![Page 1: Sur la pratique des méthodes formelles par de non praticiens : …projects.laas.fr/IFSE/FMF/J8/slides/FMF10EJENN.pdf · 2017-10-12 · Sur la pratique des méthodes formelles par](https://reader036.vdocuments.mx/reader036/viewer/2022081402/5f0920f07e708231d4255d49/html5/thumbnails/1.jpg)
© IR
T A
ESE
“Sai
nt
Exu
pér
y” -
All
righ
ts r
eser
ved
Co
nfi
den
tial
an
d p
rop
rie
tary
do
cum
ent
Sur la pratique des méthodes formelles par de non praticiens : Autopsie d'un robot
Eric JENN, IRT Saint Exupéry et Thales Avionics
Journée FMF
LAAS, 10 octobre 2017
![Page 2: Sur la pratique des méthodes formelles par de non praticiens : …projects.laas.fr/IFSE/FMF/J8/slides/FMF10EJENN.pdf · 2017-10-12 · Sur la pratique des méthodes formelles par](https://reader036.vdocuments.mx/reader036/viewer/2022081402/5f0920f07e708231d4255d49/html5/thumbnails/2.jpg)
09/10/2017© IR
T A
ESE
“Sai
nt
Exu
pér
y” -
All
righ
ts r
eser
ved
Co
nfi
den
tial
an
d p
rop
riet
ary
do
cum
ent
2
Collaborative work in INGEQUIP project at IRT
Pierre-Alain BourdilArnaud DieumegardNing GeFaiez Zalila
with academic support from LAAS, ONERA, IRIT, ISAE
with financial backing from CGI, ANR, and industrial members:
Context
![Page 3: Sur la pratique des méthodes formelles par de non praticiens : …projects.laas.fr/IFSE/FMF/J8/slides/FMF10EJENN.pdf · 2017-10-12 · Sur la pratique des méthodes formelles par](https://reader036.vdocuments.mx/reader036/viewer/2022081402/5f0920f07e708231d4255d49/html5/thumbnails/3.jpg)
09/10/2017© IR
T A
ESE
“Sai
nt
Exu
pér
y” -
All
righ
ts r
eser
ved
Co
nfi
den
tial
an
d p
rop
riet
ary
do
cum
ent
3
Formal verification of HMIs
Correctness by construction
Formal verif. of timed systems
Formal code verification
Formal verif. of conf. dataData
Time
HMIs
SW impl.
Numerical
The patient Pathologies Remedies
![Page 4: Sur la pratique des méthodes formelles par de non praticiens : …projects.laas.fr/IFSE/FMF/J8/slides/FMF10EJENN.pdf · 2017-10-12 · Sur la pratique des méthodes formelles par](https://reader036.vdocuments.mx/reader036/viewer/2022081402/5f0920f07e708231d4255d49/html5/thumbnails/4.jpg)
09/10/2017© IR
T A
ESE
“Sai
nt
Exu
pér
y” -
All
righ
ts r
eser
ved
Co
nfi
den
tial
an
d p
rop
riet
ary
do
cum
ent
4
The patient
![Page 5: Sur la pratique des méthodes formelles par de non praticiens : …projects.laas.fr/IFSE/FMF/J8/slides/FMF10EJENN.pdf · 2017-10-12 · Sur la pratique des méthodes formelles par](https://reader036.vdocuments.mx/reader036/viewer/2022081402/5f0920f07e708231d4255d49/html5/thumbnails/5.jpg)
09/10/2017© IR
T A
ESE
“Sai
nt
Exu
pér
y” -
All
righ
ts r
eser
ved
Co
nfi
den
tial
an
d p
rop
riet
ary
do
cum
ent
5
The patient Design spaceexploration
Virtual platforms
Formaldevelopment
methods
![Page 6: Sur la pratique des méthodes formelles par de non praticiens : …projects.laas.fr/IFSE/FMF/J8/slides/FMF10EJENN.pdf · 2017-10-12 · Sur la pratique des méthodes formelles par](https://reader036.vdocuments.mx/reader036/viewer/2022081402/5f0920f07e708231d4255d49/html5/thumbnails/6.jpg)
09/10/2017© IR
T A
ESE
“Sai
nt
Exu
pér
y” -
All
righ
ts r
eser
ved
Co
nfi
den
tial
an
d p
rop
riet
ary
do
cum
ent
6
The patient
methods
A robot
An environment
A supervision station
![Page 7: Sur la pratique des méthodes formelles par de non praticiens : …projects.laas.fr/IFSE/FMF/J8/slides/FMF10EJENN.pdf · 2017-10-12 · Sur la pratique des méthodes formelles par](https://reader036.vdocuments.mx/reader036/viewer/2022081402/5f0920f07e708231d4255d49/html5/thumbnails/7.jpg)
09/10/2017© IR
T A
ESE
“Sai
nt
Exu
pér
y” -
All
righ
ts r
eser
ved
Co
nfi
den
tial
an
d p
rop
riet
ary
do
cum
ent
7
EMBEDDED SYSTEM
Ethernet CAM
TREK1000(ground)
ethernet
WiFi
TwIRTee
![Page 8: Sur la pratique des méthodes formelles par de non praticiens : …projects.laas.fr/IFSE/FMF/J8/slides/FMF10EJENN.pdf · 2017-10-12 · Sur la pratique des méthodes formelles par](https://reader036.vdocuments.mx/reader036/viewer/2022081402/5f0920f07e708231d4255d49/html5/thumbnails/8.jpg)
09/10/2017© IR
T A
ESE
“Sai
nt
Exu
pér
y” -
All
righ
ts r
