Projet : EP-ATR - Projet Esprit Sacres, convention n°195C4170031307006 (11/1995-01/1999)

Projet : EP-ATR

Précédent : EdF, convention EDF-Inria n°197C9810031307011 (12/1997-03/1998) Remonter : Contrats industriels (nationaux, européens et Suivant : Projet Esprit Syrf, convention n°197G04900MPG211

Sous-sections

Projet Esprit Sacres, convention n°195C4170031307006 (11/1995-01/1999)

Participants : Jean-René Beauvais, Albert Benveniste, Loïc Besnard, Thierry Gautier, Paul Le Guernic, Sylvain Machard, Éric Rutten, Yan-Mei Talpin-Tang.

Mots clés : système enfoui, méthode formelle, format commun, DC+, Signal, Statecharts, Sildex, avionique, génération de code enfoui, code distribué, compilation séparée, vérification, validation de code .

Résumé :

Le projet Esprit Sacres («Safety Critical Embedded Systems: From Requirements to System Architecture») a pour objectif, dans une perspective de commercialisation de ses résultats, de fournir aux concepteurs de systèmes critiques embarqués une nouvelle méthodologie permettant de réduire significativement le risque d'erreurs et le temps de conception. L'approche proposée est multi-formalisme et s'appuie sur des outils industriels existants, Statemate et Sildex notamment, pour lesquels des outils de vérification formelle et de génération de code réparti doivent être intégrés. Le vecteur de cette intégration est le format commun DC+.

http://www.tni.fr/sacres

Présentation générale

Le projet Esprit 20897 IT ( R&D) Sacres a débuté en novembre 1995 et s'est vu prolonger de la mi-novembre 1998 jusqu'au 15 janvier 1999. Il regroupe les organismes suivants : Siemens ( RFA), British Aerospace (Grande-Bretagne), i-Logix (Grande-Bretagne), Inria (France), Offis ( RFA), Snecma (France), TNI (France) et le Weizmann Institute (Israël).

Le but du projet est de fournir aux concepteurs de systèmes embarqués, en particulier de systèmes critiques sûrs de fonctionnement, une meilleure méthodologie de conception permettant de réduire significativement tant le risque d'erreurs que le temps de conception. Pour cela, la validation des spécifications initiales doit se faire à l'aide d'outils de vérification formelle intégrés, et les phases de génération de code, réparti notamment, doivent être automatisées.

L'approche proposée est multi-formalisme. Elle s'appuie sur un certain nombre d'outils existants : Statemate/Statecharts, Sildex/Signal, Sildex/ Grafcet, Timing Diagrams. Les résultats du projet devront pouvoir être commercialisés par les partenaires industriels vendeurs (i-Logix et TNI) et utilisés avec succès par les partenaires industriels utilisateurs (British Aerospace, Siemens et Snecma).

L'architecture de l'environnement Sacres, illustrée dans la figure 6, montre qu'entre les langages à la disposition des utilisateurs, les outils de vérification, de validation et ceux de génération de code, le format d'échange DC+ joue un rôle central.

**Figure 6:** Architecture globale de l'environnement Sacres
$\begin{figure} \centerline {\psfig{figure=sacres.eps,height=12cm}} \end{figure}$

Le format d'échange DC+

Le format DC+, issu des travaux du projet européen Synchron, sert de vecteur commun de représentation, pour des programmes (et des propriétés) décrits complètement ou partiellement à l'aide de Signal ou de Statecharts, et à destination d'outils de vérification et de génération de code.

**Figure 7:** *L'architecture DC+*
$\begin{figure} \centerline {\psfig{figure=dc.eps,height=10cm}}\end{figure}$

Différents niveaux de DC+, ou sous-formats, ont été identifiés (voir figure 7). La caractérisation de ces différents niveaux et des transformations inter-niveaux (ou inter-formats), a pour objectif d'adapter une représentation aux fonctions qui peuvent lui être appliquées.

Ainsi, le sous-format b DC+ (pour «boolean DC+»), dans lequel les horloges, représentées comme des flots booléens, sont organisées en une hiérarchie pour laquelle il existe une horloge maîtresse, est le point d'entrée adéquat pour des outils s'appuyant sur la hiérarchie des horloges, comme par exemple des générateurs de code.

Le sous-format STS (pour «Symbolic Transition Systems») de b DC+, dans lequel la hiérarchie des horloges est plate (le statut présent/absent d'un signal est défini à tout instant par un booléen), est utilisé en entrée d'outils de vérification.

Les transformations inter-formats, DC+ $\rightarrow$ b DC+ et b DC+ $\rightarrow$ STS ont été définies et mises en oeuvre.

La transformation DC+ $\rightarrow$ b DC+ consiste en :

l'adjonction d'une horloge racine, tick, si le compilateur ne l'a pas synthétisée; dans ce cas, des signaux booléens sont ajoutés en tant qu'entrées du programme (reparamétrisation du système d'équations);
le remplacement des signaux purs par des signaux booléens (y compris sur les entrées-sorties); dans le cas où un signal pur d'entrée est contraint dans le programme, il disparaît des entrées et le booléen représentant son horloge devient alors une sortie du programme.

La transformation b DC+ $\rightarrow$ STS consiste alors en :

la mémorisation à l'horloge tick de tous les signaux retardés (horloge d'état);
l'extension de toutes les horloges booléennes à tick (complément par la valeur false).

Les transformations sur le format DC+ sont mises en oeuvre dans le cadre, désormais commun, de la machine virtuelle DC+ et du compilateur Signal (voir section 6.1).

Activités de EP-ATR dans le cadre du projet Sacres

Nos activités dans Sacres ont porté cette année notamment sur les points suivants :

Poursuite de l'intégration des langages de Statemate à l'environnement DC+ (voir section 6.4), et de sa mise en oeuvre sous la forme d'un traducteur en format commun DC+ [[47],[52]].
Préparation à la vérification de niveau système, par la traduction des aspects structurels d'une application décrite dans le format DC+ vers le formalisme de spécification au niveau système SSL, point d'entrée des outils de vérification développés par Offis [[50]].
Finalisation d'une méthodologie d'utilisation de l'environnement Sacres, intégration dans le processus de conception des utilisateurs [[48]].
Continuation des travaux de définition et de mise en oeuvre autour du format commun DC+ (voir section 6.4).
Participation aux discussions avec le Weizmann Institute concernant la validation du code généré par la compilation des spécifications.
Développement des algorithmes de génération de code sur la machine virtuelle DC+ (booléanisation des événements, séquentialisation/ordonnancement des calculs, production de code C ou Ada).
Étude de méthodes de distribution de programmes à partir de leur modèle DC+ : fonction d'allocation, marquage du graphe DC+, extraction de sous-graphes, génération de code pour les communications. La modélisation d'architectures au moyen de DC+ a aussi été étudiée.
Concernant le transfert de technologie et la diffusion et l'exploitation des résultats, nous avons participé à l'organisation et à la réalisation de rencontres avec un groupe d'industriels sensibilisés à l'approche Sacres, en vue d'établir des coopérations techniques autour de l'utilisation de l'environnement, en entier ou par parties. Nous avons aussi participé à la diffusion par la présentation d'exposés dans des conférences.
Par ailleurs nous participons à la gestion générale du projet (par exemple le site ftp, localisé à l'Irisa).