Une définition alternative du monitoring - Monitorabilité dans la classification Safety-Progres

4.2 Monitorabilit´e dans la classiﬁcation Safety-Progress

4.2.2 Une d´eﬁnition alternative du monitoring

4.2 : Monitorabilité dans la classification Safety-Progress Au delà des r-propriétés de type obligation, l’espace des r-propriétés monitorables ne peut être caractérisé simplement comme une classe de la hiérarchie. Il existe desr-propriétés deresponsequi sont monitorables et d’autres qui ne le sont pas. Similairement, nous pouvons trouver des r-propriétés de persistence monitorables, et non-monitorables (e.g., la r-propriété représentée sur la Fig. 4.6). Nous verrons cependant plus loin qu’il est possible de donner une caractérisation exacte dans la vue automate de la classificationSafety-Progress.

Monitorabilité avec B₂. En restreignant B₃ à un domaine de valeurs de vérité de cardinal 2, on s’intéresse uniquement à la détermination positive ou négative. Ce qui réduit ainsi l’ensemble des propriétés monitorables. Cependant, il n’y a pas de caractérisation simple de cet espace de propriétés dans la hiérarchieSafety-Progress.

Intuitivement, on pourrait penser que avec B^⊥₂ ={?,⊥}, l’ensemble desr-propriétés monitorables serait l’ensemble desr-propriétés de safety. Mais en fait, il existe plusieursr-propriétés de safety qui ne peuvent être déterminée négativement. La plus simple d’entre elle est la propriété “toujours vraie”true=(Σ^∗,Σ^ω) qui ne peut bien évidemment ni être déterminée négativement ni même falsifiée. De plus, toutes les r-propriétés de safety qui sont valides pour les séquences d’exécution plus longues qu’un certain rangk ne sont pasσ−B^⊥₂-monitorables lorsque|σ|>k. Pour ce type der-propriétés, un moniteur produirait uniquement une séquence de “ ?” lorsqu’il évaluerait cette propriété sur une séquence donnée.

De fa¸con similaire, il existe pas mal der-propriétés de guarantee qui ne peuvent être positivement déterminées, et ainsi ne sont pas monitorables avecB^⊤₂ ={?,⊤}.

Cependant, dans le Chapitre5 Section5.1, nous donnons un critère syntaxique sur les automates de Streett pour déterminer si uner-propriété (spécifiée par un automate de Streett donné) est monitorable sous ces conditions.

La notion de détermination négative ou positive nous semble intéressante car elle indique les cas où l’observation des continuations d’une séquence d’exécution n’est plus nécessaire lorsque l’on cherche à connaˆıtre la satisfaction vis-à-vis d’une propriété. En revanche l’exigence qu’une propriété doit toujours pouvoir être déterminée négativement ou positivement, exprimée dans la définition de monitorabilité, nous semble trop forte. Nous avions fait ce constat déjà dans [FFM09b]. Ainsi, nous proposons donc une définition alternative de monitoring qui semble mieux correspondre aux besoins d’observation d’un moniteur et aux implémentations existantes d’outils de monitoring. La définition de détermination négative ou positive nous semble toutefois intéressante dans un contexte de test. Ce que nous verrons dans la Section4.4.

PourB^⊥₂ :

[[Π]]B^⊥₂(σ)=⊥si¬Π(σ)∧ ∀µ∈Σ^∞· ¬Π(σ·µ), [[Π]]B^⊥₂(σ)=?dans les autres cas.

PourB₃ :

[[Π]]B3(σ)=⊥si¬Π(σ)∧ ∀µ∈Σ^∞· ¬Π(σ·µ), [[Π]]B3(σ)=⊤siΠ(σ)∧ ∀µ∈Σ^∞·Π(σ·µ), [[Π]]B3(σ)=?dans les autres cas.

PourB^⊤

2 : [[Π]]_B^⊤

2(σ)=⊤siΠ(σ)∧ ∀µ∈Σ^∞·Π(σ·µ),

[[Π]]B^⊤₂(σ)=?dans les autres cas.

