6.3 Approche par simulation entre automates
6.4.2 Exp´ erimentations pour l’approche par la simulation d’automates
Afin de tester l’encodage de la simulation entre automates, on utilise diff´erents syst`emes issus de la litt´erature mais aussi des syst`emes g´en´er´es de mani`ere al´eatoire. La taille de
certains mod`eles ´etant importante, l’utilisation d’un serveur de calcul `a ´et´e n´ecessaire. Pour toutes les exp´erimentations la m´emoire allou´e `a ´et´e pouss´ee `a 64 Go. L’impl´ementation repose toujours sur l’utilisation de scala et les exp´erimentations ont ´et´e effectu´e sur des processeurs Intel R Xeon R CPU E5-2699 v3 @ 2.30GHz. On pr´esente ci-dessous les diff´erents mod`eles test´es.
Exemples issus de la litt´erature.
— valve controller [Sampath et al., 1995] : le mod`ele utilis´e dans l’article qui d´efinit la diagnosticabilit´e d’un syst`eme. Ce mod`ele repr´esente un syst`eme de ventilation d’air conditionn´e. Le syst`eme est ´equip´e d’une valve qui peut ˆetre ouverte, ferm´ee ou bloqu´ee, d’une pompe et d’un contrˆoleur. Une pompe peut ˆetre touch´ee par une faute permanente dans les modes on et off. Chaque composants peut ˆetre dans 4 ´etats possibles ; ce syst`eme n’est pas estimable `a ´etat unique.
— valve driver [Williams and Nayak, 1996] un mod`ele qui repr´esente le comportement d’un r´eacteur de fus´ee ´equip´e de plusieurs r´eservoirs. On y retrouves 4 modes, 6 commandes d’entr´ees et 3 sorties ; ce syst`eme est estimable `a ´etat unique.
— baggage transfer [Pencol´e et al., 2018] Ce mod`ele repr´esente un tapis d’a´eroport sur lequel circulent des bagages. On y retrouve 2 aiguillages, 1 piston, 1 contrˆoleur et 4 capteurs. En modifiant ce mod`ele, on parvient `a g´en´erer 218 syst`emes ; tous les syst`emes sont estimables `a ´etat unique.
Pour le mod`ele baggage transfer, aucun mod`ele de faute n’existait `a l’origine, on modifie le mod`ele en supposant qu’une faute (non-observable) peut affecter chacun des composants.
Exemples g´en´er´es al´eatoirement Produire al´eatoirement un syst`eme estimable `a ´etat unique est une tˆache difficile `a mesure qu’on souhaite obtenir un grand nombre d’´etats et de transitions. On g´en`ere donc un ensemble de syst`emes ´etant le produit cart´esien de plusieurs petits syst`emes estimables `a ´etat unique. On g´en`ere donc des syst`emes avec 5 ´etats et 3 observations avec une probabilit´e de 50% de cr´eer une transition entre chaque paire d’´etats. Le produit cart´esien est ensuite effectu´e avec une probabilit´e de 90% de cr´eer une transition entre chaque paires d’´etats possibles. On agr`ege ainsi entre 4 et 5 petits syst`emes pour cr´eer un syst`eme.
Chacun de ses syst`emes ainsi cr´e´e n’est pas forc´ement int´eressant pour les exp´erimentations. En effet dans la plupart des cas lorsque le syst`eme produit est estimable `a ´etat unique, l’es-timateur correspond au syst`eme lui-mˆeme, on parle alors de syst`eme trivialement estimable `
a ´etat unique.
On s´electionne pour les tests les syst`emes int´eressant suivant 3 crit`eres : 1. Le syst`eme obtenu est estimable `a ´etat unique ;
2. L’estimateur parcourt moins de la moiti´e des ´etats possibles du syst`eme. (on rejette ainsi les syst`emes trivialement estimables).
3. Il existe un ´etat s tel que le syst`eme n’admet pas d’estimateur ({s}, S \ {s})-correct. Ensuite, pour chaque syst`eme ainsi g´en´er´e, on g´en`ere aussi une version non-estimable `
a ´etat unique de ce syst`eme en modifiant une des contraintes de ∆. Avec cette m´ethode de g´en´eration, on g´en`ere des syst`emes de 10 `a 1461 ´etats. La figure 6.10 pr´esente les exp´erimentations pour tous ces syst`emes.
6.4.3 R´esultats
Lors des exp´erimentations, la majeur partie du temps de calcul est li´ee `a la g´en´eration des clauses SMT tandis que le temps de r´esolution par le solver Monosat est n´egligeable. On constate aussi qu’il n’y a que peu de diff´erence de temps de calcul pour les syst`emes estimables `a ´etat unique et ceux qui ne le sont pas. La figure 6.10 pr´esente les r´esultats
exp´erimentaux pour l’approche par simulation d’automates et on constate que le temps de calcul croit de mani`ere exponentielle par rapport au nombre d’´etats du syst`eme. Les exemples de la litt´erature valve driver et valve controller montrent des temps de calcul similaires `a ceux des exemples g´en´er´es de mˆeme taille. Pour les exemples du baggage transfer, les temps de calculs sont cependant plus importants, ceci est du `a de nombreuses sym´etries pr´esentes dans ces types de syst`emes.
Figure 6.10 – Temps de calcul pour l’estimabilit´e `a ´etat unique avec l’approche par simulation d’automates. Notez que les ´echelles sont logarithmiques.
