-
-
L'étude de convergence de systèmes dynamiques discrets est simple à vérifier
pratiquement pour le mode synchrone. Lorsqu'on introduit des stratégies
pseudo périodiques pour les modes unaires et généralisées, le problème
Un outil qui construirait automatiquement toutes
les transitons serait le bienvenu.
Pour peu qu'on établisse la preuve de correction et de complétude de la
-démarche, la convergence du réseau discret ne repose alors que sur le verdict
+démarche, la convergence du réseau discret ne reposerait
+ alors que sur le verdict
donné par l'outil.
Cependant, même pour des réseaux discrets à peu d'éléments,
le nombre de configurations induites explose rapidement.
Les \emph{Model-Checkers}~\cite{Hol03,nusmv02,Blast07,MCErlang07,Bogor03}
-sont des classes d'outils qui adressent le problème de vérifier automatiquement
-qu'un modèle vérifie une propriété donnée. Pour traiter le problème d'explosion
+sont des classes d'outils qui adressent le problème de détecter automatiquement
+si un modèle vérifie une propriété donnée. Pour traiter le problème d'explosion
combinatoire, ces outils appliquent des méthodes d'ordre partiel, d'abstraction,
de quotientage selon une relation d'équivalence.
Ce chapitre montre comment nous simulons
-des réseaux discrets selon toutes les sortes d'itérations pour établir
+des réseaux discrets selon pour établir
formellement leur convergence (ou pas).
Nous débutons par un exemple et faisons quelques rappels sur
le langage PROMELA qui est le langage du model-checker
Nous présentons ensuite la démarche de traduction
de réseaux discrets dans PROMELA (\Sec{sec:spin:translation}).
Les théorèmes de correction et de complétude de la démarche
-sont ensuite donnés à la (\Sec{sec:spin:proof}).
-Des données pratiques comme la complexité et des synthèses d'expérimentation
+sont ensuite donnés à la \Sec{sec:spin:proof}.
+Des données pratiques comme la complexité et des synthèses d'expérimentations
sont ensuite fournies (\Sec{sec:spin:practical}).
-
+Ce chapitre a fait l'objet du rapport~\cite{Cou10:ir}.
-On peut facilement vérifier que toutes les itérations synchrones initialisées
+On peut facilement vérifier que toutes les itérations parallèles
+synchrones initialisées
avec $x^0 \neq 7$ soit $(111)$
convergent vers $2$ soit $(010)$; celles initialisées avec
$x^0=7$ restent en 7.
-Pour les mode unaires ou généralisés avec une
+Pour les modes unaires ou généralisés avec une
stratégie pseudo périodique, on a des comportements qui dépendent
de la configuration initiale:
\begin{itemize}
Il définit:
\begin{itemize}
\item les constantes \verb+N+ et \verb+d_0+ qui précisent respectivement le nombre
- $n$ d'éléments et le délais maximum $\delta_0$;
+ ${\mathsf{N}}$ d'éléments et le délais maximum $\delta_0$;
\item les deux tableaux (\verb+X+ et \verb+Xp+) de \verb+N+ variables booléennes;
les cellules \verb+X[i]+ et \verb+Xp[i]+ sont associées à la variables $x_{i+1}$
d'un système dynamique discret;
L'instruction de réception consomme la valeur en tête du canal \verb+ch+
et l'affecte à la variable \verb+m+ (pour peu que \verb+ch+ soit initialisé et non vide).
De manière similaire, l'instruction d'envoi ajoute la valeur de \verb+m+ à la queue du canal
-\verb+ch+ (pour peu que celui-ci soit initialisé et non rempli).
-Dans les cas problématiques, canal non initialisé et vide pour une réception ou bien rempli pour un envoi,
+\verb+ch+ (pour peu que celui-ci soit initialisé et pas plein).
+Dans les cas problématiques, canal non initialisé et vide pour une réception ou plein pour un envoi,
le processus est bloqué jusqu'à ce que les conditions soient remplies.
La structures de contrôle \verb+if+ (resp. \verb+do+) définit un choix non déterministe
sera choisi aléatoirement puis exécuté.
Dans le process \verb+init+ détaillé à la {\sc Figure}~\ref{fig:spin:init},
-une boucle de taille $N$ initialise aléatoirement la variable globale de type tableau \verb+Xp+.
+une boucle de taille ${\mathsf{N}}$ initialise aléatoirement la variable globale de type tableau \verb+Xp+.
Ceci permet par la suite de vérifier si les itérations sont convergentes pour n'importe
-quelle configuration initiale $x^{(0)}$.
+quelle configuration initiale $x^{0}$.
Basiquement, le process est une boucle qui est débloquée lorsque la valeur du sémaphore
\verb+sync_mutex+ est 1. Dans ce cas, les éléments à modifier sont choisis
-aléatoirement (grâce à $n$ choix successifs) et sont mémorisés dans le tableau
+aléatoirement (grâce à ${\mathsf{N}}$ choix successifs) et sont mémorisés dans le tableau
\verb+mods+, dont la taille est \verb+ar_len+.