PourB₄ :

[[Π]]B₄(σ)=[[Π]]B₃(σ)si[[Π]]B₃(σ)=⊥ou[[Π]]B₃(σ)=⊤, [[Π]]B₄(σ)=⊤_psi[[Π]]B₃(σ)=?etΠ(σ)

[[Π]]B4(σ)=⊥_psi[[Π]]B3(σ)=?et¬Π(σ) Figure4.2 – Évaluation d’uner-propriété dans les différents domaines de vérité le cadreSafety-Progress (cf. Chapitre3).

Evaluation d’une´ r-propriété dans un domaine de vérité. Nous introduisons tout d’abord, étant donnée uner-propriété, comment nous évaluons une séquence d’exécution dans un domaine de vérité.

Définition 24 (Évaluation de propriété dans un domaine de vérité). Pour chaque domaine de vérité B que nous avons considéré jusqu’à présent, nous définissons les fonctions d’évaluation [[·]]B(·) : (Σ^∗×Σ^ω)×Σ^∗→Bcomme exposé sur la Fig.4.2.

Lors de l’évaluation avec le domaine B^⊥₂, on distingue la situation où une séquence ainsi que toutes ses continuations sont fausses (évaluation⊥) ; les autres situations sont confondues en produisant l’évaluation

?. Similairement, avecB^⊤₂, l’évaluation⊤est produite lorsqu’une séquence ainsi que toutes ses continuations satisfont lar-propriété et?dans les autres cas. L’évaluation avec le domaineB₃correspond à celle produite dans la définition classique de monitorabilité. L’évaluation avec le domaineB₄ raffine l’évaluation avecB₃ lorsque cette dernière produisait?.

Notons que l’évaluation dansB₃correspond à la sémantique de la logique temporelleLT L₃[BLS07a]. De plus, l’évaluation dansB₄ correspond à la sémantique de logique RV-LTL [BLS09] introduite récemment.

Une définition alternative de la monitorabilité. Intuitivement, la notion de monitorabilité d’une propriétéΠrepose sur la capacité d’un moniteur donné de distinguer les bonnes et mauvaises séquences d’exécution finies.

Définition 25 (Monitorabilité). Uner-propriétéΠ =(φ, ϕ)est dite monitorable sur le domaine de véritéB, ouB-monitorable ssi

∀σ_good∈φ,∀σ_bad∈φ,[[Π]]B(σgood),[[Π]]B(σbad)

Nous notonsMP^∗(B), selon cette définition, l’ensemble des propriétés monitorables avec le domaine de véritéB.

Ainsi uner-propriété est monitorable avec le domaine de véritéBssi les séquences d’exécution finies mauvaises et bonnes peuvent être évaluées de fa¸cons distinctes. Remarquons que la définition ne dépend pas directement de la partie infinitaire de lar-propriété. La partie infinitaire de la propriété vérifiée est utilisée par la fonction d’évaluation de lar-propriété.

Lemme δ(MP^∗(B₃) et propriétés de reactivity qui ne sont pas des safety ou guarantee) : Il n’y a pas de propriété de reactivity non safety et non guarantee qui soit monitorable au sens de la Définition25avecB₃. Formellement :

MP^∗(B₃)⊆(Safety(Σ)∪Guarantee(Σ))=∅

♦

exemple, on pourrait distinguer différentes valeurs “presumably false” pour refléter les différents degrés de panne d’un système.

4.2 : Monitorabilité dans la classification Safety-Progress La preuve de ce théorème est donnée dans l’AnnexeASection A.2.

Théorème ε(Caractérisation multivaluée de la monitorabilité) : Les ensembles der-propriétés monitorables selon les domaines de vérité considérés jusqu’à présent sont les suivants :

(i) MP^∗(B^⊥₂)=Safety(Σ) (ii) MP^∗(B^⊤₂)=Guarantee(Σ)

(iii) Safety(Σ)∪Guarantee(Σ)=MP^∗(B₃) (iv) MP^∗(B₄)=Reactivity(Σ)

Preuve : Nous prouvons chacun des 4 faits annoncés successivement. Pour les égalités, nous montrons à chaque fois l’inclusion dans les deux sens des ensembles concernés.

Preuve de (i).