eser
ved
Co
nfi
den
tial
an
d p
rop
riet
ary
do
cum
ent
8
POWER
MISSION
CAN bus
Ethernet CAM
TREK1000(ground)
ethernet
WiFi
TwIRTee
![Page 9: Sur la pratique des méthodes formelles par de non praticiens : …projects.laas.fr/IFSE/FMF/J8/slides/FMF10EJENN.pdf · 2017-10-12 · Sur la pratique des méthodes formelles par](https://reader036.vdocuments.mx/reader036/viewer/2022081402/5f0920f07e708231d4255d49/html5/thumbnails/9.jpg)
09/10/2017© IR
T A
ESE
“Sai
nt
Exu
pér
y” -
All
righ
ts r
eser
ved
Co
nfi
den
tial
an
d p
rop
riet
ary
do
cum
ent
9
CAN bus
Ethernet CAM
TREK1000(ground)
ethernet
WiFi
MIS
SIO
N
TwIRTee
CHANNEL LEFT RIGHT
POWER
![Page 10: Sur la pratique des méthodes formelles par de non praticiens : …projects.laas.fr/IFSE/FMF/J8/slides/FMF10EJENN.pdf · 2017-10-12 · Sur la pratique des méthodes formelles par](https://reader036.vdocuments.mx/reader036/viewer/2022081402/5f0920f07e708231d4255d49/html5/thumbnails/10.jpg)
09/10/2017© IR
T A
ESE
“Sai
nt
Exu
pér
y” -
All
righ
ts r
eser
ved
Co
nfi
den
tial
an
d p
rop
riet
ary
do
cum
ent
10
COM
CAN bus
MON
Ethernet CAM
TREK1000(ground)
ethernet
WiFi
MIS
SIO
N
TwIRTee
CHANNEL LEFT
POWER
![Page 11: Sur la pratique des méthodes formelles par de non praticiens : …projects.laas.fr/IFSE/FMF/J8/slides/FMF10EJENN.pdf · 2017-10-12 · Sur la pratique des méthodes formelles par](https://reader036.vdocuments.mx/reader036/viewer/2022081402/5f0920f07e708231d4255d49/html5/thumbnails/11.jpg)
09/10/2017© IR
T A
ESE
“Sai
nt
Exu
pér
y” -
All
righ
ts r
eser
ved
Co
nfi
den
tial
an
d p
rop
riet
ary
do
cum
ent
11
COM
CAN bus
MONCOM: PPC
ZYNQ
Ethernet CAM
TREK1000(ground)
ethernet
WiFi
MIS
SIO
N
MON: ZYNQ
TwIRTee
POWER
![Page 12: Sur la pratique des méthodes formelles par de non praticiens : …projects.laas.fr/IFSE/FMF/J8/slides/FMF10EJENN.pdf · 2017-10-12 · Sur la pratique des méthodes formelles par](https://reader036.vdocuments.mx/reader036/viewer/2022081402/5f0920f07e708231d4255d49/html5/thumbnails/12.jpg)
09/10/2017© IR
T A
ESE
“Sai
nt
Exu
pér
y” -
All
righ
ts r
eser
ved
Co
nfi
den
tial
an
d p
rop
riet
ary
do
cum
ent
12
COM
PPC
CAN bus
MON
ZYNQ
Ethernet CAM
H-bridgeMotorEncoder
Compas
left and right wheel
Buck analogpart
discrete
I2C
analog
discrete TREK1000(ground)
ethernet
WiFi
MIS
SIO
NP
OW
ER
TREK1000(on-board)
TwIRTee
COM: PPC
MON: ZYNQ
![Page 13: Sur la pratique des méthodes formelles par de non praticiens : …projects.laas.fr/IFSE/FMF/J8/slides/FMF10EJENN.pdf · 2017-10-12 · Sur la pratique des méthodes formelles par](https://reader036.vdocuments.mx/reader036/viewer/2022081402/5f0920f07e708231d4255d49/html5/thumbnails/13.jpg)
09/10/2017© IR
T A
ESE
“Sai
nt
Exu
pér
y” -
All
righ
ts r
eser
ved
Co
nfi
den
tial
an
d p
rop
riet
ary
do
cum
ent
13
COM
PPC
CAN bus
MON
ZYNQ
Ethernet CAM
H-bridgeMotorEncoder
Compas
left and right wheel
Buck analogpart
discrete
I2C
analog
discrete TREK1000(ground)
ethernet
WiFi
MIS
SIO
NP
OW
ER
TREK1000(on-board)
TwIRTee
COM: PPC
MON: ZYNQ
OS: Trampoline
OS: Trampoline
OS : LINUX
OS : LINUX
![Page 14: Sur la pratique des méthodes formelles par de non praticiens : …projects.laas.fr/IFSE/FMF/J8/slides/FMF10EJENN.pdf · 2017-10-12 · Sur la pratique des méthodes formelles par](https://reader036.vdocuments.mx/reader036/viewer/2022081402/5f0920f07e708231d4255d49/html5/thumbnails/14.jpg)
09/10/2017© IR
T A
ESE
“Sai
nt
Exu
pér
y” -
All
righ
ts r
eser
ved
Co
nfi
den
tial
an
d p
rop
riet
ary
do
cum
ent
14
COM
PPC
CAN bus
MON
PPC
ZYNQ
Ethernet CAM
H-bridgeMotorEncoder
Compas
left and right wheel
Buck analogpart
discrete
I2C
analog
discrete TREK1000(ground)
ethernet
WiFi
MIS
SIO
NP
OW
ER
ZYNQ
TREK1000(on-board)
Clock synchronization: Verification of timed systems
RMS
Power control
ARP
GM
PM
RCS RM
Motorcontrol
RAM
LOC
MM
MiM
IBPM
OS: Trampoline
OS: Trampoline
OS : LINUX
MW: CAN driver
CS
CS
CS
RCSHMI
RAMHMI
PMHMI
OS : LINUX
![Page 15: Sur la pratique des méthodes formelles par de non praticiens : …projects.laas.fr/IFSE/FMF/J8/slides/FMF10EJENN.pdf · 2017-10-12 · Sur la pratique des méthodes formelles par](https://reader036.vdocuments.mx/reader036/viewer/2022081402/5f0920f07e708231d4255d49/html5/thumbnails/15.jpg)
