Ex´ecution des tM-nets

4.3 Ad´equation du temps causal et du temps r´eel

4.3.3 Ex´ecution des tM-nets

L’ex´ecution de l’automate d’un tM-net est relativement simple. La machine d’ex´ecution

tire des transitions et les exécute. Plus précisément, étant donné M0 l’état courant de

l’automate, la machine ex´ecute des cycles dont chacun correspond aux ´etapes suivantes :

1. M´emoriser les demandes de communications sur ses ports d’entr´ee.

2. Choisir une transition (M⁰, M⁰⁰) ∈TA qui maximise le nombre d’actions d’entr´ee

qui peuvent être servies (le critère de maximalité est défini ci-dessous). Cette

tran-sition porte l’´etiquette (λ(U₁), . . . , λ(U_k)).

3. Pour chaque valeur de i entre 1 et k (dans l’ordre) et pour chaque action a(v) ∈

λ(Ui) (dans un ordre al´eatoire) :

• si a∈O, ´ecrirev sur le port de sortie a;

• si a ∈ I et que v est la valeur pr´esente sur le port d’entr´ee a, marquer la

communication sura «accept´ee»;

• si a∈I mais quev diff`ere de la valeur demand´ee sur le port ou qu’aucune

valeur n’y est demand´ee, marquer la communication sur a« en erreur».

4. Marquer«refusée»chaque communication mémorisée à l’étape 1 qui n’a pas déjà

été marquée« acceptée»ou « en erreur»à l’étape 3.

5. Mémoriser le nouvel état de l’automate et attendre le début du cycle suivant.

Nous observons que la durée des cycles peut être bornée et donc fixée puisque toutes les

´etapes sont born´ees : le nombre de ports, le nombre de transitions parmi lesquelles choisir,

le nombre de steps à exécuter et le nombre d’actions dans chaque step (puisque les réseaux

sont finis). La transition de tic a disparu de l’automate, mais nous nous sommes assur´es

qu’elle ´etait franchie dans le premier step de chaque transition de l’automate, elle est donc

virtuellement exécutée au début de chaque cycle de la machine (sauf éventuellement le

tout premier) et donc ses occurrences sont régulières puisque les cycles ont une durée fixe.

Il nous reste à définir le critère de choix d’une transition. Le but est de servir un

maximum de ports d’entr´ee tout en minimisant le nombre d’erreurs. Lorsque plusieurs

choix sont possibles, nous faisons appel `a l’ordre sur les actions pour choisir. La strat´egie

de choix peut ˆetre d´ecrite de la fa¸con suivante : pour chaque actionai, de la plus grande

`a la plus petite selon l’ordre surI,

• si une communication est demand´ee sur a_i et qu’elle peut ˆetre servie par une

transition de l’automate, ´eliminer toutes les transitions qui ne permettent pas de

servir la communication sur ai;

• si aucune communication n’est demand´ee sur ai et qu’il existe une transition ne

comportant pas d’action a_i, ´eliminer toutes les transitions qui serventa_i.

Cela revient à servir les communications demandées par ordre de priorité. Lorsqu’une

communication n’est pas demand´ee, nous ´evitons de plus de mettre en erreur les ports

prioritaires plutˆot que de servir une communication de moindre priorit´e.

D’autres stratégies peuvent être envisagées, mais en toute généralité, il n’en existe pas

qui soit satisfaisante quand le tM-net est arbitraire. Cependant, nous pouvons facilement

constater que la stratégie choisie ici garantit que si un tM-net est réactif par rapport à

une action, celle-ci est toujours servie et n’est jamais mise en erreur (sauf ´eventuellement

lors du dernier cycle de la machine qui correspond à son arrêt). Comme la réactivité est

facile à obtenir, nous considérons que notre stratégie est satisfaisante.

5

Efficacit´e de l’approche

causale du temps

Ce chapitre s’attache à l’étude de la pertinence et de l’efficacité de l’approche causale

du temps en pratique. Pour cela, nous ´etudions un exemple de passage `a niveau pour

lequel nous réalisons plusieurs spécifications que nous vérifions avec différents outils

logiciels. Les r´esultats montrent que l’utilisation d’une horloge causale peut s’av´erer plus

efficace que l’utilisation d’un mod`ele int´egrant le temps de fa¸con explicite ; cependant,

cette efficacité est dépendante de la taille des constantes utilisées comme contraintes

temporelles, ce qui devra être résolu à l’avenir. Nous constatons aussi que notre approche

est assez simple `a mettre en œuvre et plutˆot intuitive.

