Automates temporis´es

2.1 Mod`eles du temps

2.1.1 Automates temporis´es

Les automates temporisés [AD94] forment sans doute le modèle le plus réputé, ou en

tout cas le plus utilis´e. Il en existe de nombreuses variantes [Pett99] ; nous en pr´esentons

une que nous utiliserons au chapitre 5.

Un automate temporis´e se compose d’un ensemble d’´etats, de transitions entre eux et

d’un ensemble de chronom`etres permettant de mesurer le temps. (On parle plus

tradi-tionnellementd’horloges mais nous avons préféré marquer la différence avec les horloges

causales.) L’ex´ecution d’une transition est soumise `a une condition portant sur les

chro-nom`etres ; lorsque la garde est vraie, la transition peut avoir lieu et assigner de nouvelles

valeurs aux chronom`etres tout en ´emettant des actions visibles. Dans certaines versions

du mod`ele, les ´etats portent des invariants qui doivent rester vrais tant que l’automate

est dans l’état ; les invariants servent le plus souvent à forcer l’exécution d’une transition.

L’échelle du temps est supposée continue : les valeurs des chronomètres sont donc

des nombres réels. De plus, les transitions sont instantanées. Le séjour dans les états

peut aussi ˆetre instantan´e mais il peut durer, ce qui est le cas le plus souvent. Une

exécution d’un automate temporisé est, à l’instar de celle d’un automate fini classique,

un mot formé par la suite des actions émises par les transitions. La différence est que

le passage de chaque transition est dat´e par rapport au d´emarrage de l’automate. Une

autre différence notable est qu’on s’intéresse le plus souvent à des exécutions infinies

(et donc à des mots infinis) puisque la plupart des systèmes temps-réels sont supposés

fonctionner sans s’arrˆeter.

La figure 2.2 donne deux automates temporisés. Celui de gauche démarre dans son état

initialFar (marqu´e en gras) ; la transition vers l’´etat Beforese fait sans condition : elle

émet une action app! et remet le chronomètre t à zéro. L’automate peut ensuite rester

dans l’étatBefore tant que t ne dépasse pas la valeur 5. De plus, il ne peut exécuter la

transition vers l’´etatInsideque si t≥4 et donc, cette transition doit avoir lieu dans un

intervalle [4,5] après le franchissement de celle qui a remis t à zéro.

.

Far

t≤5

Before

t≤6

Inside

·|app!|t:=0

t≥4|·|t:=0

t≥4|exit!|·

clock t

.

Idle

c≤2 AppDown

c≤2 ExitUp

·|app?|c:=0 c≥1|down!|·

·|exit?|c:=0

c≥1|up!|·

clock c

Figure 2.2 — A gauche, un automate temporisé à trois états utilisant un^`

chronomètret. À droite, un autre automate utilisant un chronomètrec.

L’automate `a gauche de la figure 2.2 peut avoir une ex´ecution correspondant au mot

temporis´e suivant :

(app!, z)(·, z+ 4,2)(exit!, z+ 5,1)(app!, z+ 42)(·, z+ 47)(exit!, z+ 51)· · ·

où z est la date de la première transition (qui n’est pas forcément l’origine de l’axe du

temps) et·repr´esente une transition silencieuse. L’automate a donc attendu zunit´es de

temps dans son étatFar, puis il est passé dans l’étatBeforeoù il a séjourné 4,2 unités de

l’automate a franchi la transition Before → Inside au plus tard et ensuite Inside→ Far

au plus tˆot.

Afin de faciliter la d´ecomposition de syst`emes complexes, les actions sur les transitions

peuvent être exploitées pour calculer leproduit synchroniséde plusieurs automates. Cette

opération crée un nouvel automate dont les exécutions correspondent aux entrelacements

des ex´ecutions de ses op´erandes dans lesquelles les paires d’actions telles queapp! etapp?

surviennent en même temps (et silencieusement). Les états de l’automate synchronisé

sont formés par le produit cartésien des états des automates opérandes et les transitions

sont calcul´ees en fonction des ´etats, en respectant la synchronisation des actions. La

figure 2.3 montre le produit synchronis´e des deux automates de la figure 2.2.

.

Far.Idle

t≤5

c≤2

Before.AppDown

·|·|t:=0,c:=0

t≤5

Before.Idle

c≥1|down!|·

t≤6

Inside.Idle

t≥4|·|t:=0

c≤2

Far.ExitUp

t≥4|·|c:=0

c≥1|up!|·

clock c,t

Figure 2.3 —Le produit synchronis´e des automates de la figure 2.2.

Le produit synchronisé de plusieurs automates étant lui même un automate, séquentiel

par nature, il devient clair que ce modèle propose une vision entrelacée du parallélisme.

Lorsque plusieurs chronom`etres sont pr´esents dans un automate (comme dans celui de

la figure 2.3), ils ´evoluent au mˆeme rythme.

Les automates temporisés sont analysés le plus souvent par vérification de formules

de logiques temporelles [Alu+93] (voir aussi plus bas la section 2.1.4). Pour cela, on

associe des prédicats aux états (par exemple, dans l’état Far.ExitUp de l’automate de

la figure 2.3, les pr´edicats Far et ExitUp sont vrais) et on v´erifie la formule sur toutes

les ex´ecutions possibles de l’automate. On ne peut pas le faire directement car l’´echelle

de temps étant continue, la plupart des transitions peuvent être datées d’une infinité

de fa¸cons. Par exemple, la transition de Before `a Inside de l’automate de gauche de la

figure 2.2 peut (et doit) être franchie dans un intervalle de 4 à 5 unités de temps après

que l’automate arrive dans l’´etatBefore, or cet intervalle contient une infinit´e de points.

