SURF-2

OUTIL D'EVALUATION DE LA SURETE DE FONCTIONNEMENT
PAR CHAINES DE MARKOV
ET RESEAUX DE PETRI STOCHASTIQUES

English Version

Sommaire:

• RESUME.
• RAPPEL THEORIQUE.
  • Construction d'un modèle
  • Traitement mathématique du modèle.
• LES OBJETS.
  • les réseau de Petri stochastiques généralisés.
  • les chaînes de Markov.
  • les Etudes.
  • les Analyses.
• LES OUTILS.
  • Relation outils objets
  • L'activation des outils
  • Les Editeurs de modèles:
    • L'Editeur de Réseau de Petri
    • L'Editeur de chaînes de Markov.
  • L'Editeur d'Etude.
  • L'Editeur d'Analyse.
  • L'Editeur de Résultats.
• REFERENCES BIBLIOGRAPHIQUES.

RESUME.

SURF-2 est un outil d'évaluation de la sûreté de fonctionnement des systèmes matériels et logiciels grâce à la construction rigoureuse, la validation et la résolution numérique de modèles markoviens.

Le comportement d'un système est modélisé soit par une chaîne de Markov, soit au moyen d'un réseau de Petri Stochastique Généralisé (RdPsG)

SURF-2 facilite l'études comparative de la sureté de fonctionnement pour diverses architectures d'un système.

La superposition d'une structure dite de récompense au modèle comportemental permet d'évaluer des mesures combinées de sureté de fonctionnement de performance ou de coût.

Sommaire.

RAPPEL THEORIQUE.

L'évaluation quantitative de la sûreté de fonctionnement d'un système peut être décomposée en deux grandes étapes:

1. La construction d'un modèle décrivant le comportement du système étudié à partir des processus stockastiques élémentaires représentant le comportement des composants du système et leurs interactions .
2. Le traitement mathématique du modèle dans le but d'obtenir les expressions analytiques ou les valeurs numériques des mesures de sûreté de fonctionnement du système.

Sommaire.

La construction du modèle.

SURF-2 autorise deux types de description du comportement du système :

• Les réseaux de Petri stochastiques généralisés, notés par la suite RdPsG, (voir [Florin 85] pour une description des RdPsG). Par le calcul des invariants de marquage et des invariants de tir de transitions l'utilisateur peut vérifier la validité de son modèle.
• Les chaines de Markov.

Rappel théorie. Sommaire.

Le traitement mathématique.

Il est entièrement automatique.

Le traitement de la chaîne de Markov numérisée permet d'obtenir les mesures de sûreté de fonctionnement souhaitées.

Le passage d'un RdPsG à une chaine de Markov à temps continu se fait sur la base des marquages qui sensibilisent les transitions temporisées:

1. Dimensionnement du réseau de Petri stochastiques générique.
2. Obtension de la chaines de Markov symbolique.

Rappel théorie.Sommaire.

LES OBJETS .

Les outils fournis par Surf-2 permettent la création et la mise à jour des objets suivants:

• les réseau de Petri stochastiques généralisés,
• les chaînes de Markov,
• les Etudes,
• les Analyses.

Sommaire.

Réseaux de Petri Stochastiques Généralisé et chaînes de Markov

Un réseau de Petri Stochastique Généralisé ou une chaîne de Markov modélise le comportement du système tel qu'il est perçu par l'utilisateur sous la forme:

• D'un graphe.
• D'un vecteur des probabilités initiales de la chaîne de Markov ou de la chaîne de Markov sous-jacente dans le cas d'un RdPsG.
• D'une ou plusieurs partitions. Une partition explicite la mesure de la sûreté de fonctionnement du système. Une partition est constituée:
  • d'une classe d'états de défaillance, dite "improper",
  • et d'une classe d'états redoutés ou dangereux, dite "catastrophic".

  Ces deux classes d'état permettent de définir la plupart des mesures de sûreté de fonctionnement, la classe "catastrophic" étant utilisée pour l'évaluation de mesures de sécurité. Pour un même modèle, il est possible de définir plusieurs partitions afin d'étudier différents cas de fournitures de services inappropriés.

