur les syst èmes év énementiels.

N.B.Dans cette th èse, tous les acronymes utilis és pour raccourcir et simplifier les notations proviennent de la version en anglais des concepts qu’ils d écrivent. Par exemple, les syst èmes év énementiels seront not és ES pourEvent Systems.

2.1/ S

YSTEMES

`

EV

´

ENEMENTIELS

´ :

SYNTAXE

,

SEMANTIQUE ET

´

EXEMPLE

Les contributions de cette th èse sont pr évues pour être appliqu ées à une classe de syst èmes mod élis és par des syst èmes év énementiels d écrits dans le langage B [Abrial, 1996] et pr ésent és par la d éfinition 1. Cette classe est plus g én éralement celle des syst èmes de transitions qui sont la s émantique des syst èmes év énementiels.

D éfinition 1 :Syst ème Év énementiel (ES)

Unsyst ème év énementielest un 4-uplethX,Inv,Init,Evio ù :

• Xest un ensemble de variables d’ ´etat,

• Invest un invariant que chaque ´etat du syst `eme doit respecter,

• Initest une action d’initialisation des variables d’ ´etat du syst `eme,

• Evest un ensemble de d éfinitions d’ év énements sous la formee^{de f}= a, o ùeest le nom de l’ év énement etaest sa d éfinition (l’action qu’il effectue sur les variables d’ état du syst ème).

L’invariant permet a minima de typer les variables d’ ´etat mais peut ´egalement exprimer 17

(19)

des contraintes plus fortes sur les valeurs relatives les unes aux autres que peuvent prendre les diff ´erentes variables.

L’application de l’action d’initialisation attribue une valeur à chaque variable d’ état du syst ème qui se trouve dans un état ditconcret(voir d éfinition 2) etinitial (puisqu’il r ésulte de l’application de l’action d’initialisation). Il peut exister plusieurs états initiaux pour un m ême syst ème év énementiel étant donn é que les actions d’un tel syst ème peuvent don- ner lieu à du non-d éterminisme (en particulier l’action d’initialisation).

D éfinition 2 :Etat concret d’un syst ème év énementiel^´ Soient ES^{de f}= hX,Inv,Init,Eviun syst ème év énementiel.

Un état d’un syst ème év énementielassocie à chaque variablexdeX une valeur dans son domaine de d éfinition, not é Dom(x). Cet état est également consid ér é comme la proposition d éfinie comme la conjonction de ces valuations, d énot ée V

x∈X

x = v_x avec v_x∈Dom(x).

Les actions d’un syst ème év énementiel, qu’il s’agisse de l’action d’initialisation ou de l’action op ér ée par un év énement, modifient la valeur d’une ou plusieurs variables d’ état du syst ème et m ènent donc le syst ème dans un nouvel état concret. Elles appliquent donc une ou plusieurs substitutions sur les variables d’ état du syst ème, et ce de mani ère atomique, c’est- à-dire que toutes les substitutions qu’elles op èrent sont effectu ées ins- tantan ément. Dans le langage B év énementiel, les substitutions sont construites à partir de six substitutions dites primitives pr ésent ées par la d éfinition 3.

D éfinition 3 : Substitutions primitives en B év énementiel [Abrial, 1996, Abrial, 2010]

SoientS,S₁etS₂ etSi_j (aveci,j∈N) des substitutions g én éralis ées, lessubstitutions g én éralis ées du langage de sp écifications Bsont de l’une des six formes suivantes :

1. La substitution neutreskipqui n’affecte pas l’ ´etat auquel elle est appliqu ´ee.

2. La substitution simplex:=Equi modifie la valuation (ici par la valeur de l’expres- sionE) d’une unique variable d’ état (icix) de l’ état auquel elle est appliqu ée.

3. La substitution multiple x,y, ... := E,F, ... qui modifie la valuation (ici par E,F, ...

respectivement) de plusieurs variables d’ état (ici x,y, ...) de l’ état auquel elle est appliqu ée. Cette substitution est également not éex:=E||y:=F||....

