linéaires
ω∈PL−1(P(st))⇒Σf i ∈ω
où :
• L/s désigne l’ensemble des suffixes de L qui commencent par s, L/s={t ∈ Σ∗ | st
∈ L}.
• P : Σ∗ → Σ∗o est la fonction de projection sur l’ensemble des événements obser- vables Σo.P permet de filtrer les événements non observables.
• PL−1 désigne la fonction de projection inverse sur L définie par PL−1(y)={s ∈ L | P(s) =y}.
• Ψ(Σf i)désigne l’ensemble des séquences terminées par un défaut de l’ensembleΣfi. Cette définition stipule qu’un langage L est diagnosticable si, pour toute séquence s contenant un défaut appartenant à l’ensemble Σfi, le diagnostiqueur doit être capable d’identifier ce défaut après l’occurrence d’un nombre fini d’événements ni = ||t||. En effet, toute autre séquenceω ayant un comportement observable que la séquencest; i.e., P(ω) = P(st), elle doit contenir un défaut appartenant à Σfi.
En effet, afin de pouvoir identifier un défaut de l’ensemble Σfi, toute trajectoire observable qui suit l’occurrence du défaut, doit être distinguée, au bout d’un nombre fini d’événements, des trajectoires observables des comportements ne contenant pas de défauts de Σfi. Autrement dit, l’occurrence d’un défaut de l’ensembleΣfi, conduit à des observations suffisamment discriminantes pour permettre l’identification unique du type de défaut Σfi dans un délai fini. Cet ensemble d’observation définit alors la signature du défaut.
Une approche systématique pour la vérification de la diagnosticabilité d’un language L, généré par un automate à états finis G, a été proposée dans (Sampath et al., 1995).
Cette approche repose sur la construction du diagnostiqueur D, puis la vérification de certains cycles, ditFi-indéterminés. Un cycleFi-indéterminé est constitué exclusivement d’étatsFi-incertain, à qui correspond deux cycles dans l’automateG, où tous les éléments du premier cycle sont associés à l’étiquette Fi dans le cycle du diagnostiqueur, et tous les éléments du deuxième cycle sont associés à des étiquettes différentes de Fi.
Un language L, généré par un automateG, est diagnosticable par rapport à une par- tition de défauts Πf, si son diagnostiqueur D ne contient aucun cycle Fi-indéterminé, pour tout i∈Πf. Considérons le diagnostiqueur construit dans l’exemple 3.3.1, ce diag- nostiqueur ne vérifie pas la condition de diagnosticabilité, puisque le cycle constitué par
les états {3F1 7N}, {4F1 9F2 12N} et {5F1 10F2 13N}, est F1-indéterminé. A ce cycle, correspond deux cycles d’états dans l’automateG: chaque élément dans le cycle des états {7,12,13}, est associé à l’étiquette F1, et les éléments du cycle {3,4,5}, sont associés à des étiquettes différentes de F1. Si le système génère la séquence af1bcdbcd(bcd). . ., le diagnostiqueur va évoluer dans le cycle F1-indéterminé, sans pouvoir identifier le dé- faut. Autrement dit, la séquence observée par le diagnostiqueur abcdbcd(bcd). . ., peut provenir d’une évolution du système dans le cycle {3,4,5}avec l’occurrence d’un défaut f1 ∈ Σf1, soit d’une évolution du système dans le cycle {7,12,13}. L’auteur a proposé plusieurs solutions permettant de rendre le système diagnosticable : la première solution consiste à introduire des capteurs supplémentaires afin que l’ensemble des observations soit suffisamment riche pour permettre la discrimination du comportement de défaut et rendre ainsi le système diagnosticable. La deuxième solution, appelée diagnostic actif, consiste à restreindre certains comportements du système afin de le rendre diagnosti- cable. Cette méthode est basée sur la théorie de commande supervisée introduite par Ramadge-Wonham (Ramadge et Wonham, 1987). Une autre solution consiste à redé- finir la partition des défauts. En effet, si deux défauts, appartenant à deux différents ensembles de défauts, ne peuvent pas être distingués selon leurs trajectoires observables, alors on fusionne les deux ensembles de défauts en un même ensemble. Cependant, cette solution rend la capacité de localisation du diagnostiqueur plus faible.
3.6.2 Diagnosticabilité des SED à aspect temporel
Dans (Tripakis, 2002), l’auteur propose une extension de la notion de diagnosabilité, intégrant le temps, dite la ∆-diagnosticabilité. En effet, un automate temporisé est dit
∆-diagnosticable, s’il est possible de détecter tout défaut non observable, au bout d’un délai∆u.t. après son occurrence. Il faut souligner que cette définition traite uniquement le problème de détection dans le sens où elle considère l’existence d’un seul type de défauts.