09/10/2017© IR
T A
ESE
“Sai
nt
Exu
pér
y” -
All
righ
ts r
eser
ved
Co
nfi
den
tial
an
d p
rop
riet
ary
do
cum
ent
15
COM
PPC
CAN bus
MON
PPC
ZYNQ
Ethernet CAM
H-bridgeMotorEncoder
Compas
left and right wheel
Buck analogpart
discrete
I2C
analog
discrete TREK1000(ground)
ethernet
WiFi
MIS
SIO
NP
OW
ER
ZYNQ
TREK1000(on-board)
Clock synchronization: Verification of timed systems
RMS
Power control
ARP
GM
PM
RCS RM
Motorcontrol
RAM
LOC
MM
MiM
IBPM
OS: Trampoline
OS: Trampoline
OS : LINUX
MW: CAN driver
CS
CS
CS
RCSHMI
RAMHMI
PMHMI
OS : LINUX
![Page 16: Sur la pratique des méthodes formelles par de non praticiens : …projects.laas.fr/IFSE/FMF/J8/slides/FMF10EJENN.pdf · 2017-10-12 · Sur la pratique des méthodes formelles par](https://reader036.vdocuments.mx/reader036/viewer/2022081402/5f0920f07e708231d4255d49/html5/thumbnails/16.jpg)
09/10/2017© IR
T A
ESE
“Sai
nt
Exu
pér
y” -
All
righ
ts r
eser
ved
Co
nfi
den
tial
an
d p
rop
riet
ary
do
cum
ent
17
COM
PPC
CAN bus
MON
PPC
ZYNQ
Ethernet CAM
H-bridgeMotorEncoder
Compas
left and right wheel
Buck analogpart
discrete
I2C
analog
discrete TREK1000(ground)
ethernet
WiFi
MIS
SIO
NP
OW
ER
ZYNQ
TREK1000(on-board)
RMS
Power control
ARP
GM
PM
RCS RM
Motorcontrol
RAM
LOC
MM
MiM
IBPM
OS: Trampoline
OS: Trampoline
OS : LINUX
MW: CAN driver
Verification of timed systems: Fiacre and Tina
CS
CS
CS
RCSHMI
RAMHMI
PMHMI
OS : LINUX
![Page 17: Sur la pratique des méthodes formelles par de non praticiens : …projects.laas.fr/IFSE/FMF/J8/slides/FMF10EJENN.pdf · 2017-10-12 · Sur la pratique des méthodes formelles par](https://reader036.vdocuments.mx/reader036/viewer/2022081402/5f0920f07e708231d4255d49/html5/thumbnails/17.jpg)
09/10/2017© IR
T A
ESE
“Sai
nt
Exu
pér
y” -
All
righ
ts r
eser
ved
Co
nfi
den
tial
an
d p
rop
riet
ary
do
cum
ent
18
Verification of timed systems: Fiacre and Tina
![Page 18: Sur la pratique des méthodes formelles par de non praticiens : …projects.laas.fr/IFSE/FMF/J8/slides/FMF10EJENN.pdf · 2017-10-12 · Sur la pratique des méthodes formelles par](https://reader036.vdocuments.mx/reader036/viewer/2022081402/5f0920f07e708231d4255d49/html5/thumbnails/18.jpg)
09/10/2017© IR
T A
ESE
“Sai
nt
Exu
pér
y” -
All
righ
ts r
eser
ved
Co
nfi
den
tial
an
d p
rop
riet
ary
do
cum
ent
19
Verification of timed systems: Fiacre and Tina
Formalization (abstractions, hypothesis,…)
Clock synchronization protocol
STA
RT
VO
TEA
DJU
ST
![Page 19: Sur la pratique des méthodes formelles par de non praticiens : …projects.laas.fr/IFSE/FMF/J8/slides/FMF10EJENN.pdf · 2017-10-12 · Sur la pratique des méthodes formelles par](https://reader036.vdocuments.mx/reader036/viewer/2022081402/5f0920f07e708231d4255d49/html5/thumbnails/19.jpg)
09/10/2017© IR
T A
ESE
“Sai
nt
Exu
pér
y” -
All
righ
ts r
eser
ved
Co
nfi
den
tial
an
d p
rop
riet
ary
do
cum
ent
20
Verification of timed systems: Fiacre and Tina
The model (structure)
![Page 20: Sur la pratique des méthodes formelles par de non praticiens : …projects.laas.fr/IFSE/FMF/J8/slides/FMF10EJENN.pdf · 2017-10-12 · Sur la pratique des méthodes formelles par](https://reader036.vdocuments.mx/reader036/viewer/2022081402/5f0920f07e708231d4255d49/html5/thumbnails/20.jpg)
09/10/2017© IR
T A
ESE
“Sai
nt
Exu
pér
y” -
All
righ
ts r
eser
ved
Co
nfi
den
tial
an
d p
rop
riet
ary
do
cum
ent
21
Verification of timed systems: Fiacre and Tina
The model (structure)
The model (behaviour)
![Page 21: Sur la pratique des méthodes formelles par de non praticiens : …projects.laas.fr/IFSE/FMF/J8/slides/FMF10EJENN.pdf · 2017-10-12 · Sur la pratique des méthodes formelles par](https://reader036.vdocuments.mx/reader036/viewer/2022081402/5f0920f07e708231d4255d49/html5/thumbnails/21.jpg)
09/10/2017© IR
T A
ESE
“Sai
nt
Exu
pér
y” -
All
righ
ts r
eser
ved
Co
nfi
den
tial
an
d p
rop
riet
ary
do
cum
ent
22
Verification of timed systems: Fiacre and Tina
From a crude HMI… … to a fancy Eclipse simulation environment
… with MSCs… … and causal diagrams.
