chaque mode de défaillance, que l’on désire identifier, une chronique (ou un scénario). En- suite, elle utilise une technique de reconnaissance en-ligne de ces chroniques afin d’iden- tifier les scénarios de défaillances. En effet, si des événements observés correspondent aux motifs de la chronique et si leur occurrence a lieu selon le contexte et les contraintes spécifiées, alors une instance de la chronique modélisée devra être reconnue.
Comme il est illustré dans la figure 3.8, introduite dans (Dousson, 1994), les modèles de chroniques sont spécifiés hors-ligne alors que la phase de reconnaissance est établie en- ligne. Cette dernière phase repose sur le maintien à jour de fenêtres temporelles précisant les dates où un événement est attendu par la chronique compte-tenu de l’ensemble de ses contraintes. Les chroniques peuvent être modélisées par un RdP temporel ou par un graphe de contrainte (treillis) (Mokhtari, 2007).
Fig.3.8 – Un système de reconnaissance de chronique.
3.4 Du diagnostic des systèmes à événements discrets
linéaires
1998), les automates hybrides linéaires (Müller et Stauner, 2000), les RdP hybrides (Alla et David, 1998; David et Alla, 2004), les statecharts hybrides (Harel et Pnueli, 1987), les bond graphs hybrides (Mosterman, 1997). . .. Dans la suite, nous insistons sur les outils dans lesquels nous avons trouvé des réponses aux objectifs que nous nous sommes fixés.
3.4.1 Modélisation des SDH
D’une manière générale, un SHD est modélisé par un ensemble de systèmes à dyna- mique continue interagissant avec un ou plusieurs systèmes à événements discrets (Ku- rovszky, 2002). Le point commun entre ces formalismes est que l’évolution continue est affectée par les événements discrets et les modèles nécessitent à la fois des variables d’état continues et discrètes.
Nous pouvons classer les approches de modélisation des SDH selon trois classes(Chen et Provan, 1997) :
• l’approche continue : cette approche consiste à définir une approximation des dynamiques discrètes du système hybride par des équations différentielles pour modéliser l’occurrence des événements discrets ;
• l’approche événementielle: avoir une approche purement discrète pour modéli- ser les SDH consiste à supprimer les dynamiques continues ou à faire une approxi- mation de l’évolution continue de façon à ce que le système hybride soit représenté uniquement par les événements qui le caractérisent ;
• l’approche mixte : dans une approche mixte, chacune des deux composantes (discrète et continue) est représentée de façon rigoureuse et explicite et leur colla- boration est prise en compte dans l’interface qui les relie. La résolution du modèle continu déclenche l’évolution des variables au cours du temps et valide certaines transitions. L’évolution du modèle discret engendre alors la mise en place d’un nou- vel état discret qui se traduit par l’élaboration d’un nouveau système d’équations.
Nous présentons dans la suite quelques modèles mixtes rencontrés dans la littérature.
3.4.1.1 Les automates hybrides
Les automates hybrides (Alur et al., 1993) sont une extension des automates à états finis. Ils représentent des systèmes qui intègrent deux composantes : celle ayant un com- portement discret, modélisée naturellement par un automate à états finis et celle dont le comportement varie de manière continue dans le temps, modélisée par un système algébrodifférentiel. Un automate hybride évolue par une alternance de pas continus, où les variables d’état et le temps évoluent de façon continue, et de pas discrets où plusieurs transitions discrètes et instantanées peuvent être franchies. Notons qu’un automate tem-
porisé correspond à automate hybride particulier où toutes les variables admettent des dérivées par rapport au temps égales à 1.
D’un point de vue informel et général, un automate hybride apparaît ainsi comme un automate à états fini pilotant un ensemble d’équations différentielles modélisant la dynamique continue du système. L’état de l’automate change instantanément lors de l’occurrence d’un événement discret ou par l’écoulement du temps lors de la validation d’une condition logique spécifiée sur la valeur de la variable continue (Henzinger, 1996).
)
1
Éteint Allumé
x≤10
˙ x= 1
˙
y= 3y+ 2 allumer, x∈[2,4], x:= 0
´
eteindre, x∈[5,10], x:= 0
R
x∈[5,10]∧y= 0
x≤4
˙ x= 1
˙
y=−4y
Fig. 3.9 – Automate hybride
Considérons l’automate représenté dans la figure 3.9 modélisant un système hybride.
