Changement dans la date.

[projet_simulink.git] / main.tex

\documentclass[11pt,a4paper]{article}

\usepackage[latin1]{inputenc}
\usepackage[T1]{fontenc}
\usepackage{lscape}
\usepackage{fullpage}


\usepackage{tikz}
\usetikzlibrary{shapes}
\usetikzlibrary{fit} 
\usetikzlibrary{matrix}

\newcommand{\eg}{par exemple}

\title{Analyse statique de modèles Matlab/Simulink~:\\
  vers une plate-forme logicielle coopérative}

\author {A.C., O.B. et S.Z.}

\date{\today}

\begin{document}

\maketitle

\section{Contexte}
\label{sec:contexte}

La conception de systèmes embarqués de contrôle-commande nécessite une
phase de modélisation et de simulation de processus physiques
complexes avant la mise en {\oe}uvre. Cette phase est généralement
réalisée à l'aide d'outils de conception tels que Matlab/Simulink et
suit le modèle dit de la conception fondée sur la simulation, très
utilisée en automobile notamment. Ce modèle s'appuie sur deux grandes
étapes nommées~: 
\begin{itemize}
\item Model in The Loop (MTL)~: étape permettant de définir les lois de
  commande de manière haut niveau en prenant en compte un modèle du
  processus physique à commander. La loi de commande est définie dans le
  même formalisme que le processus physique (généralement des plances
  Simulink). La simulation numérique permet de
  vérifier/tester que la loi de commande correspond aux attentes.
\item Software in The Loop (STL)~: étape vérifiant par simulation
  numérique que l'implémenta\-tion de la loi de commande, \eg{} en
  langage C, correspond toujours aux attentes. A ce niveau,
  l'implémentation de la loi de commande interagit avec le modèle du
  processus physiques: les deux sont décrits dans des formalismes
  différents.
\end{itemize}


L'analyse statique par interprétation abstraite est une méthode de
vérification formelle qui permet de prouver des propriétés sur les
programmes informatiques. Pour prouver ces propriétés, l'analyse
statique va généralement essayer de calculer des \emph{invariants} sur
le programme (i.e.  une formule logique qui doit être vraie pour toutes
les exécutions du programme) en effectuant une \emph{abstraction} du
processus physique, par exemple en ne gardant que les ranges de valeurs
admissibles pour chaque grandeur physique. Dans ce projet, nous nous
intéressons particulièrement aux invariants numériques, c'est-à-dire des
invariants dont les formules logiques portent sur les valeurs associées
aux variables du programme. Le but de ce projet est l'application de ces
techniques sur les modèles Matlab/Simulink utilisés dans la phase MTL~:
ainsi, des erreurs de conception de la loi de contrôle-commande peuvent
être détectées au plus tôt dans le cycle de développement. Pour mener à
bien ce projet, plusieurs verrous tant théoriques que techniques devront
être levées, nous les détaillons dans la suite de ce document.

\section{Point de départ}
\label{sec:point-de-depart}

La conception d'un analyseur statique est complexe et elle est très
consommatrice en temps. Nous comptons nous appuyer sur la plate forme
collaborative issue du projet ANR ASOPT (auquel certains auteur de ce
document ont participé) pour développer notre analyseur de modèles
Matlab/Simulink. La plateforme ASOPT définit tous les
éléments nécessaires à la conception et à l'utilisation d'un analyseur
statique de programmes C. En particulier elle se fonde sur~:
\begin{itemize}
\item un traducteur de C vers un langage intermédiaire~: Newpseak
\item une bibliothèque de domaines numériques abstraits~: Apron
\item un solveur d'équations sémantiques~: Fixpoint
\end{itemize}
Ces éléménts (représentés en rouge dans la
figure~\ref{fig:architecture-logicielle}) sont indispensable à la
conception d'un analyseur statique~: le programme initial est traduit en
Newspeak, puis le solveur Fixpoint tente de résoudre les équations
sémantique générées par le programme. Pour cela, Fixpoint utilise un
domaine abstrait choisi dans la bibliothèque APRON. Nous cherchons à
reproduire cette démarche pour l'analyse de modèles Simulink. 

\section{Objectifs et difficultés théoriques du projet}
\label{sec:objectifs-difficultes}

Cette section doit servir à définir clairement le but du projet et les
difficultés auxquelles nous nous attendons. 