![Page 22: Sur la pratique des méthodes formelles par de non praticiens : …projects.laas.fr/IFSE/FMF/J8/slides/FMF10EJENN.pdf · 2017-10-12 · Sur la pratique des méthodes formelles par](https://reader036.vdocuments.mx/reader036/viewer/2022081402/5f0920f07e708231d4255d49/html5/thumbnails/22.jpg)
09/10/2017© IR
T A
ESE
“Sai
nt
Exu
pér
y” -
All
righ
ts r
eser
ved
Co
nfi
den
tial
an
d p
rop
riet
ary
do
cum
ent
23
• From "simulation" to "advanced simulation"• Guided-simulation (property-driven simulation)
Verification of timed systems: Fiacre and Tina
• Some specific properties have been verified: are they worth the effort?
• How to gain confidence on the model?• How to debug the model ?
![Page 23: Sur la pratique des méthodes formelles par de non praticiens : …projects.laas.fr/IFSE/FMF/J8/slides/FMF10EJENN.pdf · 2017-10-12 · Sur la pratique des méthodes formelles par](https://reader036.vdocuments.mx/reader036/viewer/2022081402/5f0920f07e708231d4255d49/html5/thumbnails/23.jpg)
09/10/2017© IR
T A
ESE
“Sai
nt
Exu
pér
y” -
All
righ
ts r
eser
ved
Co
nfi
den
tial
an
d p
rop
riet
ary
do
cum
ent
24
COM
PPC
CAN bus
MON
PPC
ZYNQ
Ethernet CAM
H-bridgeMotorEncoder
Compas
left and right wheel
Buck analogpart
discrete
I2C
analog
discrete TREK1000(ground)
ethernet
WiFi
MIS
SIO
NP
OW
ER
ZYNQ
TREK1000(on-board)
Redundancy Mngt: Verification of synchronous SW:
Power control
ARP
GM
PM
RCS RM
Motorcontrol
RAM
LOC
MM
MiM
IBPM
OS: Trampoline
OS: Trampoline
OS : LINUX
MW: CAN driver
CS
CS
CS
RMSRCSHMI
RAMHMI
PMHMI
OS : LINUX
![Page 24: Sur la pratique des méthodes formelles par de non praticiens : …projects.laas.fr/IFSE/FMF/J8/slides/FMF10EJENN.pdf · 2017-10-12 · Sur la pratique des méthodes formelles par](https://reader036.vdocuments.mx/reader036/viewer/2022081402/5f0920f07e708231d4255d49/html5/thumbnails/24.jpg)
09/10/2017© IR
T A
ESE
“Sai
nt
Exu
pér
y” -
All
righ
ts r
eser
ved
Co
nfi
den
tial
an
d p
rop
riet
ary
do
cum
ent
25
Verification of synchronous SW: Redundancy MngtTwIRTee architecture
2/20/20174Guillaume RIPOLL
© I
RT
AE
SE
“S
aint
Exu
péry
” -
All
right
s re
serv
ed C
onfid
entia
l and
pro
prie
tary
doc
umen
t
Channel LEFT
Unit COM
Unit MON
bus
CAN
Channel RIGHT
Unit COM
Unit MON
4 ASYNCHRONOUS UNITS
LUSTRE HLL S3
![Page 25: Sur la pratique des méthodes formelles par de non praticiens : …projects.laas.fr/IFSE/FMF/J8/slides/FMF10EJENN.pdf · 2017-10-12 · Sur la pratique des méthodes formelles par](https://reader036.vdocuments.mx/reader036/viewer/2022081402/5f0920f07e708231d4255d49/html5/thumbnails/25.jpg)
09/10/2017© IR
T A
ESE
“Sai
nt
Exu
pér
y” -
All
righ
ts r
eser
ved
Co
nfi
den
tial
an
d p
rop
riet
ary
do
cum
ent
26
Verification of synchronous SW: Redundancy Mngt
Clock synchro
PALS
Synchronous RMS
Formal verification using S3
![Page 26: Sur la pratique des méthodes formelles par de non praticiens : …projects.laas.fr/IFSE/FMF/J8/slides/FMF10EJENN.pdf · 2017-10-12 · Sur la pratique des méthodes formelles par](https://reader036.vdocuments.mx/reader036/viewer/2022081402/5f0920f07e708231d4255d49/html5/thumbnails/26.jpg)
09/10/2017© IR
T A
ESE
“Sai
nt
Exu
pér
y” -
All
righ
ts r
eser
ved
Co
nfi
den
tial
an
d p
rop
riet
ary
do
cum
ent
27
COM
PPC
CAN bus
MON
PPC
ZYNQ
Ethernet CAM
H-bridgeMotorEncoder
Compas
left and right wheel
Buck analogpart
discrete
I2C
analog
discrete TREK1000(ground)
ethernet
WiFi
MIS
SIO
NP
OW
ER
ZYNQ
TREK1000(on-board)
Mission management: Verification of configuration data
RMS
Power control
ARP
GM
PM
RCS RM
Motorcontrol
RAM
LOC
MM
IBPM
OS: Trampoline
OS: Trampoline
OS : LINUX
MW: CAN driver
RCSHMI
RAMHMI
PMHMI
OS : LINUX
CS
CS
CS
MM
![Page 27: Sur la pratique des méthodes formelles par de non praticiens : …projects.laas.fr/IFSE/FMF/J8/slides/FMF10EJENN.pdf · 2017-10-12 · Sur la pratique des méthodes formelles par](https://reader036.vdocuments.mx/reader036/viewer/2022081402/5f0920f07e708231d4255d49/html5/thumbnails/27.jpg)
09/10/2017© IR
T A
ESE
“Sai
nt
Exu
pér
y” -
All
righ
ts r
eser
ved
Co
nfi
den
tial
an
d p
rop
riet
ary
do
cum
ent
28
Formal verification of configuration data
![Page 28: Sur la pratique des méthodes formelles par de non praticiens : …projects.laas.fr/IFSE/FMF/J8/slides/FMF10EJENN.pdf · 2017-10-12 · Sur la pratique des méthodes formelles par](https://reader036.vdocuments.mx/reader036/viewer/2022081402/5f0920f07e708231d4255d49/html5/thumbnails/28.jpg)
09/10/2017© IR
T A
ESE
“Sai
nt
Exu
pér
y” -
All
righ
ts r
eser
ved
Co
nfi
den
tial
an
d p
rop
riet
ary
do
cum
ent
29
Formal verification of configuration data
HLL S3
![Page 29: Sur la pratique des méthodes formelles par de non praticiens : …projects.laas.fr/IFSE/FMF/J8/slides/FMF10EJENN.pdf · 2017-10-12 · Sur la pratique des méthodes formelles par](https://reader036.vdocuments.mx/reader036/viewer/2022081402/5f0920f07e708231d4255d49/html5/thumbnails/29.jpg)
09/10/2017© IR
T A
ESE
“Sai
nt
Exu
pér
y” -
All
righ
ts r
eser
ved
Co
nfi
den
tial
an
d p
rop
riet
ary
do
cum
ent
30
• Consider dedicated tools!