– SoitΠ =(φ, ϕ)∈Safety(Σ), montrons queΠ∈MP^∗(B^⊥₂). CommeΠ∈Safety(Σ), il existe une propriété finitaireψ⊆Σ^∗,t.q. Π =(Af(ψ),A(ψ)). Considéronsσgood ∈φ etσbad∈φ, il s’agit de montrer que l’évaluation dansB^⊥₂ de ces deux séquences sont différentes. D’une part, nous avons queΠ(σgood)(car σ_good∈φ) et donc[[Π]]B^⊥₂(σgood)=?. D’autre part, nous avons¬Π(σbad)etσ_bad<A_f(ψ)(carσ_bad<φ).

En utilisant la Propri´et´e1du Chapitre3, nous avons ∀µ∈Σ^∞,¬Π(σbad·µ),i.e.,[[Π]]B^⊥₂(σbad)=⊥.

– SoitΠ∈MP^∗(B^⊥₂), montrons queΠ∈Safety(Σ). D’après la caractérisation des propriétés de safety donnée dans la Propriété2(Chapitre 3, Section3.4), montrer queΠest uner-propriété de safety revient à montrer qu’elle vérifie Π =(Af(Pref(Π)),A(Pref(Π))). Ce que nous faisons en montrant l’inclusion dans les deux sens.

– Π∩Σ^∗⊆Af(Pref(Π))est évident car pour tout motσ∈Π,σa tous ses préfixes dansPref(Π). Il en est de même pourΠ∩Σ^ω⊆A(Pref(Π)).

– MontronsAf(Pref(Π))⊆Π. Soitσ∈Af(Pref(Π)), montrons queσ∈Π. Comme σ∈Af(Pref(Π)), tous les préfixes deσ appartiennent àPref(Π). C’est-à-dire que tous les préfixes de σsont les préfixes d’un mot dans Π. Soitσmin le plus petit de ces mots. Nous distinguons deux cas. Soit σmin=σ, ce qui donneσ∈Π. Soitσ≺σmin. On a forcément[[Π]]B^⊥₂(σmin)=?, sinon on ne pourrait pas avoir σmin∈φ. En utilisant la remarque formulée au début de cette preuve, on obtientσ∈φ et doncσ∈Π. Le même raisonnement peut être conduit pour montrer queA(Pref(Π))⊆Π∩Σ^ω. Au final d’après la définition desr-propriétés (Section 3.3, Définition8, p.38), nous avons queΠ peut s’écrireΠ =(Af(Pref(Π)),A(Pref(Π))), ce qui donne le résultat attendu.

Preuve de (ii).

– Le raisonnement pour montrer que Guarantee(Σ) ⊆MP^∗(B^⊤₂) est similaire au raisonnement pour montrer que Safety(Σ)⊆MP^∗(B^⊥₂). Il suffit de montrer que toutes les mauvaises séquences s’évaluent

à”?”. De plus, toutes les bonnes séquences s’évaluent à⊤. En effet, une fois qu’une séquence satisfait une r-propriété de guarantee, toutes ses continuations la satisfont.

– Montrer que MP^∗(B^⊤₂) ⊆ Guarantee(Σ) se fait de fa¸con analogue au raisonnement montrant que MP^∗(B^⊥₂)⊆Safety(Σ), en montrant que siΠ∈MP^∗(B^⊤₂), alorsΠv´eriﬁe Π =E(Pref(Π)).

Preuve de (iii)

– La preuve deSafety(Σ)∪Guarantee(Σ)⊆MP^∗(B₃)est ´evidente en remarquant queMP^∗(B^⊥₂)⊂MP^∗(B₃) et MP^∗(B^⊤₂)⊂MP^∗(B₃).

– Le fait queMP^∗(B₃)⊆Safety(Σ)∪Guarantee(Σ)est une cons´equence du Lemmeδ.

Preuve de (iv). La preuve est évidente en remarquant que toute r-propriété peut être évaluée en distinguant bien les bonnes et les mauvaises séquences. Autrement dit, touter-propriété de reactivity peut s’évaluer “de manière consistente” avec B₄. En effet, une bonne séquence σgood s’évalue à ⊤p ou

⊤ en fonction de ses continuations. Une mauvaise séquence σbad s’évalue à ⊥_p ou ⊥ en fonction de ses continuations. Ajouter des valeurs de vérité ne fait que raffiner le verdict produit par le moniteur sous-jacent.

L’Exemple12illustre uner-propri´et´e d’obligation qui n’est pasB₃-monitorable.

