I sistemi real-time embeded sono sempre più diffusi. Sistemi mission critical come i sistemi di automazione degli impianti industriali in campo elettrico, e i sistemi safety critical some i sistemi di controllo in ambito ferroviario, aereo, automobilistico e medicale costituiscono esempi significativi di questa categoria di sistemi. Tipicamente, il comportamento di questi sistemi è reattivo, nel senso che essi reagiscono all’interazione con un ambiente fisico e con gli operatori per raggiungere determinati obiettivi caratterizzati dalla loro missione. Sia la complessità funzionale che i requisiti di disponibilità e affidabilità richiesti a questi sistemi rende estremamente difficile sviluppare sistemi reattivi error-free e l’industria si sta muovendo verso un approccio più sistematico al progetto e allo sviluppo dei sistemi. Tuttavia, anche in molti settori industriali si sta diffondendo un approccio model based alla progettazione di sistemi, che consente di analizzare la correttezza di un sistema sviluppandone dei modelli, ciò non è sufficiente: ♦ le specifiche di requisito presentano spesso ambiguità ed errori che aumentano i costi e i rischi dello sviluppo di un sistema. ♦ non sono industrialmente disponibili e utilizzati meccanismi di verifica/validazione delle specifiche che consentano di verificare la correttezza delle specifiche di requisito ♦ le tecniche simulative sono ancora largamente adottate per assicurare la conformità di un’implementazione alla specifica. Tuttavia, la complessità degli attuali sistemi rende difficile, se non impossibile garantire la correttezza di un sistema sulla base di tecniche simulative. Per superare questi problemi è utile complementare le tecniche attualmente utilizzate con meccanismi di verifica/validazione sistematici nella fasi iniziali dello sviluppo, in particolare nella fase di specifica. Anticipare le fasi di verifica/validazione alla fase di specifica utilizzando metodi formali, come ampiamente dimostrato in molti studi, consente infatti di individuare errori e di risolvere ambiguità fin dall’inizio del ciclo di sviluppo, riducendo notevolmente i costi e rischi dello sviluppo di un nuovo sistema. Al riguardo, molte industrie e comitati di standardizzazione hanno raggiunto un certo consenso sull’utilità dell’applicazione di metodi formali nello sviluppo di sistemi safety critical: ad esempio lo standard europeo CENELEC SC9XA/WG1 raccomanda l’uso di metodi non ambigui nella specifica e nella verifica/validazione dei sistemi. In questo quadro di riferimento si colloca il progetto FAST (IST no. 25581), che ha visto la collaborazione del CESI e della Prover Technology nel ruolo di technology provider, della Ansaldo Segnalamento Ferroviario, della Sextant Thomson CSF (ora Thales) e della Volvo come utenti, e che si è posto l’obbiettivo di sviluppare tecniche e strumenti utili a supportare l’ingegneria dei requisiti –che

copre le fasi specifica dei requisiti, di verifica/validazione e di accettazione di un sistema– integrabili in ambienti di sviluppo esistenti e comunemente utilizzati in ambito industriale. Infatti, uno dei fattori limitante nell’uso industriale dei metodi formali è la non disponibilità di strumenti di V&V industrialmente maturi che consentano di utilizzare un linguaggio di specifica dei requisiti sufficientemente espressivo. Per affrontare questo problema, FAST ha messo le basi per lo sviluppo di una tecnica di specifica dei requisiti e per la loro verifica e validazione che combina il linguaggio logico TRIO [Morzenti 89] definito in ambito ENEL in diversi progetti sia interni che cooperativi che hanno visto coinvolto il CISE, il Politecnico di Milano e ora il CESI, con uno strumento commerciale per la prova automatica di proprietà PROVER Plug-In [Ekenberg 96]. Il lavoro di sviluppo è stato condotto dai technology providers del progetto, CESI (Italia) e Prover Technology AB (Svezia). Un altro fattore limitante all’utilizzo dei metodi formali nelle industrie, è che le i casi di studio in cui sono stati sperimentati i metodi formali sono spesso troppo semplificati e, specialmente nel caso di studi accademici, si concentrano aspetti intellettualmente interessanti ma spesso industrialmente irrilevanti. Sotto questo aspetto, il progetto FAST, oltre agli aspetti del settore