Formal verification of configuration data
• A way to get acquainted to the formalism and tool…
![Page 30: Sur la pratique des méthodes formelles par de non praticiens : …projects.laas.fr/IFSE/FMF/J8/slides/FMF10EJENN.pdf · 2017-10-12 · Sur la pratique des méthodes formelles par](https://reader036.vdocuments.mx/reader036/viewer/2022081402/5f0920f07e708231d4255d49/html5/thumbnails/30.jpg)
09/10/2017© IR
T A
ESE
“Sai
nt
Exu
pér
y” -
All
righ
ts r
eser
ved
Co
nfi
den
tial
an
d p
rop
riet
ary
do
cum
ent
31
COM
PPC
CAN bus
MON
PPC
ZYNQ
Ethernet CAM
H-bridgeMotorEncoder
Compas
left and right wheel
Buck analogpart
discrete
I2C
analog
discrete TREK1000(ground)
ethernet
WiFi
MIS
SIO
NP
OW
ER
ZYNQ
TREK1000(on-board)
Supervision: Formal verification of HMIs
RMS
Power control
ARP
GM
PM
RCS RM
Motorcontrol
RAM
LOC
MM
MiM
IBPM
OS: Trampoline
OS: Trampoline
OS : LINUX
MW: CAN driver
CS
CS
CS
RCSHMI
PMHMI
OS : LINUX
RAMHMI
![Page 31: Sur la pratique des méthodes formelles par de non praticiens : …projects.laas.fr/IFSE/FMF/J8/slides/FMF10EJENN.pdf · 2017-10-12 · Sur la pratique des méthodes formelles par](https://reader036.vdocuments.mx/reader036/viewer/2022081402/5f0920f07e708231d4255d49/html5/thumbnails/31.jpg)
09/10/2017© IR
T A
ESE
“Sai
nt
Exu
pér
y” -
All
righ
ts r
eser
ved
Co
nfi
den
tial
an
d p
rop
riet
ary
do
cum
ent
32
Supervision: Formal verification of HMIs
RCSHMI
PMHMI
OS : LINUX
RAMHMIAlert 10some text
Alert 2
Alert 7
Alert 1Some text
Alert 3some text
![Page 32: Sur la pratique des méthodes formelles par de non praticiens : …projects.laas.fr/IFSE/FMF/J8/slides/FMF10EJENN.pdf · 2017-10-12 · Sur la pratique des méthodes formelles par](https://reader036.vdocuments.mx/reader036/viewer/2022081402/5f0920f07e708231d4255d49/html5/thumbnails/32.jpg)
09/10/2017© IR
T A
ESE
“Sai
nt
Exu
pér
y” -
All
righ
ts r
eser
ved
Co
nfi
den
tial
an
d p
rop
riet
ary
do
cum
ent
33
Supervision: Formal verification of HMIs
RCSHMI
PMHMI
OS : LINUX
RAMHMI
Predefined slots
Alert 10some text
Alert 2
Alert 7
Alert 1Some text
Alert 3some text
![Page 33: Sur la pratique des méthodes formelles par de non praticiens : …projects.laas.fr/IFSE/FMF/J8/slides/FMF10EJENN.pdf · 2017-10-12 · Sur la pratique des méthodes formelles par](https://reader036.vdocuments.mx/reader036/viewer/2022081402/5f0920f07e708231d4255d49/html5/thumbnails/33.jpg)
09/10/2017© IR
T A
ESE
“Sai
nt
Exu
pér
y” -
All
righ
ts r
eser
ved
Co
nfi
den
tial
an
d p
rop
riet
ary
do
cum
ent
34
Supervision: Formal verification of HMIs
RCSHMI
PMHMI
OS : LINUX
RAMHMI
Predefined slots
Alert 10some text
Alert 2
Alert 7
Alert 1Some text
Alert 3some text
Alert 2
Alert 7
Alert 10some text
Alert 1Some text
Alert 3some text
![Page 34: Sur la pratique des méthodes formelles par de non praticiens : …projects.laas.fr/IFSE/FMF/J8/slides/FMF10EJENN.pdf · 2017-10-12 · Sur la pratique des méthodes formelles par](https://reader036.vdocuments.mx/reader036/viewer/2022081402/5f0920f07e708231d4255d49/html5/thumbnails/34.jpg)
09/10/2017© IR
T A
ESE
“Sai
nt
Exu
pér
y” -
All
righ
ts r
eser
ved
Co
nfi
den
tial
an
d p
rop
riet
ary
do
cum
ent
35
Formal verification of HMIs
Alert 2
All alerts
Alert 1
Alert 3
Alert 4
Alert 5
Alert 6
Alert 7
Alert 8
Alert 9
Alert 10
Sortingnetwork
Inital target alert
Alert 2
Alert 10
Alert 4
Alert 5
Alert 6
Alert 7
Alert 8
Alert 9
Alert 10
Priority-sorted alerts
Alert 3
Target alertselection
Target alert move
move=up/down/none
target alert
Alert 10some text
Alert 2
Alert 7
Alert 1Some text
Alert 3some text
Target slot move
Target slot selection
Routing target slottarget alert
LUSTRE LUSTRE
LUSTRE
LUSTRE
![Page 35: Sur la pratique des méthodes formelles par de non praticiens : …projects.laas.fr/IFSE/FMF/J8/slides/FMF10EJENN.pdf · 2017-10-12 · Sur la pratique des méthodes formelles par](https://reader036.vdocuments.mx/reader036/viewer/2022081402/5f0920f07e708231d4255d49/html5/thumbnails/35.jpg)
09/10/2017© IR
T A
ESE
“Sai
nt
Exu
pér
y” -
All
righ
ts r
eser
ved
Co
nfi
den
tial
an
d p
rop
riet
ary
do
cum
ent
36
Formal verification of HMI
© IRT AESE 2015 – All right reserved Confidential and proprietary document.