Afin de permettre la v´erification d’une formule sur un automate, on calcule au

préa-lable legraphe des régions de l’automate qui regroupe tous les états temporisés (c’est à

dire les états de l’automate associés à des valeurs de chronomètres) qui permettent les

mêmes évolutions. La figure 2.4 donne le graphe des régions de l’automate de gauche

de la figure 2.2. La taille de ce graphe d´epend exponentiellement du nombre de

chrono-m`etres utilis´es par l’automate et du nombre de constantes distinctes auxquelles ils sont

comparés. (C’est pour cette raison que nous n’avons pas présenté le graphe des régions

de l’automate de la figure 2.3.)

.

t≥0

Far 0≤t<4

Before

4≤t≤5 Before

0≤t<4 Inside

4≤t≤6

Inside

Figure 2.4 — Le graphe des régions correspondant à l’automate temporisé

à gauche de la figure 2.2. Les nœuds sont étiquetés par les prédicats vrais et

nous avons indiqué à l’intérieur les valeurs possibles du chronomètret.

Dans le document Modèles composables et concurrents pour le temps-réel (Page 31-34)

2.1 Mod`eles du temps

2.1.1 Automates temporis´es

Les automates temporisés [AD94] forment sans doute le modèle le plus réputé, ou en

tout cas le plus utilis´e. Il en existe de nombreuses variantes [Pett99] ; nous en pr´esentons

une que nous utiliserons au chapitre 5.

Un automate temporis´e se compose d’un ensemble d’´etats, de transitions entre eux et

d’un ensemble de chronom`etres permettant de mesurer le temps. (On parle plus

tradi-tionnellementd’horloges mais nous avons préféré marquer la différence avec les horloges

causales.) L’ex´ecution d’une transition est soumise `a une condition portant sur les

chro-nom`etres ; lorsque la garde est vraie, la transition peut avoir lieu et assigner de nouvelles

valeurs aux chronom`etres tout en ´emettant des actions visibles. Dans certaines versions

du mod`ele, les ´etats portent des invariants qui doivent rester vrais tant que l’automate

est dans l’état ; les invariants servent le plus souvent à forcer l’exécution d’une transition.

L’échelle du temps est supposée continue : les valeurs des chronomètres sont donc

des nombres réels. De plus, les transitions sont instantanées. Le séjour dans les états

peut aussi ˆetre instantan´e mais il peut durer, ce qui est le cas le plus souvent. Une

exécution d’un automate temporisé est, à l’instar de celle d’un automate fini classique,

un mot formé par la suite des actions émises par les transitions. La différence est que

le passage de chaque transition est dat´e par rapport au d´emarrage de l’automate. Une

autre différence notable est qu’on s’intéresse le plus souvent à des exécutions infinies

(et donc à des mots infinis) puisque la plupart des systèmes temps-réels sont supposés

fonctionner sans s’arrˆeter.

La figure 2.2 donne deux automates temporisés. Celui de gauche démarre dans son état

initialFar (marqu´e en gras) ; la transition vers l’´etat Beforese fait sans condition : elle

émet une action app! et remet le chronomètre t à zéro. L’automate peut ensuite rester

dans l’étatBefore tant que t ne dépasse pas la valeur 5. De plus, il ne peut exécuter la

transition vers l’´etatInsideque si t≥4 et donc, cette transition doit avoir lieu dans un

intervalle [4,5] après le franchissement de celle qui a remis t à zéro.

.

.

Far

t≤5

Before

t≤6

Inside

·|app!|t:=0

t≥4|·|t:=0

t≥4|exit!|·

clock t

.

.

Idle

c≤2 AppDown

c≤2 ExitUp

·|app?|c:=0 c≥1|down!|·

·|exit?|c:=0

c≥1|up!|·

clock c

Figure 2.2 — A gauche, un automate temporisé à trois états utilisant un`

chronomètret. À droite, un autre automate utilisant un chronomètrec.

L’automate `a gauche de la figure 2.2 peut avoir une ex´ecution correspondant au mot

temporis´e suivant :

(app!, z)(·, z+ 4,2)(exit!, z+ 5,1)(app!, z+ 42)(·, z+ 47)(exit!, z+ 51)· · ·

où z est la date de la première transition (qui n’est pas forcément l’origine de l’axe du

temps) et·repr´esente une transition silencieuse. L’automate a donc attendu zunit´es de

temps dans son étatFar, puis il est passé dans l’étatBeforeoù il a séjourné 4,2 unités de

l’automate a franchi la transition Before → Inside au plus tard et ensuite Inside→ Far

au plus tˆot.

Afin de faciliter la d´ecomposition de syst`emes complexes, les actions sur les transitions

peuvent être exploitées pour calculer leproduit synchroniséde plusieurs automates. Cette

opération crée un nouvel automate dont les exécutions correspondent aux entrelacements

des ex´ecutions de ses op´erandes dans lesquelles les paires d’actions telles queapp! etapp?

surviennent en même temps (et silencieusement). Les états de l’automate synchronisé

sont formés par le produit cartésien des états des automates opérandes et les transitions

sont calcul´ees en fonction des ´etats, en respectant la synchronisation des actions. La

figure 2.3 montre le produit synchronis´e des deux automates de la figure 2.2.

.

.

Far.Idle

t≤5

c≤2

Before.AppDown

·|·|t:=0,c:=0

t≤5

Before.Idle

c≥1|down!|·

t≤6

Inside.Idle

t≥4|·|t:=0

Figure 2.2 — A gauche, un automate temporisé à trois états utilisant un^`