energetico, ha considerato le esigenze di settori safety critical, in particolare da applicazioni del settore dei trasporti automobilistici, aerei e ferroviari, rappresentati nel consorzio rispettivamente dalla VOLVO (Svezia), dalla Sextant Thomson CSF (Francia), e dall’Ansaldo Segnalamento Ferroviario (Italia). La stretta collaborazione tra i technology providers e gli utenti, ha assicurato che i problemi affrontati fossero industrialmente motivati e ha fornito un’eccellente sorgente di casi di studio. FAST ha raggiunto la maggior parte dei suoi obbiettivi riguardanti il linguaggio e le tecniche di verifica/validazione: • il linguaggio definito, Modular TRIO ha consentito di specificare diversi sistemi in modo relativamente agevole, fornendo un buon supporto all’attività di specifica. • le tecniche di verifica/validazione messe a punto hanno consentito di individuare problemi ed errori nelle specifiche, riducendo i rischi di insuccesso e i costi di sviluppo • la funzionalità di generazione di casi di test è stata valutata come uno dei risultati più significativi e con maggiore potenziale del progetto. In ambito industriale infatti i costi del test di accettazione è estremamente elevato e il poter generare automaticamente casi di test a partire dalle specifiche formali può consentire di ridurre notevolmente i costi, sia dal punto di vista del cliente che da quello del fornitore • le tecniche di verifica/validazione messe a punto possono essere integrate negli ambienti di specifica e progetto attualmente consentendo di affrontare la complessità dei sistemi richiesti dal mercato e di migliorare la qualità dei prodotti.

Dal punto di vista tecnico, quindi la valutazione degli utenti delle tecniche prototipizzate nel progetto è stata positiva: i risultati ottenuti nel progetto hanno un notevole potenziale innovativo e possono introdurre una notevole innovazione nella ingegneria dei requisiti rispetto allo stato dell’arte industriale Da un punto di vista organizzativo poi, FAST ha mostrato che la metodologia di specifica dei requisiti supportata da FAST può essere appresa e applicata con uno sforzo relativamente ridotto dagli utenti tipici, cioè gli ingegneri che lavorano nel campo dell’automazione. In questo senso i risultati ottenuti permettono di prevedere un effettivo sfruttamento futuro per i risultati ottenuti anche se i seguenti aspetti devono essere considerati: • L’apprendimento di Modular TRIO richiede investimenti: questo problema è legato alla difficoltà di esprimere i requisiti in modo chiaro e non ambiguo, cioè alla difficoltà di specifica i sistemi di automazione. La metodologia FAST non offre una panacea a questa difficoltà e una libreria di specifiche dovrebbe essere introdotta per aiutare l’utente nella specifica di sistemi complessi • La capacità di verificare e validare la specifica di un sistema industriale complesso deve essere migliorata: la versione attuale di FAST non dà la possibilità di verificare e validare una specifica complessa in modo completamente automatico. La verifica di una specifica complessa richiede l’applicazione di una metodologia di scomposizione della specifica e di combinazione dei risultati ottenuti. Gli strumenti di FAST devono essere ulteriormente ottimizzati per semplificare la V&V di specifiche complesse • L’uso della metodologia di V&V si è rilevato pesante per gli utenti industriali: la verifica di una specifica complessa è un task complesso. Per aumentare l’utilizzabilità degli strumenti e della metodologia specifiche tecniche e metodologie dovrebbero essere sviluppate nei diversi settori applicativi. Nonostante ciò, l’applicazione delle tecniche di V&V si è rivelato positivo da un punto di vista economico: l’applicazione delle tecniche messe a punto ha consentito di ridurre i costi di progettazione/implementazione e di ridurre i costi di testing/accettazione del sistema. • Livello di maturità degli utenti : le tecniche messe a punto in FAST possono essere utilizzate con maggior facilità nelle industrie mature dal punto vista tecnologico e che applicano un ciclo di sviluppo basato su modelli, in particolare nel settore safety critical. Infatti la necessità di formalizzare i requisiti può nascere solo nel caso in cui sia stato istituito un ben definito processo di sviluppo.