VISIBILITY
TASK RELATED
RELIABILITY
![Page 36: Sur la pratique des méthodes formelles par de non praticiens : …projects.laas.fr/IFSE/FMF/J8/slides/FMF10EJENN.pdf · 2017-10-12 · Sur la pratique des méthodes formelles par](https://reader036.vdocuments.mx/reader036/viewer/2022081402/5f0920f07e708231d4255d49/html5/thumbnails/36.jpg)
09/10/2017© IR
T A
ESE
“Sai
nt
Exu
pér
y” -
All
righ
ts r
eser
ved
Co
nfi
den
tial
an
d p
rop
riet
ary
do
cum
ent
37
Formal verification of HMIs
Formal specification
Formal design
Formal verification of
implementation
Informal specification
![Page 37: Sur la pratique des méthodes formelles par de non praticiens : …projects.laas.fr/IFSE/FMF/J8/slides/FMF10EJENN.pdf · 2017-10-12 · Sur la pratique des méthodes formelles par](https://reader036.vdocuments.mx/reader036/viewer/2022081402/5f0920f07e708231d4255d49/html5/thumbnails/37.jpg)
09/10/2017© IR
T A
ESE
“Sai
nt
Exu
pér
y” -
All
righ
ts r
eser
ved
Co
nfi
den
tial
an
d p
rop
riet
ary
do
cum
ent
39
• HMIs deserve formal specification and verification
• HMIs are (probably) in the area where model-checkingtechniques are very efficient
Formal verification of HMIs
• A very simple HMI designed using formal modelsand methods…
![Page 38: Sur la pratique des méthodes formelles par de non praticiens : …projects.laas.fr/IFSE/FMF/J8/slides/FMF10EJENN.pdf · 2017-10-12 · Sur la pratique des méthodes formelles par](https://reader036.vdocuments.mx/reader036/viewer/2022081402/5f0920f07e708231d4255d49/html5/thumbnails/38.jpg)
09/10/2017© IR
T A
ESE
“Sai
nt
Exu
pér
y” -
All
righ
ts r
eser
ved
Co
nfi
den
tial
an
d p
rop
riet
ary
do
cum
ent
40
COM
PPC
CAN bus
MON
PPC
ZYNQ
Ethernet CAM
H-bridgeMotorEncoder
Compas
left and right wheel
Buck analogpart
discrete
I2C
analog
discrete TREK1000(ground)
ethernet
WiFi
MIS
SIO
NP
OW
ER
ZYNQ
TREK1000(on-board)
Anticollision function: Correction by construction
RMS
Power control
GM
PM
RCS RM
Motorcontrol
RAM
LOC
MM
MiM
IBPM
OS: Trampoline
OS: Trampoline
OS : LINUX
MW: CAN driver
CS
CS
CS
RCSHMI
RAMHMI
PMHMI
OS : LINUX
ARP
![Page 39: Sur la pratique des méthodes formelles par de non praticiens : …projects.laas.fr/IFSE/FMF/J8/slides/FMF10EJENN.pdf · 2017-10-12 · Sur la pratique des méthodes formelles par](https://reader036.vdocuments.mx/reader036/viewer/2022081402/5f0920f07e708231d4255d49/html5/thumbnails/39.jpg)
09/10/2017© IR
T A
ESE
“Sai
nt
Exu
pér
y” -
All
righ
ts r
eser
ved
Co
nfi
den
tial
an
d p
rop
riet
ary
do
cum
ent
41
Anticollision function: Correction by construction
![Page 40: Sur la pratique des méthodes formelles par de non praticiens : …projects.laas.fr/IFSE/FMF/J8/slides/FMF10EJENN.pdf · 2017-10-12 · Sur la pratique des méthodes formelles par](https://reader036.vdocuments.mx/reader036/viewer/2022081402/5f0920f07e708231d4255d49/html5/thumbnails/40.jpg)
09/10/2017© IR
T A
ESE
“Sai
nt
Exu
pér
y” -
All
righ
ts r
eser
ved
Co
nfi
den
tial
an
d p
rop
riet
ary
do
cum
ent
42
Anticollision function: Correction by construction
Refinement strategy
Requirements classification
Requirements layering
Event-B model
![Page 41: Sur la pratique des méthodes formelles par de non praticiens : …projects.laas.fr/IFSE/FMF/J8/slides/FMF10EJENN.pdf · 2017-10-12 · Sur la pratique des méthodes formelles par](https://reader036.vdocuments.mx/reader036/viewer/2022081402/5f0920f07e708231d4255d49/html5/thumbnails/41.jpg)
09/10/2017© IR
T A
ESE
“Sai
nt
Exu
pér
y” -
All
righ
ts r
eser
ved
Co
nfi
den
tial
an
d p
rop
riet
ary
do
cum
ent
43
Anticollision function: Correction by construction
![Page 42: Sur la pratique des méthodes formelles par de non praticiens : …projects.laas.fr/IFSE/FMF/J8/slides/FMF10EJENN.pdf · 2017-10-12 · Sur la pratique des méthodes formelles par](https://reader036.vdocuments.mx/reader036/viewer/2022081402/5f0920f07e708231d4255d49/html5/thumbnails/42.jpg)
09/10/2017© IR
T A
ESE
“Sai
nt
Exu
pér
y” -
All
righ
ts r
eser
ved
Co
nfi
den
tial
an
d p
rop
riet
ary
do
cum
ent
44
Anticollision function: Correction by construction
![Page 43: Sur la pratique des méthodes formelles par de non praticiens : …projects.laas.fr/IFSE/FMF/J8/slides/FMF10EJENN.pdf · 2017-10-12 · Sur la pratique des méthodes formelles par](https://reader036.vdocuments.mx/reader036/viewer/2022081402/5f0920f07e708231d4255d49/html5/thumbnails/43.jpg)
