Explaining the design of compliance mechanisms in international agreements : a focus on environmental protection

Gauquelin, Mathilde

01 February 2024

Thèse en cotutelle Université Laval, Québec, Canada, Philosophiæ doctor (Ph. D.) et Ghent University, Gent, Belgique / Comment les fonctionnaires publics conçoivent-ils les mécanismes de mise en œuvre applicables aux accords multilatéraux sur l'environnement (AME) ? Depuis les années 1990, ces mécanismes sont progressivement devenus essentiels au fonctionnement d'un nombre important d'AME, servant d'alternative coopérative au règlement juridique des différends pour répondre à des cas potentiels de non-conformité avec les accords. La littérature dominante sur la conception des traités (treaty design) suggère que les États identifient rationnellement leurs préférences et négocient les dispositions des accords afin de maximiser leur utilité. Pourtant, la forme que revêtent les mécanismes de mise en œuvre dans les AME ne cadre pas avec cette proposition. Alors qu'une lecture rationnelle de leur conception voudrait que des circonstances de négociations similaires conduisent systématiquement à un mécanisme similaire, la conception des mécanismes de conformité dans les AME a plutôt convergé au fil du temps. Ma thèse vise à éclairer cette divergence entre les prédictions théoriques dominantes et la réalité empirique, en étudiant le processus par lequel les fonctionnaires conçoivent les mécanismes de mise en œuvre des AME. Je soutiens que les explications rationnelles de la conception des traités ont trois limites inhérentes : elles se focalisent sur les États en tant qu'acteurs principaux, elles étudient les résultats plutôt que les processus de conception, et elles sont limitées par leur postulat initial de rationalité. En réponse, je propose un nouveau cadre théorique qui articule comment les liens interpersonnels entre les fonctionnaires gouvernementaux influencent les résultats des négociations. Je suggère qu'au travers d'interactions répétées lors de réunions internationales, les fonctionnaires publics viennent à former une communauté transnationale de politiques qui s'articule autour de leur identité professionnelle partagée. Les membres de cette communauté partagent des normes, des récits, une connaissance mutuelle les uns des autres, et une certaine confiance. Je construis un mécanisme causal mixte qui conceptualise la conception des AME comme un processus partiellement rationnel, mais qui est également influencé par l'appartenance des fonctionnaires publics à une communauté. Je teste cette proposition grâce à une stratégie empirique en trois volets. Tout d'abord, je caractérise les résultats potentiels du mécanisme causal en explorant les formes que prennent les mécanismes de mise en œuvre dans un ensemble d'AME déjà en vigueur. Ensuite, grâce à un sondage auprès de 307 fonctionnaires, je vérifie que la condition initiale selon laquelle une communauté de fonctionnaires existe dans le domaine des AME est remplie. Finalement, je réalise une étude de cas de la Convention de Minamata sur le mercure. Grâce à des entretiens semi-structurés et à l'analyse de documents officiels de négociation, je retrace le processus par lequel les fonctionnaires publics ont sélectionné le mécanisme de mise en œuvre de la Convention. Cette thèse contribue à la littérature en élargissant le pouvoir explicatif des théories de conception rationnelle des traités. Elle propose d'ouvrir la « boîte noire » de l'État en tenant compte des liens interpersonnels entre les individus comme facteur influençant les décisions étatiques. Elle approfondit la compréhension du choix de dispositions des traités internationaux en construisant un mécanisme causal qui éclaire leur processus de négociation. Enfin, elle va au-delà de la rationalité en théorisant l'impact qu'ont les structures sociales sur la conception des traités. Dans l'ensemble, elle offre une analyse plus complète des processus de conception, qui explique ainsi une gamme étendue de résultats. En étudiant le processus par lequel les acteurs conçoivent les mécanismes de mise en œuvre des AME, j'entends offrir une nouvelle perspective sur la conception des traités au sens large, qui peut éventuellement être étendue à des cas similaires non seulement dans la sphère environnementale, mais aussi dans d'autres domaines. / How do public officials design compliance mechanisms in multilateral environmental agreements (MEAs)? Since the 1990s, such mechanisms have progressively become a staple in a large number of MEAs. They serve as a cooperative alternative to adversarial dispute settlement procedures, with the same overarching purpose of responding to suspected instances of non-compliance. Much of the literature on treaty design starts from the assumption that states rationally identify and bargain for the set of provisions that best serves their interests. Yet, the form that compliance mechanisms take in MEAs does not fit with this proposition: where the rational design literature would expect similar circumstances to lead to a similar, utility-maximizing design every time, the design of compliance mechanisms in MEAs has instead converged over time. My thesis aims to shed light on this divergence from theoretical expectations by studying the process through which public officials design compliance mechanisms. I argue that rational explanations of treaty design face three inherent limits: their focus on states as main actors, their focus on outcomes as opposed to processes, and their very assumption of rationality. In response, I introduce a theoretical framework that highlights how interpersonal ties between public officials influence negotiation outcomes. I suggest that, through repeated interactions at international meetings, public officials can come to form a transnational policy community centered around their shared professional identity. I expect members of this community to share norms, policy narratives, knowledge of one another, and trust. I build a mixed causal mechanism that conceptualizes treaty design as a process that is partially rational, but is also influenced by public officials' membership in a community. I test this proposition through a three-pronged empirical strategy. I first characterize the causal mechanism's potential outcomes, by exploring the forms that compliance mechanisms take in a set of existing MEAs. Through a survey of 307 public officials, I then verify that the initial condition that a community of public officials exists in the MEA sphere is met. Finally, I conduct a case study of the design of the Minamata Convention on Mercury. Based on semi-structured interviews and official negotiation documents, I trace the process through which public officials selected its compliance mechanism. This thesis contributes to the literature by extending rational design's explanatory power. It opens up the “black box” of the state by considering interpersonal ties between individuals. It deepens our understanding of design outcomes by building a causal mechanism that provides a plausible account of negotiation processes. Finally, it looks beyond rationality by theorizing the impact that social structures have on treaty design. All in all, this provides a fuller account of design processes that explains an extended array of outcomes. By studying the process through which actors design these mechanisms, I set out to gain new insights into treaty design more broadly, that can eventually be extended to similar cases both within and outside of the MEA sphere.