4. La substitution gard éeP ⇒ S qui applique une substitution g én éralis ée (iciS) à l’ état auquel elle est appliqu ée à condition que la garde Psoit satisfaite par cet

´etat.

5. Le choix born é non d éterministeS₁ []S₂ []...[] Sn avecn ∈ Nqui applique, de mani ère non d éterministe, l’une des substitutions g én éralis ées qui le composent (iciS₁ ouS₂ou...ouSn) dont la garde est satisfaite par l’ état auquel le choix est appliqu é.

6. Le choix non born é et non d éterministe @i.S qui correspond aux choix non d éterministe Si₀ [] Si₁ [] ... pour toutes les valeurs de i ∈ {i₀,i₁, ...} satisfaisant la garde de la substitutionS.

L’atomicit é des substitutions r éalis ées par les actions est importante car les év énements d’un syst ème év énementiel sont d éclench és spontan ément et de mani ère non d éterministe lorsque le syst ème se trouve dans un état satisfaisant leur garde. Une fois qu’un év énement est d éclench é, aucun autre év énement n’est donc d éclench é avant que toutes les substitutions op ér ées par son action n’aient ét é r éalis ées. Les gardes des sub-

(20)

stitutions primitives, not ées grd(S) o ù S est une substitution primitive, sont pr ésent ées par la d éfinition 4.

D ´efinition 4 :Gardes des substitutions primitives [Dijkstra et al., 1990]

Lesgardes des substitutions primitivessont les suivantes : 1. grd(skip)^{de f}= vrai,

2. grd(x:=E)^{de f}= vrai,

3. grd(x,y, ...:=E,F, ...)^{de f}= vrai, 4. grd(P⇒S)^{de f}= P∧grd(S),

5. grd(S1[]S₂[]...[]Sn)^{de f}= grd(S1)∨grd(S2)∨...∨grd(Sn), 6. grd(@i.S)^{de f}= ∃(i).(grd(S)).

Certaines substitutions peuvent être effectu ées sans contraintes. C’est le cas de la substi- tutionskip, qui n’effectue aucune modification des valeurs des variables d’ état du syst ème et de la substitution simple et multiple. La garde de ces substitutions est donc toujours vraie. Comme son nom l’indique, la substitution gard éeP⇒S requiert en revanche que la garde Psoit v érifi ée par l’ état dans lequel le syst ème se trouve pour que la substitution S puisse être appliqu ée, à condition que la garde de cette derni ère soit également v érifi ée. Dans le cas du choix born é non-d éterministe, il faut que la garde de l’une des substitutions qui la composent soit v érifi ée pour que cette substitution soit appliqu ée.

Si les gardes de deux substitutions ou plus sont satisfaites, l’une de ces substitutions est appliqu ée de mani ère non-d éterministe. Enfin, le choix born é non d éterministe n’est appliqu é que s’il existe une variable li ée satisfaisant la garde de la substitution qui le compose.

On associe à chaque substitution g én éralis ée un pr édicat avant-apr ès (not é prd_X(S) o ù S est une substitution g én éralis ée). Ce pr édicat s’exprime sur un couple d’ états cons écutifs : l’ état (ou les états) dans lequel le syst ème doit se trouver avant que la substitution puisse être appliqu ée et l’ état (ou les états) dans lesquels le syst ème se trouvera apr ès son application. Le concept de pr édicat avant-apr ès est pr ésent é par la d éfinition 5.

2.1.1/ SATISFIABILITE MODULO TH´ EORIES´

L’impl émentation d’un algorithme utilisant la technique d’abstraction par pr édicats repose g én éralement sur l’emploi de solveurs de contraintes dits SMT (pour Satisfiabilit é Mo- dulo Th éories). De tels solveurs permettent de d éterminer la satisfiabilit é ou la non- satisfiabilit é de formules exprim ées en logique du premier ordre. Une formule est dite satisfiables’il est possible de trouver une interpr étation (on parle alors demod èle) qui la rend vraie.