09/10/2017© IR
T A
ESE
“Sai
nt
Exu
pér
y” -
All
righ
ts r
eser
ved
Co
nfi
den
tial
an
d p
rop
riet
ary
do
cum
ent
45
Anticollision function: Correction by construction
Category 1.a: writing rules
aimed at avoiding
modelling errors Category 1.b:
writing rules aimed at
facilitating theproof process
Category 1.c: writing rules
aimed at facilitating the review process Category 2.a:
review rules aimed at revealing modelling
errors
![Page 44: Sur la pratique des méthodes formelles par de non praticiens : …projects.laas.fr/IFSE/FMF/J8/slides/FMF10EJENN.pdf · 2017-10-12 · Sur la pratique des méthodes formelles par](https://reader036.vdocuments.mx/reader036/viewer/2022081402/5f0920f07e708231d4255d49/html5/thumbnails/44.jpg)
09/10/2017© IR
T A
ESE
“Sai
nt
Exu
pér
y” -
All
righ
ts r
eser
ved
Co
nfi
den
tial
an
d p
rop
riet
ary
do
cum
ent
46
• Automation?
Anticollision function: Correction by construction
• A complete (simple) function formally developedtop to bottom using a combination of Robin and S3
• No floating point operations
![Page 45: Sur la pratique des méthodes formelles par de non praticiens : …projects.laas.fr/IFSE/FMF/J8/slides/FMF10EJENN.pdf · 2017-10-12 · Sur la pratique des méthodes formelles par](https://reader036.vdocuments.mx/reader036/viewer/2022081402/5f0920f07e708231d4255d49/html5/thumbnails/45.jpg)
09/10/2017© IR
T A
ESE
“Sai
nt
Exu
pér
y” -
All
righ
ts r
eser
ved
Co
nfi
den
tial
an
d p
rop
riet
ary
do
cum
ent
48
COM
PPC
CAN bus
MON
PPC
ZYNQ
Ethernet CAM
H-bridgeMotorEncoder
Compas
left and right wheel
Buck analogpart
discrete
I2C
analog
discrete TREK1000(ground)
ethernet
WiFi
MIS
SIO
NP
OW
ER
ZYNQ
TREK1000(on-board)
Image-based position monitoring: Numerical issues
RMS
Power control
ARP
GM
PM
RCS RM
Motorcontrol
RAM
MM
MiM
OS: Trampoline
OS: Trampoline
OS : LINUX
MW: CAN driver
CS
CS
CS
RCSHMI
RAMHMI
PMHMI
OS : LINUX
IBPM
LOC
![Page 46: Sur la pratique des méthodes formelles par de non praticiens : …projects.laas.fr/IFSE/FMF/J8/slides/FMF10EJENN.pdf · 2017-10-12 · Sur la pratique des méthodes formelles par](https://reader036.vdocuments.mx/reader036/viewer/2022081402/5f0920f07e708231d4255d49/html5/thumbnails/46.jpg)
09/10/2017© IR
T A
ESE
“Sai
nt
Exu
pér
y” -
All
righ
ts r
eser
ved
Co
nfi
den
tial
an
d p
rop
riet
ary
do
cum
ent
49
Image-based position monitoring: Numerical issues
© IRT AESE 2015 – All right reserved Confidential and proprietary document.
Odometry
In-doorpositioning
Compass
Complianceimage / location
Segment extraction
Segments
Envelope computation
Envelope
Pose OK
Pose KO
CameraImage
Hybridation
Pose
Error ellipsoid
Map
PPC (COM)
ZYNQ (MON)
![Page 47: Sur la pratique des méthodes formelles par de non praticiens : …projects.laas.fr/IFSE/FMF/J8/slides/FMF10EJENN.pdf · 2017-10-12 · Sur la pratique des méthodes formelles par](https://reader036.vdocuments.mx/reader036/viewer/2022081402/5f0920f07e708231d4255d49/html5/thumbnails/47.jpg)
09/10/2017© IR
T A
ESE
“Sai
nt
Exu
pér
y” -
All
righ
ts r
eser
ved
Co
nfi
den
tial
an
d p
rop
riet
ary
do
cum
ent
50
• Matrix inversion(Kalman)
Image-based position monitoring: Numerical issues
![Page 48: Sur la pratique des méthodes formelles par de non praticiens : …projects.laas.fr/IFSE/FMF/J8/slides/FMF10EJENN.pdf · 2017-10-12 · Sur la pratique des méthodes formelles par](https://reader036.vdocuments.mx/reader036/viewer/2022081402/5f0920f07e708231d4255d49/html5/thumbnails/48.jpg)
09/10/2017© IR
T A
ESE
“Sai
nt
Exu
pér
y” -
All
righ
ts r
eser
ved
Co
nfi
den
tial
an
d p
rop
riet
ary
do
cum
ent
51
Image-based position monitoring: Numerical issues
𝑣1 = 1 + 10−11 ∙ 1020
𝑣2 = 1 − 10−11 ∙ 1020
𝑣3 = 0.98
𝑣1 = 1 ∙ 1020
𝑣2 = 1 ∙ 1020
𝑣3 = 0.98
Exact
Approx
• Matrix inversion(Kalman)
• Eigenvectors(error ellipsoïd)
![Page 49: Sur la pratique des méthodes formelles par de non praticiens : …projects.laas.fr/IFSE/FMF/J8/slides/FMF10EJENN.pdf · 2017-10-12 · Sur la pratique des méthodes formelles par](https://reader036.vdocuments.mx/reader036/viewer/2022081402/5f0920f07e708231d4255d49/html5/thumbnails/49.jpg)
09/10/2017© IR
T A
ESE
“Sai
nt
Exu
pér
y” -
All
righ
ts r
eser
ved
Co
nfi
den
tial
an
d p
rop
riet
ary
do
cum
ent
52