Vérification de conformité.

Médiation environnementale.

Vérification formelle des circuits digitaux décrits en VHDL

Salem, Ashrag Mohamed El-Farghly

02 October 1992

.

langage de description matériel

sémantique dénotationnelle

modélisation de circuits

vérification temporelle

Vérification par Model-Checking Modulaire de Propriétés Dynamiques PLTL exprimées dans le cadre de Spécifications B événementielles

Masson, Pierre-Alain

January 2001

Cette thèse propose une nouvelle technique de vérification par model-checking de propriétés dynamiques PLTL, exprimées au cours d'un processus de spécification de systèmes réactifs par raffinement. La vérification par model-checking a l'avantage d'être entièrement automatisable, mais elle se heurte au problème de l'explosion combinatoire de l'espace d'états à vérifier. Afin de faire face à ce problème, nous proposons de découper par partition l'espace d'états en un ensemble de modules, et de mener la vérification successivement sur chacun des modules, afin de pouvoir conclure sur le modèle dans son ensemble. Nous prouvons que cette méthode de vérification (appelée vérification modulaire) est valide pour tout une classe de propriétés PLTL, que nous caractérisons par des automates de Büchi. Nous présentons les systèmes d'événements B comme cadre d'application de cette technique. Nous proposons une méthode de découpage en modules guidée par le processus de raffinement B.

Vérification formelle

model checking

systèmes d'événements B

logique temporelle

automates de Büchi

vérification modulaire

Model checking parallèle et réparti de réseaux de Petri colorés de haut-niveau : application à la vérification automatique de programmes Ada concurrents

Pajault, Christophe

23 June 2008

Cette thèse s'inscrit dans le cadre de la vérification automatique de programmes concurrents basée sur un modèle formel intermédiaire: les réseaux de Petri colorés de haut-niveau. Nous nous attachons à combattre le phénomène d'explosion combinatoire lié à l'exploration explicite de l'ensemble des entrelacements possibles du système. Pour cela, nous nous proposons de tirer profit de la quantité de mémoire et de la puissance de calcul offerte par un réseau local de machines travaillant de manière coopérative. Par le biais d'une analyse structurelle, nous cherchons à répartir efficacement le graphe d'accessibilité du système. Nous nous attachons ensuite à conserver l'efficacité des techniques visant à limiter l'explosion combinatoire dans cet environnement réparti en relâchant notamment les contraintes de cohérence sur l'exploration du graphe. Nous avons alors validé ces approches à l'aide d'un vérifieur réparti et multithreadé dans lequel nous avons implémenté nos algorithmes.