\subsection{Que veut dir ``analyser un modèle Simulink'' ?}
\begin{itemize}
\item Analyse d'un programme~: bien connu et chemin balisé car
  sémantique claire.
\item Simulink = outil de prototypage rapide et de simulation
\item pas de sémantique formelle autre que celle de la simulation,
  langage très riche (beaucoup de boîtes)
\item Sémantique $\approx$ simulation, donc dépend de paramètres
\item Modèles hétérogènes (temps discret/continu) $\Rightarrow$ même
  sémantique pour les deux parties ?
\item Il faut donc se poser la question de la sémantique des modèles
  Simulink~: sémantique parfaite (i.e. solution de l'ODE) ou sémantique
  simulée (i.e. simulation de l'ODE), les deux ?
\item La sémantique de Simulink devra probablement faire intervenir une
  notion de temps qui n'est pas triviale~: temps discret ou temps
  continu ? Cette notion de temps demandera probablement des domaines
  abstraits spécifiques sensiblement différents des domaines numérique existant.
\item On pourra s'appuyer sur les travaux d'A. Chapoutot pour cette partie.
\end{itemize}


\subsection{Quel type d'analyse veut-on mener ?}
Une fois une sémantique formelle bien définie, il faut se poser la
question des propriétés importantes que l'on veut pouvoir prouver sur
ces systèmes. Là encore, la présence du temps (continu ou discret) dans
la sémantique de Simulink laisse à penser que les propriétés les plus
intéressantes ne seront pas uniquement des invariants sur les variables
du modèle mais peut-être des bornes sur l'évolution temporelle de ces
variables. Plusieurs analyses de systèmes temporisés ont déjà été
menées, il faut voir desquelles on souhaite s'inspirer~: 
\begin{itemize}
\item analyse de J. Bertrane.
\item analyse d'atteignabilité en système hybride.
\item preuve de formule LTL sur les automates temporisés.
\end{itemize}


\subsection{Quel type de modèle veut-on analyser ?}
Comme dit dans la Section~\ref{sec:contexte}, le langage Simulink est
très large avec de nombreuses bibliothèques spécialisées dans certains
métiers. Nous devrons donc identifier un sous-ensemble de blocs Simulink
suffisemment riche pour permettre d'exprimer des lois de
contrôle-commande non triviales mais dont nous sommes capables
d'exprimer une sémantique formelle. Ce sous-ensemble comprendra au
moins~:
\begin{itemize}
\item les blocs arithmétiques,
\item les blocs intégrateur et retardateur,
\item le saturateur,
\item le bloc de zero-crossing detection.
\end{itemize}


\section{Vers l'analyse de Simulink~: une esquisse de plan de travail}
\label{sec:vers-l-analyse-de-simulink}

L'architecture logicielle d'un analyseur de Matlab/Simulink est donnée
à la figure~\ref{fig:architecture-logicielle}. Elle s'appuie très
largement sur la plate-forme Newpseak-Apron-Fixpoint. Les éléments en
rouge sont les éléments existant et les éléments en bleu sont les
éléments à ajouter.

Une suite au projet ANR ASOPT pourrait permettre la mise en {\oe}uvre
d'un analyseur statique de Matlab/Simulink. Les premières éléments de
réflexion sont donnés dans la suite.

\begin{figure}[t]
  \centering
  \begin{tikzpicture}[node distance=1.4cm]
    \tikzstyle{every node}=[draw, ultra thick];
    
    \node[ellipse, fill=green!20] (mdl) {mdl files};
    
    \node[ellipse, fill=green!20] (c_ada) [left of=mdl, node
    distance=6cm] {C/Ada files};
    
    \node[rectangle, dashed, fill=blue!20] (parser) [below of=mdl] {parser:
      Simulink to Newspeak};
    
    \node[rectangle, fill=red!20] (parser2) [below of=c_ada]
    {parser: C/Ada to Newspeak};
    
    \node[ellipse, dashed, fill=blue!20] (newspeakode) [below of=parser]
    {Newpseak with annoted ODEs};
    
    \node[rectangle, dashed, fill=blue!20] (pass2) [below of=newspeakode]
    {discretized state part};

    \node[rectangle, dashed, fill=blue!20, node distance=4cm] (pass1) [left
    of=pass2] {output part};

    \node[rectangle, dashed, fill=blue!20, node distance=5cm] (pass3)
    [right of=pass2] {guaranteed state part};
    
    \node[ellipse, fill=red!20] (newspeak) [below of=pass2]
    {Newspeak};

    \node[rectangle, fill=red!20] (npk2syntax) [below of=newspeak]
    {parser: npk2syntax};

