Combining CCSL and Esterel to specify and verify time requirements

The UML Profile for Modeling and Analysis of Real-Time and Embedded (RTE) systems has recently been adopted by the OMG. Its Time Model extends the informal and simplistic Simple Time package proposed by UML2 and offers a broad range of capabilities required to model RTE systems including both discrete/dense and chronometric/logical time. MARTE OMG specification introduces a Time Structure inspired from Time models of the concurrency theory and proposes a new clock constraint specification language (CCSL) to specify, within the context of UML, logical and chronometric time constraints. This paper introduces the formal semantics of CCSL clock constraints and proposes a process to use CCSL both as a high-level specification language for UML models and as a golden model to verify the conformance of implementations. A digital filtering video application is used as a running example to support the discussion. The application is first formally specified with CCSL and the specification is refined based on feedback from the CCSL-dedicated simulator. In a second phase, an Esterel program of the application is considered. This program is instrumented with observers derived from the CCSL specification. Esterel Studio formal verification facilities are then used to check the conformity of the Esterel implementation with the CCSL specification. A specific library of Esterel observers has been built for this purpose. Key-words: Time Model, MARTE, Synchronous languages, Esterel, SyncCharts Submitted to LCTES’09 TimeSquare is released as part of the platform OpenEmbeDD, a Model Driven Engineering open-source platform for Real-Time and Embedded systems (http://www.openembedd.org). ∗ Université de Nice Sophia Antipolis in ria -0 03 60 52 8, v er si on 2 26 M ar 2 00 9 CCSL et Esterel pour combiner et vérifier des propriétés de temps Résumé : Le profil UML pour la modélisation et l’analyse de systèmes temps réel et embarqués (MARTE) a été récemment adopté par l’OMG. Son modèle de temps étend le paquetage SimpleTime de UML2 qui est à la fois simple et informel. MARTE ajoute une grande variété d’éléments requis pour modéliser les systèmes temps réel et embarqués, et en particulier la prise en compte du temps logique et chronométrique, discret ou dense. La spécifiaction OMG de MARTE propose un modèle de causalité temporel inspiré des modèles de temps de la théorie de la concurrence et propose un nouveau langage de spécification de contraintes temporelles appelé specification introduces a Time Structure inspired (CCSL clock constraint specification language) Ce rapport présente la sémantique formelle des contraintes d’horloge de CCSL et propose un processus pour utiliser CCSL à la fois comme langage abstrait de spécification de modèles UML et comme modèle de référence pour vérifier la conformité d’implantations candidates. Un application de filtrage numérique d’un flux vidéo est utilisée tout au long du rapport pour illustrer le propos. L’application est d’abord spécifiée avec CCSL, puis rafinée par retro-ingénierie en utilisant les retours fournis par un simulateur dédié à CCSL. Dans une deuxième phase, un programme Esterel est considéré comme implantation possible de la spécification. Ce programme est instrumenté avec des observateurs dérivés de la spécification CCSL. L’environnement de vérification formelle Esterel Studio permet alors de garantir la conformité de l’implantation Esterel avec la spécification CCSL. Une bibliothèque d’observateurs spécifiques à CCSL a été construite à cette fin. Mots-clés : modèle de temps, MARTE, langages synchrones, Esterel, SyncCharts in ria -0 03 60 52 8, v er si on 2 26 M ar 2 00 9 Marte CCSL and Esterel/SyncCharts 3