Model checking

Parallélisme

Concurrence

Réseaux de Petri

Vérification de programmes concurrents

Génération de séquences de test pour l'accélération d'assertions

Damri, Laila

17 December 2012

Avec la complexité croissante des systèmes sur puce, le processus de vérification devient une tâche de plus en plus cruciale à tous les niveaux du cycle de conception, et monopolise une part importante du temps de développement. Dans ce contexte, l'assertion-based verification (ABV) a considérablement gagné en popularité ces dernières années. Il s'agit de spécifier le comportement attendu du système par l'intermédiaire de propriétés logico-temporelles, et de vérifier ces propriétés par des méthodes semi-formelles ou formelles. Des langages de spécification comme PSL ou SVA (standards IEEE) sont couramment utilisés pour exprimer ces propriétés. Des techniques de vérification statiques (model checking) ou dynamiques (validation en cours de simulation) peuvent être mises en œuvre. Nous nous plaçons dans le contexte de la vérification dynamique. A partir d'assertions exprimées en PSL ou SVA, des descriptions VHDL ou Verilog synthétisables de moniteurs matériels de surveillance peuvent être produites (outil Horus). Ces composants peuvent être utilisés pendant la conception (en simulation et/ou émulation pour le débug et la validation de circuits), ou comme composants embarqués, pour la surveillance du comportement de systèmes critiques. Pour l'analyse en phase de conception, que ce soit en simulation ou en émulation, le problème de la génération des séquences de test se pose. En effet, des séquences de test générées aléatoirement peuvent conduire à un faible taux de couverture des conditions d'activation des moniteurs et, de ce fait, peuvent être peu révélatrices de la satisfaction des assertions. Les méthodes de génération de séquences de test sous contraintes n'apportent pas de réelle solution car les contraintes ne peuvent pas être liées à des conditions temporelles. De nouvelles méthodes doivent être spécifiées et implémentées, c'est ce que nous nous proposons d'étudier dans cette thèse.

Vérification formelle

Vérification à base d'assertions

Réflexions autour de la méthodologie de vérification des circuits multi-horloges : analyse qualitative et automatisation / Reflections on the methodology for verifying multi-clock design : qualitative analysis and automation