Soit φ une formule logique du premier ordre. On utilise dans la suite de ce m émoire la notation SAT(φ) pour d éterminer si la formule φ est satisfiable. SAT(φ) masque donc un appel à un solveur SMT qui retourne soit un mod èle lorsqueφ est satisfiable, soitunsat lorsqueφn’est pas satisfiable, soitunknownsi le solveur n’est pas parvenu à d éterminer siφ était satisfiable ou non.

(21)

D éfinition 5 :Pr édicat avant-apr ès

Unpr édicat avant-apr èsest un pr édicat portant sur un ensemble de variables d’ état d’un syst ème. Il contraint les valuations possibles des variables avant et apr ès application d’une substitution.

SoitXun ensemble de variables d’ état d’un syst ème év énementiel. On utilise le nom de la variable pour d ésigner cette variableavantapplication d’une substitution et la notation prim ée pour d ésigner cette variableapr èsapplication d’une substitution.

Les pr édicats avant-apr ès des substitutions g én éralis ées sont alors d éfinis comme suit :

• prd_X(skip)^{de f}= V

x∈X

x⁰=x,

• prdX(x:=E)^{de f}= x⁰=E∧ V

y∈X−{x}

y⁰=y,

• prdX(x,y, ...:=E,F, ...)^{de f}= x⁰=E∧y⁰=F∧...∧ V

z∈X−{x,y,...}z⁰=z,

• prdX(P⇒S)^{de f}= P∧prdX(S),

• prd_X(S₁[]S₂)^{de f}= prd_X(S₁)∨prd_X(S₂),

• prdX(@i.S)^{de f}= ∃(i).prdX(S)siin’est pas modifi ´ee parS,

• prdX(@i.S)^{de f}= ∃(i,i⁰).prdX∪{i}(S)siiest modifi ´ee parS et intervient donc dans la relation prdX∪{i}(S).

Par exemple, soithX,Inv,Init,Eviun syst ème év énementiel o ù :

• X^{de f}= {x,y},

• Inv^{de f}= x∈ {0..1} ∧y∈ {0..1},

• Init^{de f}= x:=0||y:=1,

• Ev^{de f}= {e^{de f}= x=0∧y=1⇒x:=y||y:=x}.

Le pr édicat avant-apr ès de l’unique év énement de ce syst ème est le suivant :

prdX(e)^{de f}= x=0∧y=1∧x⁰=y∧y⁰=x

La notation(c,c⁰) :=SAT(Inv∧Inv[^X⁰/X]∧prdX(e))indique alors que le tuple(c,c⁰)est le mod èle retourn é par l’appel au solveur SMT avec la formule prdX(e)tout en respectant l’invariant Inv et l’invariant dans lequel toutes les variables de X sont prim ées (not é Inv[^X⁰/X]). En l’occurrence, le mod èle retourne une valuation pour chaque variable non prim ée (x=0et y=1) et pour chaque variable prim ée (x⁰=y=1ety⁰= x=0).

L’ état concret c est alors la conjonction des valuations des variables non prim ées du mod èle, et c⁰ est la conjonction des valuations des variables prim ées du mod èle. On aura ainsi c^{de f}= x=0∧y=1 etc⁰ ^{de f}= x=1∧y=0. On note que m ême si c⁰ correspond à la conjonction des valuations des variables prim ées dans le mod èle, il s’agit quand m ême d’un état concret et donc les valuations portent sur les variables de X, et non pas sur les variables deXprim ées.

Si le solveur SMT n’est pas parvenu à d éterminer la satisfiabilit é de la formule Inv∧ Inv[^X⁰/X]∧prdX(e) ou qu’il a d étermin é que la formule n’ était pas satisfiable, on consid ère que (c,c⁰) vaut unknown ou unsat (donc (c,c⁰) ∈ {unknown,unsat}) afin de simplifier les notations.

N.B. Afin d’all éger les notations, tous les appels àSAT, on consid ère que l’invariantInvet l’invariant prim éInv[^X⁰/X]font implicitement partie de la formule dont la satisfiabilit é doit être v érifi ée. En effet, tout état retourn é dans le mod èle doit se conformer à l’invariant.