Pour les syst`emes avec un nombre important d’´etats, il est possible de v´erifier l’estima-bilit´e en quelques heures. Ce ph´enom`ene n’est pas r´edhibitoire puisqu’il s’agit d’une analyse hors ligne. On constate aussi que pour des syst`emes de l’ordre de la centaine d’´etats, il existe une certaine variation pour l’ordre de grandeur du temps de calcul. Cela montre que des syst`emes de taille similaire peuvent ˆetre plus ou moins difficiles `a r´esoudre.
On peut comparer les r´esultats des deux approches sur les deux exemples de la litt´erature
valve driver et valve controller. On constate que l’approche par simulation d’automate est
plus efficace, on passe en effet d’un temps de v´erification de l’ordre de la minute `a un temps de l’ordre de la seconde. Contrairement aux travaux pr´esent´es pr´ec´edemment, les deux approches offrent une v´erification non-born´ee pour le probl`eme de l’estimabilit´e `a ´etat unique.
Chapitre 7
Conclusion
Les travaux de th`ese pr´esent´es dans ce document s’int´eressent au probl`eme de l’estima-tion dans les syst`emes `a ´ev`enements discrets (SED). La premi`ere partie pr´esente un ´etat de l’art du domaine du diagnostic des SED. Le deuxi`eme chapitre d´ecrit les concepts de base pour de tels syst`eme et les approches de diagnostic de la litt´erature. Un formalisme d’estimation `a ´etat unique [Pralet et al., 2016], qui repose sur l’utilisation d’une th´eorie de pr´ef´erences conditionnelles, est pr´esent´e dans le chapitre 3. Bien que ce formalisme ait des avantages par rapport aux autres approches de la litt´erature, celui-ci est sujet `a certaines limites notamment le probl`eme de l’impasse. Le probl`eme de l’impasse affecte les mod`eles d’estimation `a ´etat unique lorsque pendant la phase de diagnostic, le syst`eme produit des observations incompatibles avec les pr´ec´edentes estimations effectu´ees. Diff´erentes solutions au probl`eme de l’impasse sont explor´ees dans la deuxi`eme partie de ce document.
7.1 Synth`ese des contributions
Le chapitre 4 s’int´eresse `a la d´etection de sc´enario d’impasse `a partir du mod`ele d’un syst`eme et d’une strat´egie d’estimation `a ´etat unique. Pour cela, le ph´enom`ene de l’impasse est dans un premier temps formalis´e ainsi que la construction d’une machine `a ´etats inspir´ee de la technique du Twin-Plant [Cimatti et al., 2003] sur laquelle une analyse d’atteignabi-lit´e permet de d´etecter les sc´enarios d’impasse. Deux approches sont ensuite propos´ees, la premi`ere repose sur l’utilisation d’Electrum un outil de model-checking, la deuxi`eme sur l’utilisation de solver SAT. Chacune des deux approches permet la v´erification de sc´enario d’impasse d’une taille donn´ee, permettant ainsi de valider ou non le bon fonctionnement de l’estimateur `a ´etat unique.
Dans le chapitre 5, on cherche `a analyser un sc´enario d’impasse pr´ealablement trouv´e. On y fait l’hypoth`ese que les sc´enarios d’impasse sont dus `a une mauvaise conception de la strat´egie d’estimation `a ´etat unique. On cherche donc `a blˆamer certaines pr´ef´erences dans la strat´egie d’estimation `a ´etat unique en effectuant un m´eta-diagnostic des pr´ef´erences. Pour cela, la notion de pr´ef´erence relax´ee est d´efinie afin de d´esactiver certaines pr´ef´erences, relˆachant ainsi l’hypoth`ese d’un ´etat unique estim´e, mais permettant dans certains cas de retrouver la coh´erence dans l’estimation et ainsi ´eliminer le sc´enario d’impasse. Tout comme le chapitre pr´ec´edent, deux approches sont ´etudi´ees, l’une utilisant Electrum, l’autre un solver SAT. Des exp´erimentations sont effectu´ees `a partir des sc´enarios d’impasse trouv´es dans le chapitre 4.
On remarque cependant que pour certains syst`emes, le m´eta-diagnostic des pr´ef´erences n’aboutit pas. Il existe donc des syst`emes `a ´ev`enements discrets pour lesquels il n’est pas possible de r´ealiser l’estimation `a ´etat unique sans rencontrer de sc´enarios d’impasse. Au travers du chapitre 6, le probl`eme de l’estimabilit´e `a ´etat unique est donc formalis´e. On s’int´eresse donc `a la construction d’estimateurs `a ´etats unique sans impasse `a partir des sp´ecifications d’un syst`eme. La propri´et´e d’estimabilit´e `a ´etat unique pour les SED est
propos´ee et une condition n´ecessaire et suffisante est d´efinie. Cette condition repose sur l’´equivalence des langages dans les automates et une premi`ere approche est d´evelopp´ee autour de la v´erification de cette ´equivalence. Ensuite, une deuxi`eme approche utilise la relation de simulation entre automates. Cette approche repose sur l’utilisation du solver SMT Monosat. Il est montr´e que des contraintes de correction sur l’´etat estim´e peuvent ˆetre ajout´ees dans la construction de la relation de simulation. Chacune des deux approches est accompagn´ee d’exp´erimentations `a la fois sur des mod`eles g´en´er´es mais aussi sur quelques exemples de la litt´erature.