Reactivity

Persistence

Guarantee Progress

Safety

Obligation

Response

Safety

MP

^∗

(B

₄

)

MP(B^⊥₂)

MP(B

₃

)

MP

^∗

(B

₃

)

MP(B^⊤₂)

MP^∗(B^⊤₂) MP^∗(B^⊥₂)

Figure4.3 –r-propriétés monitorables dans la classification Safety-Progress

Exemple 12 (Monitoring d’une propriété d’obligation) Considérons la r-propriété exprimée en LTL :

Π =(p)∨(♦q)

déclarant que le prédicat d’état p doittoujoursêtre vrai ou alors le prédicat d’état qdoit inévitablement être vrai. C’est uner-propriété d’obligation, elle ne peut donc pas être monitorée avecB^⊥₂ niB^⊤₂. Examinons si elle peut être monitorée avecB₃. Considérons les séquences d’exécution suivantes :σgood={p} · {p}et σbad=∅ · {p}. DansB₃, nous avons[[Π]]B₃(σgood)=[[Π]]B₃(σbad)=?. Ainsi,Πn’est pas B₃-monitorable au sens de la Définition25.

En revanche,ΠestB₄-monitorable et ∀σgood∈Π,∀σbad∈Π,[[Π]]B₄(σgood)=⊤p et [[Π]]B₄(σbad)=⊥p. Cette définition de monitorabilité a l’avantage d’identifier les propriétés qui ne devraient pas être monitorées avec un domaine de vérité qui “n’est pas assez fin”. En effet, la dernière propriété montre que si l’on construisait un moniteur pour une telle propriété avec le domaine de vérité3, le moniteur produirait une évaluation à “ ?” pour à la fois des séquences correctes et incorrectes par rapport à la propriété. Ce qui nous semble indésirable.

Nous montrerons dans le Chapitre5Section5.2que, pour une séquence d’exécution finie donnéeσ, [[Π]]B₄(σ)peut être obtenu simplement par un calcul sur les états d’un automate de Streett reconnaissant Π.

Remarque 5 (“Passage à la limite pour les verdicts faibles”) Il peut être intéressant de re- marquer que l’interprétation des séquences avec des “verdicts faibles” (⊥p, ⊤_p) s’étend aux séquences infinies, selon la classe de propriétés considérée. Considérons une séquence infinieσ∈Σ^ω.

– pour une propriété de safetyΠ,(∀i∈N,[[Π]](σ···i)=⊤_p)⇔Π(σ) – pour une propriété de guaranteeΠ,(∀i∈N,[[Π]](σ···i)=⊥_p)⇔ ¬Π(σ) – pour une propriété de responseΠ,(^∞∃i∈N,[[Π]](σ···i)=⊤_p)⇔Π(σ) – pour une propriété de persistence Π,(^∞∃i∈N,[[Π]](σ···i)=⊥_p)⇔ ¬Π(σ)

où ^∞∃signifie “il existe une infinité de”. ∗

Les résultats de cette section sont résumés sur la Fig. 4.3:

– Les classes de propriétés monitorables, dans la définition classique, sont : – MP(B^⊤₂),

– MP(B^⊥₂), – et MP(B₃).

Les classes MP(B^⊤₂)etMP(B^⊥₂)ne peuvent être comparées directement avec aucune autre classe. La classeMP(B₃)contient strictement la classe des propriétés d’obligation.

– Les classes de propriétés monitorables, dans la définition que nous avons introduite, sont : – MP^∗(B^⊤₂),MP^∗(B^⊥₂),

– MP^∗(B₃), – et MP^∗(B₄).

4.3 : Enfor¸cabilit´e par rapport `a la classificationSafety-Progress

events

memory

events E MΠ

o|= Π σ|= Π?

(oσ)

Figure4.4 – Sch´ema de principe de l’enforcement

La classe MP^∗(B^⊤₂) (resp. MP^∗(B^⊥₂)) est exactement la classe des r-propriétés de safety (resp. de guarantee). La classeMP^∗(B₃)est strictement contenue dans la classe desr-propriétés d’obligation.

Enfin, la classe MP^∗(B₄)est exactement la classe desr-propriétés de reactivity.

No documento Yliès Falcone (páginas 82-86)