5.1 Un passage `a niveau

Nous considérons un système de passage à niveau ayant les caractéristiques suivantes :

• il comporten voies parall`eles ; sur chacune d’elle peut circuler un train ;

• l’approche d’un train d´eclenche un signalapp; lorsque le train s’´eloigne, un

cap-teur émet le signalexit; ces signaux ne sont pas différenciés selon les trains ;

• les voies croisent une route gard´ee par une paire de barri`eres, celle-ci peut recevoir

deux signaux, down et up, qui commandent respectivement sa fermeture et son

ouverture ;

• lorsque le signalapp est lev´e, le train met ensuite entreametaM unit´es de temps

pour atteindre le niveau des barri`eres ; il met ensuite entre em et eM unit´es de

temps pour d´eclencher le signal exit;

• les barri`eres mettent entregm etgM unit´es de temps pour se fermer ou s’ouvrir.

Le problème est de construire un contrôleur dont le rôle est de lire les signaux résultant

du passage des trains devant leurs capteurs afin de commander l’ouverture et la fermeture

des barri`eres, tout en respectant les contraintes suivantes :

• le contrôleur réagit au minimum en cm et au maximum en cM unités de temps ;

• la condition de sécurité est toujours vérifiée : si un train se trouve entre les

barrières, alors celles-ci sont forcément fermées ;

Pour une sp´ecification satisfaisante, nous devrions aussi ajouter une condition de

dis-ponibilit´e sp´ecifiant que si aucun signal app n’a eu lieu depuis un certain temps, les

barrières doivent être ouvertes. On pourrait la vérifier au moyen de formules de logique

temporelle ou bien par l’ajout de r´eseaux (et d’automates temporis´es) de test permettant

de détecter son non respect lors de l’exécution. Notre étude de cet exemple n’a pas pour

but de spécifier un bon système mais de vérifier la pertinence et l’efficacité de l’approche

causale. Nous nous en tenons donc `a cette version minimale.

Dans le document Modèles composables et concurrents pour le temps-réel (Page 79-83)

4.3 Ad´equation du temps causal et du temps r´eel

4.3.3 Ex´ecution des tM-nets

L’ex´ecution de l’automate d’un tM-net est relativement simple. La machine d’ex´ecution

tire des transitions et les exécute. Plus précisément, étant donné M0 l’état courant de

l’automate, la machine ex´ecute des cycles dont chacun correspond aux ´etapes suivantes :

1. M´emoriser les demandes de communications sur ses ports d’entr´ee.

2. Choisir une transition (M0, M00) ∈TA qui maximise le nombre d’actions d’entr´ee

qui peuvent être servies (le critère de maximalité est défini ci-dessous). Cette

tran-sition porte l’´etiquette (λ(U1), . . . , λ(Uk)).

3. Pour chaque valeur de i entre 1 et k (dans l’ordre) et pour chaque action a(v) ∈

λ(Ui) (dans un ordre al´eatoire) :

• si a∈O, ´ecrirev sur le port de sortie a;

• si a ∈ I et que v est la valeur pr´esente sur le port d’entr´ee a, marquer la

communication sura «accept´ee»;

• si a∈I mais quev diff`ere de la valeur demand´ee sur le port ou qu’aucune

valeur n’y est demand´ee, marquer la communication sur a« en erreur».

4. Marquer«refusée»chaque communication mémorisée à l’étape 1 qui n’a pas déjà

été marquée« acceptée»ou « en erreur»à l’étape 3.

5. Mémoriser le nouvel état de l’automate et attendre le début du cycle suivant.

Nous observons que la durée des cycles peut être bornée et donc fixée puisque toutes les

´etapes sont born´ees : le nombre de ports, le nombre de transitions parmi lesquelles choisir,

le nombre de steps à exécuter et le nombre d’actions dans chaque step (puisque les réseaux

sont finis). La transition de tic a disparu de l’automate, mais nous nous sommes assur´es

qu’elle ´etait franchie dans le premier step de chaque transition de l’automate, elle est donc

virtuellement exécutée au début de chaque cycle de la machine (sauf éventuellement le

tout premier) et donc ses occurrences sont régulières puisque les cycles ont une durée fixe.