Les paramètres du modèle peuvent être des expressions numériques ou symboliques. Un paramètre symbolique est une variable locale au modèle dont la visibilité est limitée au modèle dans lequel elle a été définie. L'utilisation combinée de paramètres symboliques et la définition de plusieurs partitions pour un même modèle permet de construire des modèles génériques que l'on peut stocker dans la base de données de SURF-2 en vue de les réutiliser dans d'autres modélisations.

Objets.Sommaire.

Etude [Assigned model]

Une Etude correspond à l'assignation d'une valeur à chaque paramètre d'un modèle. La valeur qui est assignée à un paramètre donné peut être une valeur numérique ou une valeur globale; dans ce dernier cas, elle peut être alors commune à plusieurs paramètres de modèles différents. Cette notion de valeur globale est très similaire à la notion de variable externe, utilisée dans de nombreux langages de programmations. La généricité des modèles et la possibilité de définir plusieurs études pour un modèle donné offrent une grande souplesse de modèlisation et permet d'étudier la sensibilité d'une mesure à certains paramètres.

Objets.Sommaire.

Analyse [Model folder]

La modèlisation de plusieurs solutions d'architectures dans un but d'évaluation comparative, nécessite l'évaluation simultanée d'une mesure de sûreté de fonctionnement commune aux diverses solutions considérées ou aux différentes configurations d'un même système. C'est le rôle de l'Analyse.

Pour cela une Analyse spécifie :

• la mesure à calculer,
• un ensembles d'études intervenant dans le calcul,
• et pour chaque étude, une partition du modèle associé à l'étude en fonction de la mesure sélectionnée.

L'assignation d'une valeur (ou d'un ensemble de valeurs numériques, dans le cas d'études de sensibilité) à chaque valeur globale est réalisée au niveau de l'analyse.

La figure ci-dessous montre deux exemples très simples d'utilisation de valeurs globales pour réaliser des études comparatives d'architectures.

Les autres principaux objets de la base de données gérés par le superviseur de l'application sont les Résultats intermédiaires et les Résultats de calcul d'une mesure. Les Résultats intermédiaires sont issus du traitement d'un réseau de Petri entièrement numérisé et dimensionné. Il s'agit:

• du graphe des marquages,
• de la chaine de Markov équivalente sous forme textuelle,
• de la liste des invariants de marquage et de tir,
• des conflits éventuels pour les sélecteurs aléatoires dans le cas de marquages transitoires qui sensibilisent plusieurs transitions instantanées.

Les Résultats de calcul, pour une mesure donnée, se présentent sous forme numérique ou graphique, imprimables au format Poscript.

Objets.Sommaire.

LES OUTILS .

Relation outils objets

L'activation des outils

Les Editeurs de modèles:

L'Editeur de Réseau de Petri

L'Editeur de chaînes de Markov.

L'Editeur d'Etude.

L'Editeur d'Analyse.

L'Editeur de Résultats.

Sommaire.

Relations outils objets

Ainsi que l'explicite la figure ci-dessous SURF-2 fournit un ensemble d'outils permettant la création et la mise à jour des objets:

OutilsSommaire.

L'activation des outils

Lors du lancement de SURF-2 la fenêtre ci-dessous apparaît:

En plaçant le curseur sur la commande "MODEL" l'utilisateur fait monter le menu suivant:

L'utilisateur peut alors lancer l'éditeur pour créer une nouvelle chaine de Markov (CREATE) ou mettre à jour une chaine existante (OPEN).

Se reporter au manuel utilisateur pour plus de précision.

OutilsSommaire.

Les Editeurs de Modèles.

Les Editeurs de Réseau de Petri et de chaîne de Markov ne se différencient que par le type des objets édités. Lors du lancement d'un éditeur on peut ouvrir les fenêtres suivantes:

une fenêtre d'édition du modèle

permettant de lire de sauvegarder et d'éditer le modèle sélectionné à l'appel de l'éditeur (MODEL EDITOR)

deux fenêtres de travail

permettant de lire un modèle quelconque, de l'éditer localement mais sans possibilités de sauvegarde (Working window).

Des fonctions de sélection et de copies permettent les échanges entres les fenêtres. Les fenêtres de travail permettent par exemple:

• de charger un "modèle" précédemment établi qui contient non pas un modèle cohérent mais un ensembles de motifs (constitution de bibliothèque de motifs),
• de réaliser des sauvegardes locales au cours de l'élaboration d'un modèle,
• . . .