Kebaili, Mejid

25 October 2017

Depuis plusieurs années, le marché des circuits intégrés numériques requiert des systèmes de plus en plus complexes dans un temps toujours plus réduit. Afin de répondre à ses deux exigences, les industriels de la conception font appel à des fournisseurs externes proposant des circuits fonctionnant sur des signaux d'horloge dédiés. Lorsque ces derniers communiquent entre eux, les horloges d'émission et de réception ne sont pas les mêmes, on parle de « Clock Domain Crossing » (CDC).Les CDC correspondent à des communications asynchrones et peuvent provoquer des dysfonctionnements critiques. Par ailleurs, ces problèmes étant intermittents et complexes à analyser, ils ne peuvent pas être exhaustivement vérifiés avec des méthodes telles que l’analyse de timing ou la simulation fonctionnelle. Avec l'augmentation du nombre de CDC dans les circuits, les industriels de la conception assistée par ordinateur (EDA) ont proposé des solutions logicielles spécialisées dans la vérification statique des CDC. Cependant, les circuits développés étant en constante évolution, les outils ne sont pas en mesure de s’adapter. Pour pallier ces problèmes, la vérification industrielle des CDC est basée sur la spécification de contraintes et d'exclusions par l'utilisateur. Ces actions, qui se substituent aux outils, peuvent masquer des bugs. De plus, l’effort humain requis par cette approche n’est pas compatible avec le temps alloué au développement de circuits industriels. Nous avons donc cherché à automatiser la vérification en proposant des solutions basées sur des propriétés formelles. Les travaux ont consisté à analyser les différentes techniques de conception et de vérification des CDC à travers l’évaluation des principaux outils du marché. A partir des résultats obtenus, nous avons formalisé les problèmes pratiques et proposé des modèles permettant d’obtenir des résultats exhaustifs automatiquement. Les essais ont été réalisés sur un sous-système à base de processeurs (CPUSS) développé chez STMicroelectronics. L'adoption de nos modèles permet une vérification complète des CPUSS de manière automatique ce qui est essentiel dans un environnement industriel compétitif. En effet, le nombre d’informations devant être spécifiées par l’utilisateur a été réduit de moitié pour chacun des outils évalués. Par ailleurs, ces travaux ont montré que l’axe de développement des outils CDC avec l’ajout de fonctionnalités telles que les flots hiérarchiques ou l’injection de fautes n’améliore pas la qualité de résultats. Une collaboration ayant été mise en place avec les principaux fournisseurs outils, certaines solutions seront probablement intégrées aux outils dans les années à venir. / For several years now, the digital IC market has been requiring both more complex systems and reduced production times. In this context, the semiconductor chip maker companies call on external IP providers offering components working on dedicated clock signals. When these IPs communicate between them, the source and destination clocks are not the same, we talk about "Clock Domain Crossing" (CDC).CDC correspond to asynchronous communications and can cause critical failures. Furthermore, due to the complexity and the random nature of CDC issues, they can not be exhaustively checked with methods such as timing analysis or functional simulation. With the increase of CDC in the digital designs, EDA tools providers have developed software solutions dedicated to CDC static verification.Whereas, the designs are subject to continuous change, the verification tools are not able to be up to date. To resolve these practical issues, the CDC industrial verification is based on the specification of constraints and exclusions by the user. This manual flow, which replaces the tools, can mask bugs. Moreover, the human effort required by this approach is incompatible with the time allowed to industrial designs development.Our goal has been to automate the verification submitting solutions based on formal properties.The work consisted in the analysis of the different CDC design and verification approaches through the evaluation of main CDC checker tools. From the results obtained, we have formalized the practical problems and proposed models to obtain automatically exhaustive results. The tests have been performed on a processor-based subsystem (CPUSS) developed at STMicroelectronics.Adopting our models enables a complete checking of CPUSS in an automatic way, which is essential within a competitive industrial environment. Actually, the amount of information to be specified by the user has been reduced by half for each one of the evaluated tools. Otherwise, this work has shown that the development axis of the CDC tools despite the addition of functionalities such as hierarchical flows or fault injection, doesn’t improve the quality of results (QoR). Since a collaboration has been established with the main tool providers some solutions would probably be included into the tools over the coming years.

Chemins asynchrones

Flot de vérification

Vérification formelle

Processeurs

Méthodologies

Outils

Clock Domain Crossing

Verification flow

Formal verification

Processor

Methodologies

Tools

620

Méthodologie de conception d'un modèle comportemental pour la vérification formelle

Bastien, Frédéric

January 2006

Mémoire numérisé par la Direction des bibliothèques de l'Université de Montréal.

Systèmes électroniques

Model checking

Vérification de modèle

Vérification formelle

Réseau de Petri

Réseau de Petri coloré

CPN Tools

Graphe d'états

Graphe de composantes fortement connexes

Vérification des systèmes matériels numériques séquentiels synchrones : application du langage Lustre et de l'outil de vérification Lesar

Berkane, Bachir

02 October 1992

La validation fonctionnelle d'un système matériel consiste a vérifier le système vis-a-vis de son fonctionnement attendu. Il existe deux façons de spécifier ce fonctionnement attendu. D'une part, la spécification peut être donnée sous forme d'une description fonctionnelle complète. D'autre part, l'expression de cette spécification peut être donnée sous forme d'un ensemble de propriétés temporelles critiques. Ces deux façons de spécifier les systèmes matériels ont donne lieu a deux problèmes de vérification. Notre domaine d'étude concerne les systèmes matériels numériques séquentiels synchrones. Le travail présente dans ce document développe une approche de vérification unifiée, fondée sur le modèle de machines d'états finis, pour résoudre les deux problèmes de vérification sur ces systèmes. Dans cette approche, tout probleme de vérification se ramène a définir une machine d'états finis sur laquelle la vérification sera réalisée. L'application du langage lustre et de l'outil de vérification Lesar associe a été étudiée dans le but de valider cette approche. Dans cette application, la resolution des deux problèmes de vérification se ramène a définir un programme lustre ayant une seule sortie. La vérification consiste a vérifier que cette sortie est la constante booléenne 1. Cette vérification est réalisée automatiquement par l'outil de vérification Lesar

