Précédent : Résultats nouveaux Remonter : Résultats nouveaux Suivant : Maintien de la cohérence dans
Précédent : Résultats nouveaux Remonter :
Résultats nouveaux
Suivant : Maintien de la cohérence dans
Participant : Gérard Le Lann.
Mots clés : génie système, méthode, capture, conception, dimensionnement, preuve, solution générique .
Les travaux sur la méthode TRDF ont été poursuivis [[16]]. On a étudié tout particulièrement le découplage entre modèle de calcul en phase de conception et modèle de calcul en phase de dimensionnement pour un problème de type distribué temps réel critique [[15]], découplage permis selon la méthode, qui fut proposé pour la première fois en [[6]] et mis en application pour le contrat ATR (cf. § 6).
Pour ce qui concerne la capture de problèmes applicatifs, la définition des modèles événementiels arbitraires unimodal et multimodal a été généralisée, en introduisant un paramètre de sporadicité. La borne supérieure d'une densité d'arrivées d'un événement est à présent définie par le triplet {w, ar, sp}, où w est une taille de fenêtre temporelle glissante, ar est le nombre maximum d'occurrences de l'événement considéré pouvant exister dans une fenêtre de taille w, et sp est la séparation temporelle minimale entre deux occurrences consécutives. Il est relativement trivial de démontrer que ce modèle domine les modèles classiques périodique ou sporadique (de période ou d'intervalle sp).
Les débats sur les causes de la défaillance du vol 501 d'Ariane 5 n'étant toujours pas clos [RIS,SCS], nous avons poursuivi notre analyse [[7]], et développé un nouvel argument établissant que la racine de l'arbre causal qui conduit à la défaillance est une faute de capture des besoins technologiques du lanceur Ariane 5 [[19]], et non pas une ou des erreurs de conception ou d'implantation logicielle, et ce en accord avec d'autres analyses [Lad98].
Pour ce qui concerne la conception système, nous avons étudié
les rapports décrivant les arrêts intempestifs du système
embarqué de la mission Mars PathFinder. Ces arrêts étaient dûs au
non-respect d'une borne de 125 ms spécifiée (par NASA/JPL) pour
le cycle d'exécution d'une tâche appelée bc
. Le viol de cette propriété de ponctualité a pour
cause le choix fait a priori par Wind River de positionner à faux
le booléen qui représente l'option ``héritage de priorité''
offerte par VxWorks. D'où l'illusion qu'il s'agit d'un ``problème
de logiciel''.
Si des obligations de preuves de conception correcte avaient été développées par Wind River, ou exigées par NASA/JPL, des conditions de faisabilité (CF) auraient été disponibles et un oracle de faisabilité aurait été réalisé (voir ci-dessous).
Ainsi en phase de dimensionnement de système, l'oracle de faisabilité (un outil qui vérifie si les CF sont satisfaites) aurait permis de voir, sans avoir à tester le système, et avant l'envoi de la sonde, que la borne de 125 ms est satisfaite (resp., ne l'est pas) si le booléen ``héritage de priorité'' est mis à vrai (resp., mis à faux) [[19]].
Ces travaux sont très proches de ceux portant sur les notions de ``contrats'' développés au CNET pour les nouveaux réseaux et services [Leb98].