Image-based position monitoring: Numerical issues
(146.608,240)(146.608,240)(174.359,240)(162.089,44.2376)(158.034,44.2377)(157.953,45.6318)(157.852,44.2377)(153.796,44.2497)(144.245,240)(146.608,240)
(158.017,44.2377)(157.852,44.2377)(157.852,44.2382)(153.796,44.2497)(144.245,240)(146.608,240)(157.953,45.6318)(172.002,240)[…](158.034,44.2377)(158.017,44.2377)
polygon #0 polygon #1
U =
• Matrix inversion(Kalman)
• Eigenvectors(error ellipsoïd)
• Geometricalcomputations(enveloppe computation)
![Page 50: Sur la pratique des méthodes formelles par de non praticiens : …projects.laas.fr/IFSE/FMF/J8/slides/FMF10EJENN.pdf · 2017-10-12 · Sur la pratique des méthodes formelles par](https://reader036.vdocuments.mx/reader036/viewer/2022081402/5f0920f07e708231d4255d49/html5/thumbnails/50.jpg)
09/10/2017© IR
T A
ESE
“Sai
nt
Exu
pér
y” -
All
righ
ts r
eser
ved
Co
nfi
den
tial
an
d p
rop
riet
ary
do
cum
ent
53
• Excerpt from the BOOST library
Image-based position monitoring: Numerical issues
![Page 51: Sur la pratique des méthodes formelles par de non praticiens : …projects.laas.fr/IFSE/FMF/J8/slides/FMF10EJENN.pdf · 2017-10-12 · Sur la pratique des méthodes formelles par](https://reader036.vdocuments.mx/reader036/viewer/2022081402/5f0920f07e708231d4255d49/html5/thumbnails/51.jpg)
09/10/2017© IR
T A
ESE
“Sai
nt
Exu
pér
y” -
All
righ
ts r
eser
ved
Co
nfi
den
tial
an
d p
rop
riet
ary
do
cum
ent
54
Image-based position monitoring: Numerical issues
CGAL
Speed = 1
Strange, strange…
BOOST
Speed = 50
![Page 52: Sur la pratique des méthodes formelles par de non praticiens : …projects.laas.fr/IFSE/FMF/J8/slides/FMF10EJENN.pdf · 2017-10-12 · Sur la pratique des méthodes formelles par](https://reader036.vdocuments.mx/reader036/viewer/2022081402/5f0920f07e708231d4255d49/html5/thumbnails/52.jpg)
09/10/2017© IR
T A
ESE
“Sai
nt
Exu
pér
y” -
All
righ
ts r
eser
ved
Co
nfi
den
tial
an
d p
rop
riet
ary
do
cum
ent
55
• Find the best representation for hardware implementation
Formal verification of configuration data
• Found a place where 𝟎. 𝟏 + 𝟎. 𝟏 ≠ 𝟎. 𝟐… and where it actually matters…
![Page 53: Sur la pratique des méthodes formelles par de non praticiens : …projects.laas.fr/IFSE/FMF/J8/slides/FMF10EJENN.pdf · 2017-10-12 · Sur la pratique des méthodes formelles par](https://reader036.vdocuments.mx/reader036/viewer/2022081402/5f0920f07e708231d4255d49/html5/thumbnails/53.jpg)
09/10/2017© IR
T A
ESE
“Sai
nt
Exu
pér
y” -
All
righ
ts r
eser
ved
Co
nfi
den
tial
an
d p
rop
riet
ary
do
cum
ent
56
To conclude: dealing with (so) many methods and tools…
???
![Page 54: Sur la pratique des méthodes formelles par de non praticiens : …projects.laas.fr/IFSE/FMF/J8/slides/FMF10EJENN.pdf · 2017-10-12 · Sur la pratique des méthodes formelles par](https://reader036.vdocuments.mx/reader036/viewer/2022081402/5f0920f07e708231d4255d49/html5/thumbnails/54.jpg)
09/10/2017© IR
T A
ESE
“Sai
nt
Exu
pér
y” -
All
righ
ts r
eser
ved
Co
nfi
den
tial
an
d p
rop
riet
ary
do
cum
ent
57
To conclude: dealing with (so) many methods and tools…
© IRT AESE 2015 – All right reserved Confidential and proprietary document.
Datalogprogram
ETB
Verificationarguments Translation
Derivation tree Rules Leaves are "facts".
Translation
Safetycase
GSN
Structured argument
Evidences
Execution
Tools
Orchestration
![Page 55: Sur la pratique des méthodes formelles par de non praticiens : …projects.laas.fr/IFSE/FMF/J8/slides/FMF10EJENN.pdf · 2017-10-12 · Sur la pratique des méthodes formelles par](https://reader036.vdocuments.mx/reader036/viewer/2022081402/5f0920f07e708231d4255d49/html5/thumbnails/55.jpg)
09/10/2017 58
© IRT AESE ”Saint Exupéry” - All rights reserved Confidential and proprietary document. This document and all information contained
herein is the sole property of IRT AESE “Saint Exupéry”. No intellectual property rights are granted by the delivery of this document
or the disclosure of its content. This document shall not be reproduced or disclosed to a third party without the express written
consent of IRT AESE “Saint Exupéry” . This document and its content shall not be used for any purpose other than that for which it is
supplied. IRT AESE ”Saint Exupéry” and its logo are registered trademarks.
Merci de votre attention