machines d'états finis

vérification fonctionnelle

propriété temporelles

environnement d'un système matériel

langage de description du matériel

outil de vérification

diagnostic

Logique de séparation et vérification déductive

Bobot, François

12 December 2011

Cette thèse s'inscrit dans la démarche de preuve de programmes à l'aide de vérification déductive. La vérification déductive consiste à produire, à partir des sources d'un programme, c'est-à-dire ce qu'il fait, et de sa spécification, c'est-à-dire ce qu'il est sensé faire, une conjecture qui si elle est vraie alors le programme et sa spécification concordent. On utilise principalement des démonstrateurs automatiques pour montrer la validité de ces formules. Quand ons'intéresse à la preuve de programmes qui utilisent des structures de données allouées en mémoire, il est élégant et efficace de spécifier son programme en utilisant la logique de séparation qui est apparu il y a une dizaine d'année. Cela implique de prouver des conjectures comportant les connectives de la logique de séparation, or les démonstrateurs automatiques ont surtout fait des progrès dans la logique du premier ordre qui ne les contient pas.Ce travail de thèse propose des techniques pour que les idées de la logique de séparation puissent apparaître dans les spécifications tout en conservant la possibilité d'utiliser des démonstrateurs pour la logique du premier ordre. Cependant les conjectures que l'ont produit ne sont pas dans la même logique du premier ordre que celles des démonstrateurs. Pour permettre une plus grande automatisation, ce travail de thèse a également défini de nouvelles conversions entre la logique polymorphe du premier ordre et la logique multi-sortée dupremier ordre utilisé par la plupart des démonstrateurs.La première partie a donné lieu à une implémentation dans l'outil Jessie, la seconde a donné lieu à une participation conséquente à l'écriture de l'outil Why3 et particulièrement dans l'architecture et écriture des transformations qui implémentent ces simplifications et conversions.

[INFO:INFO_OH] Computer Science/Other

Sureté des programmes

Vérification de programmes

Démonstrateur automatique

Encodage

Vérification deductive

Modèle mémoire

Automatisation

Polymorphisme

Structure de donnée

Logique de séparation

Architectures de contrôle-commande redondantes à base d'Ethernet Industriel‎ : ‎modélisation et validation par model-checking temporisé

Limal, Steve

08 January 2009

Les travaux présentés dans ce mémoire s'intéressent aux mécanismes de redondance spécifiés par un protocole de réseau de terrain sur Ethernet. L'objectif est de valider la spécification par rapport à des exigences de disponibilité. Le contexte industriel des travaux nous a amenés à : 1) privilégier une validation par vérification formelle. Le model-checking temporel a été retenu. En effet, le caractère critique des applications industrielles pour lesquelles doit être intégré le protocole impose une vérification exhaustive des propriétés. Les nombreux paramètres temporels permettant de décrire le fonctionnement du protocole nous ont amenés à favoriser une technique prenant en compte le temps. 2) proposer une modélisation par automates temporisés modulaire ainsi qu'une méthode d'instanciation. Celles-ci permettent d'adapter facilement le modèle à vérifier à une architecture de réseau de terrain envisagée lors de la phase d'étude d'une affaire. 3) proposer des abstractions qui favorisent la vérification du modèle par le moteur de model-checking temporel. Les propriétés vérifiées traduisent l'aptitude des mécanismes de redondance à compenser une défaillance du médium ou de l'animation des échanges. Afin d'illustrer la pertinence de ces propositions, la méthode d'instanciation est appliquée à deux architectures et une campagne de vérifications est menée et analysée.

[SPI] Engineering Sciences

Vérification (logique)

Ethernet (système de réseau local)

Architecture des réseaux d'ordinateurs

Vérification formelle

model-checking temporel

ethernet powerlink

modélisation

absrtraction

uppaal

disponibilité