Il nous reste à définir le critère de choix d’une transition. Le but est de servir un

maximum de ports d’entr´ee tout en minimisant le nombre d’erreurs. Lorsque plusieurs

choix sont possibles, nous faisons appel `a l’ordre sur les actions pour choisir. La strat´egie

de choix peut ˆetre d´ecrite de la fa¸con suivante : pour chaque actionai, de la plus grande

`a la plus petite selon l’ordre surI,

• si une communication est demand´ee sur ai et qu’elle peut ˆetre servie par une

transition de l’automate, ´eliminer toutes les transitions qui ne permettent pas de

servir la communication sur ai;

• si aucune communication n’est demand´ee sur ai et qu’il existe une transition ne

comportant pas d’action ai, ´eliminer toutes les transitions qui serventai.

Cela revient à servir les communications demandées par ordre de priorité. Lorsqu’une

communication n’est pas demand´ee, nous ´evitons de plus de mettre en erreur les ports

prioritaires plutˆot que de servir une communication de moindre priorit´e.

D’autres stratégies peuvent être envisagées, mais en toute généralité, il n’en existe pas

qui soit satisfaisante quand le tM-net est arbitraire. Cependant, nous pouvons facilement

constater que la stratégie choisie ici garantit que si un tM-net est réactif par rapport à

une action, celle-ci est toujours servie et n’est jamais mise en erreur (sauf ´eventuellement

lors du dernier cycle de la machine qui correspond à son arrêt). Comme la réactivité est

facile à obtenir, nous considérons que notre stratégie est satisfaisante.

5

Efficacit´e de l’approche

causale du temps

Ce chapitre s’attache à l’étude de la pertinence et de l’efficacité de l’approche causale

du temps en pratique. Pour cela, nous ´etudions un exemple de passage `a niveau pour

lequel nous réalisons plusieurs spécifications que nous vérifions avec différents outils

logiciels. Les r´esultats montrent que l’utilisation d’une horloge causale peut s’av´erer plus

efficace que l’utilisation d’un mod`ele int´egrant le temps de fa¸con explicite ; cependant,

cette efficacité est dépendante de la taille des constantes utilisées comme contraintes

temporelles, ce qui devra être résolu à l’avenir. Nous constatons aussi que notre approche

est assez simple `a mettre en œuvre et plutˆot intuitive.

5.1 Un passage `a niveau

Nous considérons un système de passage à niveau ayant les caractéristiques suivantes :

• il comporten voies parall`eles ; sur chacune d’elle peut circuler un train ;

• l’approche d’un train d´eclenche un signalapp; lorsque le train s’´eloigne, un

cap-teur émet le signalexit; ces signaux ne sont pas différenciés selon les trains ;

• les voies croisent une route gard´ee par une paire de barri`eres, celle-ci peut recevoir

deux signaux, down et up, qui commandent respectivement sa fermeture et son

ouverture ;

• lorsque le signalapp est lev´e, le train met ensuite entreametaM unit´es de temps

pour atteindre le niveau des barri`eres ; il met ensuite entre em et eM unit´es de

temps pour d´eclencher le signal exit;

• les barri`eres mettent entregm etgM unit´es de temps pour se fermer ou s’ouvrir.

Le problème est de construire un contrôleur dont le rôle est de lire les signaux résultant

du passage des trains devant leurs capteurs afin de commander l’ouverture et la fermeture

des barri`eres, tout en respectant les contraintes suivantes :

• le contrôleur réagit au minimum en cm et au maximum en cM unités de temps ;

• la condition de sécurité est toujours vérifiée : si un train se trouve entre les

barrières, alors celles-ci sont forcément fermées ;

Pour une sp´ecification satisfaisante, nous devrions aussi ajouter une condition de

dis-ponibilit´e sp´ecifiant que si aucun signal app n’a eu lieu depuis un certain temps, les

barrières doivent être ouvertes. On pourrait la vérifier au moyen de formules de logique

temporelle ou bien par l’ajout de r´eseaux (et d’automates temporis´es) de test permettant

de détecter son non respect lors de l’exécution. Notre étude de cet exemple n’a pas pour

2. Choisir une transition (M⁰, M⁰⁰) ∈TA qui maximise le nombre d’actions d’entr´ee

tran-sition porte l’´etiquette (λ(U₁), . . . , λ(U_k)).

• si une communication est demand´ee sur a_i et qu’elle peut ˆetre servie par une

comportant pas d’action a_i, ´eliminer toutes les transitions qui serventa_i.