Une trace temporisée ω dite ∆-défaillante, si elle contient un défaut et au moins ∆ u.t. se sont écoulées après l’occurrence de ce défaut. On définit l’opérateur de projection observable P qui permet de filtrer les événements non observables à partir d’une trace temporisée. Formellement, la∆-diagnosticabilité est définie comme suit (Tripakis, 2002) : Définition 8. Un langage temporisé L est dit ∆-diagnosticable, pour ∆ ∈ N, si pour toute paire de traces temporiséesω etω0 dans L, si ω est∆-défaillante alors ω contient un défaut ou P(ω)6=P(ω0).
Cette définition stipule qu’un langage temporisé est ∆-diagnosticable, si toute paire de traces dansL, la première contient un défaut et la seconde est dépourvue de défauts, les projections observables de ces deux traces doivent être différentes au bout de ∆u.t.
de l’occurrence du défaut.
linéaires
L’intégration du temps dans la définition de ∆-diagnosticabilité introduit deux nou- velles notions sur la définition classique de diagnosticabilité :
• dans l’approche classique, l’identification d’un défaut doit se faire au bout d’un délai fini. Ce délai est représenté qualitativement à travers le nombre d’événements qui suivent l’événement du défaut. Par contre, ce délai est défini quantitativement dans l’extension temporisée de cette définition à travers le délai∆.
• la discrimination des trajectoires de défauts prend en considération le temps d’une manière explicite. En effet, la définition classique stipule qu’un language est diag- nosticable s’il est possible de discriminer, d’un point de vue logique, les trajectoires comportant des défauts. Cela nécessite l’observation d’un événement discrimi- nant, au bout d’un délai fini, permettant de caractériser d’une manière unique une trajectoire défaillante du système. Dans le contexte temporisé, la discrimi- nation d’une trajectoire défaillante considère en plus, les dates d’occurrence des événements observables. Ainsi, deux traces peuvent avoir la même projection ob- servable d’un point de vue logique (séquence d’événements) mais pas d’un point de vue temporisé (dates des événements). Ainsi, il est possible de discriminer un com- portement défaillant en s’appuyant sur les dates d’occurrence des correspondants événements observables. Dans ce cas, on parle detemps discriminant.
Exemple 3.6.1
Pour une meilleure compréhension de la notion de ∆-diagnosticabilité, nous considérons l’exemple suivant, introduit dans (Tripakis, 2002). Nous sup- posons que les événements a et b sont observables, les événements u et f non observables et f l’événement de défaut. Il est clair que le langage tem- porisé accepté par l’automate temporisé A illustré dans la figure 3.12 est 3-diagnosticable. D’abord, il faut noter que dans le comportement défaillant, le délai entre l’événement b et l’événement de défaut est inférieur à 3 u.t., ce qui implique l’existence de l’événement b dans toute trace 3-défaillante.
L’observation de l’événement b nous permet de détecter le défaut dans tout comportement défaillant. En effet, dans chaque comportement défaillant, le délai entre les événements observés a et b est supérieur à 3 u.t.., tandis que ce délai est inférieur à 3 u.t. dans chaque comportement normal.
Si nous considérons dans un second exemple l’automate temporiséA0 illus- tré dans la figure 3.13. Le langage accepté par cet automate n’est pas diag- nosticable. En effet, si nous considérons les deux traces (a,0)(f,2.5)(b,0.1) et (a,0)(u,2.5)(b,0.1) acceptées par A0, nous pouvons établir qu’elles ont la même projection observable ; i.e.,(a,0)(b,2.6), que la première trace contient un défaut et que la seconde ne contient aucun défaut. En plus, pour toutes continuations de ces deux traces obtenues par l’écoulement du temps, elles admettent la même projection observable.
L’auteur propose une technique de vérification de la diagnosticabilité, reposant sur
f, x >3
x≤6
-
:
a, x:= 0
~
z
-
u, x≤3 -
x≤6
x≤3 b
b
Fig.3.12 – Automate temporisé 3-diagnosticable
f, x >2
x≤6
-
:
a, x:= 0
~
z
-
u, x≤3 -
x≤6
x≤3 b
b
Fig. 3.13 – Automate temporisé non diagnosticable
la construction d’un produit spécial de deux versions modifiées du modèle du système, ensuite, la vérification de l’existence des trajectoires non-zenon (Alur et Dill, 1994) dans ce produit. Intuitivement, l’existence d’une trajectoire non-zenon dans ce produit spécial, implique l’existence de deux traces infinies du système, admettant la même projection observable, la première correspond à un comportement défaillant et la seconde à un comportement normal.