A l'appel d'un Editeur de modèle une des fenêtres ci-dessous apparaît :

ou

L'utilisateur sélectionne la ou les fenêtres qu'il désire utiliser.

OutilsSommaire.

L'Editeur de Réseau de Petri

Il a pour fonction la création, la mise à jour et la validation du réseau de Petri, des Partitions et des Invariants constituant le modèle.

La fenêtre d'édition [MODEL EDITOR] à l'aspect suivant:

.

La commande PART provoque la montée d'une fenêtre permettant la saisie des partitions.

La commande INV provoque la montée d'une fenêtre permettant la saisie des invariants.

La commande VALIDATION & SAVE permet de sauvegarder et de valider le modèle en édition.

La validation permet d'assurer la cohérence:

• du Réseau de Petri,
• des expressions associées aux places, transitions et aux arcs du Réseau de Petri,
• des partitions,
• des invariants.

L'Editeur de chaînes de Markov.

Il a pour fonction la création, la mise à jour et la validation de la chaîne de Markov et des Partitions constituant le modèle.

La fenêtre d'édition [MODEL EDITOR] à l'aspect suivant:

.

La commande PART provoque la montée d'une fenêtre permettant la saisie des partitions.

La commande VALIDATION & SAVE permet de sauvegarder et de valider le modèle en édition.

La validation permet d'assurer la cohérence:

• de la chaine de Markov,
• des expressions associées aux états et aux arcs de la chaine de Markov,
• des partitions.

OutilsSommaire.

L'Editeur d'Etude. [Assigned model EDITOR]

L'Editeur d'Etude a pour fonction de créer ou de mettre à jour l'ensemble des valeurs des paramètres du modèle qui lui est associé:

OutilsSommaire.

L'Editeur d'Analyse. [Model folder EDITOR]

• L'Editeur d'Analyse permet de sélectionner un ensemble d'études,
  
• de numériser les variables globales,
  
• de sélectionner les mesures.
  

OutilsSommaire.

L'Editeur de Résultats.

Cet outil fournit à l'utilisateur un moyen à la fois puissant et souple d'exploitation des résultats. L'utilisateur peut sélectionner un sous ensemble des résultats visualisables sous la forme d'un faisceau de courbes.

OutilsSommaire.

BIBLIOGRAPHIE .

L'outil SURF-2

[Bachman 96]

SURF-2 User Guide

[Béounes 93]

C. Béounes et al., "SURF-2: A Program for Dependability Evaluation of Complex Hardware and Software Systems", in 23rd Int. Symp. on Fault-Tolerant Computing, Toulouse(France), pp. 668-673, 1993.

Applications de SURF-2

[Kanoun 96]

K. Kanoun and M. Borrel, "Dependability of Fault-tolerant Systems Explicit Modeling of the Interactions Between Hardware and Software Components", IEEE International Computer Performance and Dependability Symposium, (Urbana-Champaign, IL, USA), pp. , 1996.

[Kanoun 96]

K. Kanoun, M. Borrel, T. Moreteveille and A. Peytavin, "Modeling the Dependability of CAUTRA, a Subset of the French Air Traffic Control System", in 26th Int. Symp. Fault-Tolerant Computing (FTCS-26), (Sendai, Japan), pp. LAAS-Report, 95-515.

Infomations generales

[Cox 68]

D.R. Cox et H.D. Miller, The Theory of Stochastic Proceses, Methuen, Londres, 1968.

[Howard 71]

R.A. Howard, Dynamic Probabilistic Systems, vol.II, Wiley, New-York, USA, 1971.

[Johnson 88]

A.M. Johnson Jr et M. Malek, "Survey of Software Tools for Evaluating Reliability, Availability and Serviceability", ACM Comp. Surveys, 20 (4), pp.227-269, Déc. 1988.

[Florin 85]

G. Florin et S. Natkin, "les réseaux de Petri Stochastiques", TSI. vol. 4, no 1, Fév. 1985.

[ Laprie 75]

J.-C. Laprie, "Prévision de la sureté de fonctionnement et architectures de structures numériques temps réel réparables", Doctorat d'Etat, Univ. Paul Sabatier, Toulouse, 1975.

Sommaire.