Dans la séquence d'exécution, le choix d'un élément mis à jour est directement
suivi par des mises à jour: ceci est réalisé grâce à la modification de la valeur du sémaphore
\subsection{Propriété de convergence universelle}
Il reste à formaliser dans le model checker SPIN le fait que les
itérations d'un système
-dynamique à $n$ éléments est universellement convergent.
+dynamique à ${\mathsf{N}}$ éléments est universellement convergent.
Rappelons tout d'abord que les variables \verb+X+ et \verb+Xp+
contiennent respectivement la valeur de $x$ avant et après la mise à jour.
puis présente ensuite les expérimentations issues de ce travail.
\begin{theorem}[Nombre d'états ]
- Soit $\phi$ un modèle de système dynamique discret à $n$ éléments, $m$
+ Soit $\phi$ un modèle de système dynamique discret à ${\mathsf{N}}$ éléments, $m$
arcs dans le graphe d'incidence
et $\psi$ sa traduction en PROMELA. Le nombre de configurations
de l'exécution en SPIN de $\psi$ est bornée par $2^{m(\delta_0+1)+n(n+2)}$.
Puisque le nombre d'arêtes du graphe d'incidence est $m$,
il y a $m$ canaux non constants, ce qui génère approximativement $2^{m(\delta_0+1)}$ états.
Le nombre de configurations est donc borné par $2^{m(\delta_0+1)+n(n+2)}$.
- On remarque que cette borne est traitable par SPIN pour des valeurs raisonnables de $n$,
+ On remarque que cette borne est traitable par SPIN pour des valeurs raisonnables de ${\mathsf{N}}$,
$m$ et $\delta_0$.
%\JFC{Donner un ordre de grandeur de cet ordre de grandeur}
$\bot$ & 374 & 7.7s&
$\bot$ & 370 & 0.51s \\
\hline %\cline{2-13}
- AC2D
+ \cite{RC07}
&$\bot$ & 2.5 & 0.001s % RC07_async_mixed.spin
&$\bot$ & 2.5 & 0.01s % RC07_async_mixed_all.spin
&$\bot$ & 2.5 & 0.01s % RC07_async.spin
L'exemple \textit{RE} est l'exemple de ce chapitre,
\cite{RC07} concerne un réseau composé de deux gènes
-à valeur dans $\{0,1,2\}$,
-AC2D est un automate cellulaire avec 9 elements prenant des
-valeurs booléennes en fonction de
-de 4 voisins et
+à valeur dans $\{0,1,2\}$ et
\cite{BM99} consiste en 10 process
qui modifient leurs valeurs booléennes dans un graphe d'adjacence proche
du graphe complet.
L'exemple \textit{RE} a été prouvé comme universellement convergent.
-\JFC{statuer sur AC2D}
+%\JFC{statuer sur AC2D}
Comme la convergence n'est déjà pas établie pour les itérations synchrones
de~\cite{RC07}, il en est donc
de même pour les itérations asynchrones.
-La {\sc Figure}~\ref{fig:RC07CE} donne une trace de la sortie de SPIN de menant à la violation
+La {\sc Figure}~\ref{fig:RC07CE} donne une trace de la sortie de SPIN menant à la violation
de la convergence. Celle-ci correspond à une stratégie périodique qui répète
$\{1,2\};\{1,2\};\{1\};\{1,2\};\{1,2\}$ et débute avec $x=(0,0)$.
En raison de la dépendance forte entre les éléments
de~\cite{BM99},
$\delta_0$ est réduit à 1. Cela aboutit cependant à $2^{100}$
-configurations dans le mode des itérations asynchrones.
-
-\JFC{Quid de ceci?}
-La convergence des itérations asynchrones de l'exemple~\cite{BCVC10:ir} n'est pas établie
-lorsque pour $\delta_0$ vaut 1. Il ne peut donc y avoir convergence universelle.
+configurations dans le mode des itérations asynchrones, montrant les limites de
+l'approche.
\begin{figure}
\centering
\includegraphics[scale=0.6]{images/RC07ce.eps}
-\caption{Contre exemple de convergence pour~\ref{fig:RC07CE}} \label{fig:RC07CE}
+\caption{Contre exemple de convergence pour~~\cite{RC07}} \label{fig:RC07CE}
\end{figure}
\section{Conclusion}
\label{sec:spin:concl}
-
+L'idée principale de ce chapitre est que l'on peut,
+pour des réseaux bouléens à délais bornés de petite taille, obtenir
+une preuve de la convergence ou de sa divergence et ce
+de manière automatique.
+L'idée principale est de traduire le réseau en PROMELA et de laisser
+le model checker établir la preuve.
+Toute l'approche a été prouvée: le verdict rendu par a donc valeur de vérité.
+L'approche a cependant ses limites et ne peut donc pas être
+apliquée qu'à des modèles simplifiés de programmes.
+La suite de ce travail consiste à se focaliser sur les systèmes qui ne
+convergent pas.
