Towards a modular architecture of formal modelling : system/sub-systems decomposition in event-B
Vers une architecture modulaire de modélisation formelle : décomposition système/sous-systèmes en B événementiel
Résumé
The activities of analysis and modelling of critical systems, such as railway systems, are large-scale tasks requiring rigorous mechanisms. Founded on mathematical bases, formal methods can help to rigorously conduct these activities and reduce the ambiguity of the specifics of these systems. The Event-B method is one of the most widely used and recommended methods for system modelling. The central mechanism of Event-B system modelling is refinement. Indeed, the refinement consists in detailing abstract specifications in order to obtain more concrete specifications. In addition, the refinement process must be proven in order to ensure consistency and correctness of the system modelling between two levels of refinement. Although the Event-B method has a refinement mechanism to move from an abstract level to a finer level of granularity, the formal models for such systems are often complex and large. In addition, it is difficult to communicate around these models between the different trades (business experts in the field, system engineers, subsystems engineers, etc.) and to manage the different provided bricks of the system. This requires, in the majority of cases, a manual intervention ensuring the synergy between these actors.In order to have better communication and management, the decomposition has emerged as a technique that complements refinement. This mechanism aims to reduce the complexity of the initial model by its partitioning into sub-models, and consequently to facilitate formal verification activities. In the literature, the proposed decomposition approaches have some limitations regarding the industrial needs expressed in the context of critical systems, among others, system/sub-systems reasoning. The application of these approaches on such systems is particularly difficult and requires intermediate stages of refinement. Indeed, these decomposition methods can lead to a loss of some properties of the system such as security properties and/or an inconsistency of the behaviour expressed in the sub-models with that of the initial model.On the basis of this problematic, the thesis subject is focused on the definition of a new modular approach for modelling critical systems based on the Event-B decomposition. This approach focuses on the decomposition of a system into several sub-systems while preserving the behaviour of the overall system. This is ensured by the definition of new semantic links as well as new rules for the generation of the associated proof obligations. The correctness of the proposed approach is ensured by demonstrating that the set of resulting components, after decomposition, constitutes a refinement of the initial decomposed system. This methodology is illustrated by a concrete case study from the rail sector
Les activités d’analyse et de modélisation des systèmes critiques, tels que les systèmes ferroviaires, constituent des tâches d’envergure nécessitant des mécanismes rigoureux. Fondées sur des bases mathématiques, les méthodes formelles peuvent aider à mener rigoureusement ces activités et à réduire l'ambiguïté des spécificités de ces systèmes. La méthode B événementiel fait partie des méthodes les plus utilisées et recommandées pour la modélisation système. Le mécanisme central d’une modélisation système en B événementiel est le raffinement. En effet, le raffinement consiste à détailler des spécifications abstraites afin d'obtenir des spécifications plus concrètes. En outre, le processus de raffinement doit être prouvé afin d'assurer la cohérence et la correction de la modélisation du système entre deux niveaux de raffinement. Bien que la méthode B événementiel dispose d’un mécanisme de raffinement permettant de passer d’un niveau abstrait à un niveau de granularité plus fine, les modèles formels pour de tels systèmes sont souvent complexes et volumineux. En outre, il est difficile de communiquer autour de ces modèles entre les différents corps de métier (les experts métier du domaine, les ingénieurs système, les ingénieurs sous-systèmes, etc.) et de gérer les différentes briques du système fournies. Ceci nécessite, dans la majorité des cas, une intervention manuelle assurant la synergie entre ces acteurs.Dans le but d’avoir une meilleure communication et gestion, la décomposition est apparue comme technique qui complète le raffinement. Ce mécanisme a pour but de diminuer la complexité du modèle initial en le partitionnant en sous-modèles, et de faciliter par conséquent les activités de vérification formelle. Les approches de décomposition proposées dans la littérature ont quelques limitations au vu des besoins industriels exprimés dans le cadre des systèmes critiques, entre autres, le raisonnement système/sous-systèmes. L’application de ces approches sur de tels systèmes est particulièrement difficile et exige des étapes intermédiaires de raffinement. En effet, ces méthodes de décomposition peuvent entraîner une perte de quelques propriétés du système comme les propriétés de sécurité ou une incohérence du comportement exprimé dans les sous-modèles avec celui du modèle initial.Sur la base de cette problématique, le sujet de thèse est focalisé sur la définition d’une nouvelle approche modulaire de modélisation des systèmes critiques basée sur la décomposition en B événementiel. Cette approche porte sur la décomposition d’un système en plusieurs sous-systèmes en préservant le comportement du système global. Cela est assuré par la définition de nouveaux liens sémantiques ainsi que de nouvelles règles pour la génération des obligations de preuve associées. La correction de l’approche proposée est assurée en démontrant que l’ensemble des composants résultants, après la décomposition, constitue un raffinement du système initial décomposé. Cette méthodologie est illustrée par un cas d’étude concret issu du secteur ferroviaire
Origine : Version validée par le jury (STAR)