    \node[ellipse, fill=red!20] (syntax) [below of=npk2syntax]
    {syntax};
    
    \node[rectangle, dashed, fill=blue!20] (hyfixpoint) [below
    of=syntax] {Hybrid Fixpoint};

    \node[rectangle, dashed, fill=blue!20] (hyapron) [left
    of=hyfixpoint, node distance=4cm] {Sequence domain};

    \node[rectangle, thick, fill=red!20] (fixpoint) [below
    of=hyfixpoint] {Fixpoint};
    
    \node[rectangle, thick, fill=red!20] [left of=fixpoint,
    node distance=4cm] (apron) {Apron};

    \node[rectangle, dashed, fill=blue!20] [right of=fixpoint,
    node distance=4cm] (acceleration) {Acceleration};

    \node[rectangle, thick, fill=red!20] [below of=fixpoint,
    node distance=1.5cm] (ptr) {Ptr};
    
    \draw[->] (mdl) -- (parser); 
    
    \draw[->] (parser) -- (newspeakode);

    \draw[->] (newspeakode) -- (pass1); 

    \draw[->] (newspeakode) -- (pass2); 

    \draw[->] (newspeakode) -- (pass3); 

    \draw[->] (pass1) -- (newspeak);

    \draw[->] (pass2) -- (newspeak);

    \draw[<->, dashed] (pass3) |- node[draw=none,right, near start] {GRKLib?}
    (hyfixpoint.east);

    \draw[->] (newspeak) -- (npk2syntax);

    \draw[->] (npk2syntax) -- (syntax);
    
    \draw[->] (syntax) -- (hyfixpoint);

    \draw[<->] (hyfixpoint) -- (fixpoint);

    \draw[<->] (hyapron) -- (apron);

    \draw[<->] (hyapron) -- (hyfixpoint);

    \draw[<->] (fixpoint) -- (apron);

    \draw[<->] (fixpoint) -- (ptr);

    \draw[<->] (fixpoint) -- (acceleration);

    \draw[<->] (hyfixpoint.base east) -| (acceleration);
    
    \draw[->] (c_ada) -- (parser2);

    \draw[->] (parser2) |- (newspeak);
  \end{tikzpicture}
  \caption{Architecture logicielle d'un analyseur de Matlab/Simulink}
  \label{fig:architecture-logicielle}
\end{figure}

\subsection{Traduction Simulink vers Newspeak}
\label{sec:traduction-simulink-vers-newspeak}

Les modèles Matlab/Simulink mélangent des équations différentielles et
des équations récurrentes pour modéliser respectivement des systèmes à
temps continu et des systèmes à temps discret.

\textbf{Problématique}~: Newspeak a été conçu pour modéliser des
programmes impératifs écrits en C ou en Ada. Comment adapté le langage
Newspeak pour décrire des équations différentielles? Ou plus
généralement comment adapter Newspeak pour représenter l'environnement
physique d'un programme?

\subsection{Nouveaux domaines Apron}
\label{sec:nouveaux-domaines-apron}

Les modèles Matlab/Simulink décrivent l'évolution d'un système
logiciel et environnement phy\-sique au cours du temps. L'objectif
d'une analyse statique de ces modèles est alors d'inférer de nouveaux
types d'invariants permettant de caractériser cette évolution
temporelle. Ces invariants pourrait être ainsi utilisés pour la
vérification fonctionnelle des systèmes.

\textbf{Problématique}~: Apron est une bibliothèque de domaines
numériques abstraits qui ne sont pas destinés à la modélisation de
propriétés temporelles. Ajouter un nouveau domaine (ou une sur-couche
aux domaines) pour ce nouvel objectif tout en gardant les interfaces
existantes de Apron.

\subsection{Nouvel itérateur de point fixe}
\label{sec:nouvel-iterateur-de-point-fixe}

Pour manipuler un domaine permettant d'inférer des propriétés
temporelles, il semble nécessaire de modifier également la façon de
résoudre les équations sémantiques.

\textbf{Problématique}~: Modifier Fixpoint (ou ajouter une sur-couche
à Fixpoint) pour inférer des propriétés temporelles.

\subsection{Méthodes d'accélération de la convergence}
\label{sec:methodes-d-acceleration-de-la-convergence}

La résolution du calcul de point fixe peut être coûteuse en temps donc
il faut mettre en place des méthodes pour accélérer ce calcul.

\textbf{Problématique}~: Ajouter les méthodes d'accélération par les
méthodes numériques dans le solveur Fixpoint et la bibliothèque Apron.

\end{document}