Participants : Gérard Le Lann, Pascale Minet
La méthodologie TRDF est une méthodologie de Génie Système.
Elle a pour but d'imposer et de faciliter l'énoncé de preuves de
conception et de dimensionnement corrects des systèmes
informatiques. De telles preuves sont essentielles dans le cas
des applications temps réel critiques complexes. Elles sont
établies par recours à des disciplines variées (théorie des
graphes, théorie de la sérialisabilité, théorie de
l'ordonnancement, algèbre (max, +), raisonnements d'adversité,
etc.). Les preuves ont pour but de permettre de démontrer que les
propriétés logiques et physiques contenues dans une spécification
d'implantation de système, notée 
, satisfont les objectifs logiques et physiques
contenus dans une spécification de besoins applicatifs, notée
. La notation
signifie que l'on
exige les propriétés N sous hypothèse n. Toute
spécification est constituée de deux parties, une partie logique
et une partie physique. Ainsi, par exemple, 
. Des propriétés logiques 
peuvent être obtenues par une
conception, notée 
,
qui consiste à donner des hypothèses 
(modèles de calcul, de système, lois
d'activations, types de défaillances, etc.) et un algorithme
TRDF. Une conception 
est prouvée correcte si l'on a : 
et 
.
Les preuves de propriétés conférées par un algorithme imposent
d'exprimer des fonctions dites caractéristiques, comme des bornes
supérieures sur les temps de réponse ou des bornes inférieures
sur des degrés de redondance ou sur des probabilités de respect
d'hypothèses. L'établissement de preuves impose également
d'exprimer des conditions de faisabilité. Un sous-ensemble des
variables entrant dans l'expression des fonctions
caractéristiques et des conditions de faisabilité sont dites
d'implantation (par exemple, vitesses des processeurs, capacités
mémoire, débits des canaux E/S, etc.). Soit 
l'opération de quantification des
variables d'implantation, appelée dimensionnement. Un
dimensionnement (de conception) permet de quantifier les
propriétés et les hypothèses, c'est-à-dire d'obtenir des
propriétés physiques. Un dimensionnement 
est prouvé correct si l'on a :
et 
.
Donc, 
étant la
spécification de 
, on
prouve que 
implique
vis-à-vis des
propriétés logiques et physiques. La réalisation du système qui
implante correctement 
peut alors être entreprise, selon des méthodes appropriées (qui
ne sont pas du ressort de la méthodologie TRDF).
La méthodologie TRDF n'impose ni n'interdit aucun formalisme ou langage de programmation particulier. Elle doit être utilisée conjointement avec des méthodologies de Génie Logiciel (par exemple, pour établir des preuves formelles de programmes fonctionnels/impératifs). Les spécifications manipulées actuellement ne sont pas exprimées dans un système formel.
Nous avons mis en oeuvre cette méthodologie dans le cadre d'une application d'avionique modulaire (contrat DRET en partenariat avec Dassault Aviation (DA)).
DA nous a fourni 
(
n'est que
partiellement spécifié car DA doit pouvoir modifier les objectifs
physiques à sa guise). Nous avons élaboré une conception
contenant une
algorithmique composite TRDF (voir §.4.3) et exprimé les
conditions 
telles que
l'on a bien 
et
.
Par ailleurs, nous avons progressé dans l'identification des
spécifications logiques 
des problèmes TD/TF en général et proposé une
caractérisation non ambigüe des énoncés 
sous lesquelles un problème applicatif
appartient à la classe des problèmes temps réel (TR).