Dans ce modèle, l’évolution continue est représentée par des équations différentielles associées aux sommets du graphe et l’évolution événementielle est modélisée par les arcs étiquetés du graphe. Les sommets Éteint et Allumé représentent les états discrets du système où l’évolution continue a lieu. Les prédicats x ∈[2,4]et x ∈[5,10] sur les arcs traduisent les conditions, dites aussigardes, pour l’occurrence des événementsallumer et éteindre, respectivement. Les prédicatsx≤4etx≤10dans les sommets représentent les invariants de l’automate, c’est-à-dire, des conditions imposées aux variables continues du système pour rester dans un état discret (ici les états Éteintou Allumé). L’état initial du système est représenté par un arc d’entrée dans le sommet d’origine. L’étiquette de cet arc x∈[5,10]∧y = 0représente la région de l’espace continue à partir de laquelle la dynamique du système hybride démarre. Les variables x et y évoluent dans le sommet Éteint, respectivement le sommetAllumé, conformément aux équations différentielles,
˙
y=−4y etx˙ = 1, respectivement y˙ = 3y+ 2 et x˙ = 1, appelées conditions de flux1. L’analyse et la vérification des systèmes en utilisant les automates hybrides représente un thème central dans le cadre de l’étude des SDH. Il s’agit de vérifier quelques propriétés qualitatives et quantitatives sur un système en utilisant des méthodes automatiques. La vérification repose, d’abord, sur une modélisation du comportement du SDH à vérifier par un automate hybride. Ensuite, l’application d’une analyse des propriétés qualitatives à travers les techniques de model-checking (Henzinger et al., 1997), ou les propriétés quantitatives à travers l’analyse d’accessibilité (Alur et al., 1993, 1995).
1Nous désignons parx˙ la dérivée du premier ordre par rapport au temps de la variable x.
linéaires
L’analyse d’accessibilité consiste à déterminer l’espace d’état accessible par l’évolution du système hybride étudié. Ce problème n’est pas décidable pour un automate hybride sans hypothèses particulières (Henzinger et al., 1998). Il faut alors apporter des restric- tions pour avoir des sous-classes pour lesquelles certaines propriétés sont décidables. Dans la suite, nous nous intéressons à l’étude d’une de ces sous-classes d’automates hybrides pour laquelle l’analyse d’accessibilité est décidable.
3.4.1.2 Les sous-classes d’automates hybrides
Plusieurs sous-classes du modèle automate hybride ont été explorées dans la littéra- ture. Ces sous-classes ont été étudiées dans le but d’alléger la structure du modèle initial, afin de simplifier son analyse et sa vérification. Parmi les modèles proposés, nous citons :
• les automates hybrides linéaires (Alur et al., 1993) : un automate hybride est dit linéaire si les conditions de flux, des invariants, des gardes, sont définies par des expressions linéaires sur l’ensemble des variables.
• les automates hybrides rectangulaires (Kopke, 1996; Henzinger et al., 1998) : c’est une sous-classe des automates hybrides linéaires. La condition de flux dans ce modèle est définie sous la forme de prédicats rectangulaires de la forme x˙ ∈ [a, b], pour chaque variablexdu modèle. De même, Les invariants, les gardes, la condition initiale sont décrits par des prédicats rectangulaires.
• les automates hybrides rectangulaires initialisés (Henzinger et al., 1998) : c’est une sous-classe des automates hybrides rectangulaires. Dans ce modèle, chaque variable qui change de condition de flux, suite au franchissement d’une transition entre deux sommets, doit être réinitialisée. Dans la figure 3.10, nous illustrons l’exemple d’un automate hybride rectangulaire initialisé.
1
A B
x≤20∧y≤60
˙ x= 1
˙ y= 3 α, x∈[5,10], y := 10
β, x∈[10,20]∧y≤60, y:= 0 R
x= 0∧y ∈[0,5]
x≤4
˙ x= 1
˙ y= 0
Fig. 3.10 – Automate hybride rectangulaire initialisé
La sous-classe des automates hybrides rectangulaires est une sous-classe très inté- ressante d’automates hybrides. Elle a été largement étudiée dans la littérature (Spatho- poulos, 2000; Henzinger et Majumdar, 2000). L’importance de cette sous-classe est due au fait que plusieurs problèmes intéressants, tels que l’analyse d’accessbilité (Henzinger
et al., 1998), la synthèse de contrôleurs (Spathopoulos, 2000), le model-checking (Hen- zinger et Majumdar, 2000) sont décidables pour les automates hybrides rectangulaires initialisés. Ce modèle représente le modèle de base de notre travail de recherche. Une des- cription plus détaillée et formelle de la sous-classe des automates hybrides rectangulaires sera donnée dans les chapitres suivants.
3.4.1.3 Réseaux de Petri hybrides
Les réseaux de Petri (Petri, 1962) ont été très utilisés comme outils de modélisation, analyse et synthèse pour les systèmes à événements discrets. Dans (Alla et David, 1998), les auteurs présentent une extension des réseaux de Petri (RdP), les réseaux de Petri hybrides. Le modèle RdP hybride hérite tous les avantages du modèle de réseaux de Petri tel que la représentation du parallélisme, de la synchronization et des conflits (David et Alla, 2004).
Un RdP hybride permet d’obtenir des modèles concis de systèmes réels. Il est ensuite possible de construire de manière algorithmique l’automate hybride correspondant (Al- lam et Alla, 1996) et d’appliquer tous les outils formels qui y sont développés.