Ainsi,SAT(prdX(e))correspond `a l’appel au solveur suivant :SAT(Inv∧Inv[^X⁰/X]∧prdX(e)).

(22)

2.1.2/ S ´EMANTIQUE D’UN SYSTEME` EV´ ENEMENTIEL´

La s émantique d’un syst ème év énementiel est d éfinie par un syst ème de transitions

étiquet ées (not é LTS pour Labelled Transition System). La d éfinition 6 pr ésente le concept standard de LTS qui est un quadruplethC,C₀,L,Rio ùC₀est un ensemble d’ états initiaux,Cest un ensemble d’ états contenantC₀,Lest un ensemble d’ étiquettes etRest une relation de transitions étiquet ées qui est un sous-ensemble deC×L×C. Une transition est un triplet(c,e,c⁰)(on note aussic→−ê c⁰) o ùcest un état source,c⁰un état cible et eune étiquette indiquant le nom de l’ év énement appliqu é pour effectuer le changement d’ état dec àc⁰.

D éfinition 6 :Syst ème de Transitions Étiquet ées (LTS)

Unsyst ème de transitions étiquet éesest un 4-uplethC,C₀,L,Rio ù :

• Cest un ensemble d’ ´etats

• C₀⊆Cest un ensemble d’ ´etats initiaux

• Lest un ensemble d’ ´etiquettes

• R⊆C×L×Cest une relation de transitions

La s émantique d’un syst ème év énementiel est le LTS qui lui est associ é comme indiqu é par la d éfinition 7 issue des travaux de [Bert et al., 2000]. Son ensemble d’ états concrets est l’ensemble des n-uplets de valuations de X qui satisfont l’invariant du syst ème

év énementiel. L’invariant d éfinit le domaine de valeurs de chaque variable de X ainsi que des contraintes sp écifiques au cas d’ étude.

D éfinition 7 :S émantique d’un syst ème év énementiel

Etant donn é un syst ème év énementiel ES´ ^{de f}= hX,Inv,Init,Evi, sa s émantique est un LTS^{de f}= hC,C₀,L,Rio ù :

• C ^{de f}= {V

x∈X

x = vx | vx ∈ Dom(x)∧SAT(V

x∈X

x =vx∧Inv)}est l’ensemble des ´etats concrets qui satisfont l’invariantInv,

• C₀^{de f}= {c|c∈C∧SAT(prdX(Init)∧c[^X⁰/_X])=sat}est l’ensemble des ´etats concrets initiaux obtenus par application de la substitution d’initialisationInit,

• L^{de f}= {e|e^{de f}= a∈Ev}est l’ensemble des noms d’ ´ev ´enements de ES,

• R^{de f}= {c→−^e c⁰|c∈C∧e^{de f}= a∈Ev∧c⁰∈C∧SAT(prd_X(a)∧c⁰[^X⁰/_X]∧c)=sat}est la relation de transitions concr `etes.

D éfinition 8 :Atteignabilit é concr ète

Un ´etat concretc⁰est dit atteignablesi une transition c₀ →−^e c⁰ avecc₀ ∈ C₀ appartient

à la cl ôture transitive et r éflexive de R. Une transition c→−ê c⁰ ∈ R est également dite atteignablesi son état sourcecest lui-m ême atteignable.

On qualifie les états concrets et les transitions concr ètes d’atteint(e)slorsqu’il existe une s équence de transitions du CTS qui y m ène en partant d’un état concret initial (un état deC₀).

Les états initiaux d’un syst ème év énementiel sont les états c atteints (voir d éfinition 8) par application de la substitution d’initialisation Init. L’ étatc étant l’ état cible, il doit être prim é pour être consistant avec le pr édicat avant-apr ès deInit. La notationc[^X⁰/X]d éfinit un état cible obtenu à partir de l’ étatc en primant chacune des variables. Par exemple,

étant donn é l’ étatc^{de f}= x1=v1∧...∧xn=vn avecn=|X|,c[^X⁰/X]est l’ étatx⁰₁=v1∧...∧x⁰_n=vn.

