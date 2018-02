Recherche

Emmanuelle Perrot - 18/10/2013

Quand les programmes font leurs preuves

Huit ans après la création de l’équipe Proval dirigée par Christine Paulin-Mohring, l’équipe prend un nouveau tournant en 2013, avec de nouvelles orientations et un nouveau responsable, Claude Marché. Celui-ci nous en dit plus sur cette nouvelle équipe, Toccata.

Quel est le domaine de recherche de l’équipe et quelles sont les évolutions de vos axes de recherche ?

Dans l’équipe Toccata, nous travaillons sur la preuve de programme. Au temps de Proval, notre recherche portait principalement sur la conception de programmes qui vérifient d’autres programmes. Aujourd’hui, nous souhaitons mettre en avant la vérification des outils de vérification eux-mêmes.

Concrètement, la recherche de Toccata se divise en 3 axes :

la preuve des outils de vérification. Comme ces outils relèvent du calcul symbolique en général (compilateurs, générateurs d'obligations de preuve, prouveur automatique de théorèmes), nous pensons qu'ils sont des cibles idéales pour mettre en œuvre nos approches de vérification par spécification formelle et preuve assistée par ordinateur.

la vérification des programmes qui font des calculs numériques. On veut être capable de certifier des dispositifs qui fonctionnent grâce aux mathématiques appliquées, notamment des équations différentielles. En effet, la modélisation de systèmes physiques requiert l’aide des mathématiques, et se traduit par des équations différentielles. La résolution approchée de telles équations par ordinateur sont des programmes complexes, dont on veut vérifier le bon fonctionnement. Une spécialité de l’équipe est de pouvoir raisonner mathématiquement aussi bien sur l'erreur commise par la méthode de résolution que par les erreurs d'arrondis dans les calculs.

et enfin, un axe historique, fondement de l’équipe Proval : la démonstration automatique. Cela signifie regarder d’un côté la spécification et de l’autre le programme conçu pour y répondre, et vérifier que cela correspond. Cela demande de pouvoir donner un théorème à un ordinateur et que l’ordinateur dise « ce théorème est vrai ». On cherche ainsi à avoir des outils puissants et adaptés à la preuve de programme.

Qu’est-ce que la preuve de programme ?

Lorsque l’on parle de preuve de programme, on entend le mot « preuve » qui évoque les maths, et le mot « programme » qui évoque l’informatique. Alors qu’est-ce qu’un programme ? Ce sont des textes (des lignes de codes) écrits par un programmeur sur un ordinateur et que ce dernier interprète pour faire fonctionner un logiciel. De manière simplifiée, le programmeur explique à l’ordinateur ce que doit faire le logiciel. On peut donc dire que le programme est la description source, et le logiciel, le produit final.

Il y a des programmes écrits pour des outils de la vie courante tels que la navigation sur internet, les mails, le traitement de texte… Et il existe des programmes pour faire fonctionner des machines comme des avions ou des voitures. Ce sont des programmes avec lesquels on n’interagit pas comme on en a l’habitude : pas de souris, ni clavier, ni fenêtre graphique. Pourtant, ces programmes sont construits de la même manière quel que soit le logiciel final : on traduit du langage de programmation vers le code binaire (travail du compilateur) qui est le langage que comprend l’ordinateur et qu’il peut donc exécuter.

Et prouver un programme alors ?

On veut s'assurer que le programme fait ce que le programmeur lui a dit de faire Il faut considérer que le programmeur a donné des spécifications un « cahier des charges »). Par exemple dans l’aéronautique, c’est spécifier que la vitesse de l’avion ne doit pas être inférieure àxkm/h, et que l’avion ne doit jamais être à moins deymiles d’un autre avion pour ne pas risquer de le heurter. Ou si l’on prend l’exemple d'un métro automatique, c’est dire que les portes ne doivent pas s’ouvrir tant que la rame n’est pas arrêtée sur le quai. Les spécifications sont donc toutes les indications qu’il faut pour s’assurer des règles de bon fonctionnement.

La vérification de programme, ou preuve de programme, consiste donc à utiliser d’autres programmes qui vont regarder l’ensemble des spécifications et le programme écrit, et dire si cela correspond ou bien s’il y a des erreurs qui nuiraient au bon fonctionnement du logiciel.

Dans le centre Inria de Saclay, plusieurs équipes travaillent sur ce thème et proposent donc différentes méthodes de vérification de programme. Notre équipe proposait la vérification par la preuve formelle, comme pour prouver un théorème de mathématiques. La preuve formelle par ordinateur est une spécialité déjà ancienne d'Inria, c’est ainsi qu’est né le programme Coq (développé par plusieurs équipes d’Inria) qui est utilisé pour prouver des théorèmes mathématiques comme par exemple le théorème des quatre couleurs, ou plus récemment le théorème de Feit/Thompson, mais aussi pour prouver des programmes, comme le compilateur CompCert.

Quelles sont les applications de la preuve de programme ?

Les axes de recherche de l’équipe relèvent à la fois du théorique (des maths si on veut) et de la pratique. Nous cherchons à proposer des méthodes applicables à l’industrie, et en particulier à l’aéronautique car c’est là que les contraintes de certification sont les plus fortes et que le plus d’argent est investi pour s’assurer de la correction des programmes. Plusieurs méthodes par preuve pour prouver des programmes ont donc déjà été proposées à des industriels de l’aéronautique (Dassault Aviation, Airbus).

Mais une nouvelle problématique apparaît : les industriels ont besoin de qualifier leurs outils, c’est à dire pouvoir convaincre les organismes de certification de l'aviation civile que les méthodes de développement et les outils utilisés sont bons. C’est un processus qui implique d’écrire une documentation et des textes poussés pour convaincre que le programme donne bien les bonnes réponses. À ce jour, dans l’équipe, Alt-Ergo est le seul outil qualifié et utilisé par des industriels. Nous espérons que la vérification des outils eux-mêmes, telle que nous la proposons dans Toccata, permettra un processus de qualification moins complexe.

Mots-clés : Claude Marché Saclay - Île-de-France Toccata Preuve de programme