(23)

Les transitions du LTS s émantique d’un syst ème év énementiel sont tous les triplets (c,e,c⁰) qui satisfont le pr édicat avant-apr ès pour chaque év énement e ^{de f}= a. Autrement dit,csatisfait la garde dea(grd(a)) et l’application dea àcm ène à l’ étatc⁰.

2.1.3/ EXEMPLE FIL ROUGE

Afin d’illustrer les d éfinitions et les concepts d éj à vus et à venir dans la suite de cette th èse, on pr ésente ici un exemple fil rouge de syst ème év énementiel. Cet exemple, pr ésent é par la figure 2.1, mod élise le comportement d’un distributeur de caf é en langage B év énementiel.

X ^{de f}= {Balance,Pot,Status,CofLeft,AskCof,AskChange}

Inv ^{de f}= Pot∈0..MAX POT+50∧Balance∈0..MAX BAL∧

CofLeft∈0..MAX COF∧Potmod50=0∧Balancemod50=0∧

Status∈ {off,on,error} ∧AskCof∈ {false,true} ∧AskChange∈ {false,true} ∧ AskChange=true⇒(Balance>0∧AskCof=false)∧

AskCof=true⇒(Balance≥50∧AskChange=false)∧ Balance=0⇒(AskCof=false∧AskChange=false) Init ^{de f}= Balance:=0||Pot:=0||CofLeft:=10||

Status:=off||AskCof:=false||AskChange:=false -insert50 ^{de f}= Status=on∧AskChange=false∧AskCof=false∧

Balance+50≤MAX BAL⇒Balance:=Balance+50 -insert100 ^{de f}= Status=on∧AskChange=false∧AskCof=false∧

Balance+100≤MAX BAL⇒Balance:=Balance+100 -powerUp ^{de f}= Status=off∧CofLeft>0∧Pot≤MAX POT⇒

Status:=on||Balance:=0||AskCof:=false||AskChange:=false -powerDown ^{de f}= (Status=on∧AskChange=false∧AskCof=false∧Balance=0)∨

Status=error⇒Status:=off -autoOut ^{de f}= Status=on⇒Status:=error

-takePot ^{de f}= Status=off∧Pot≥MAX POT−50⇒Pot:=0 -cofReq ^{de f}= Status=on∧Balance≥50∧AskCof=false∧

AskChange=false⇒AskCof:=true -changeReq ^{de f}= Status=on∧Balance>0∧AskCof=false∧

AskChange=false⇒AskChange:=true -addCof ^{de f}= ∃x.(x∈1..MAX COF∧CofLeft+x≤MAX COF∧

Status=off⇒CofLeft:=CofLeft+x)

-serveCof ^{de f}= Status=on∧Balance≥50∧AskCof=true∧CofLeft>0∧Pot≤MAX POT⇒ AskCof:=false||Balance:=Balance−50||

CofLeft:=CofLeft−1||Pot:=Pot+50||

(Pot≥MAX POT∨CofLeft=1⇒Status:=error[]

Pot+50≤MAX POT∧CofLeft,1⇒skip)||

(Balance>50⇒AskChange:=true[]Balance=50⇒skip)

-backBalance ^{de f}= Status=on∧Balance>0∧AskChange=true⇒Balance:=0||AskChange:=false

FIGURE2.1 – Sp écification d’un distributeur de caf é en B év énementiel

Les constantes utilis ées par ce syst ème, dont la valeur est fix ée arbitrairement, ont la signification suivante :

• MAX BAL : il s’agit de la quantit é maximale d’argent que l’utilisateur peut ins érer dans le distributeur avant de demander un caf é ou de r écup érer son argent,

• MAX POT : il s’agit de la quantit ´e maximale d’argent que la machine peut contenir,

• MAX COF : il s’agit du nombre maximal de caf és pouvant être stock és (et vendus) par la machine.