Explosion de l’espace des ´etats

5.4 R´esultats

5.4.2 Explosion de l’espace des ´etats

Les résultats présentés ci-dessus indiquent que les performances obtenues avec MARIA

pour les M-nets causalement temporisés sont généralement meilleures que celles

obte-nues avec les autres outils pour les automates temporis´es. Cet optimisme doit cependant

être un peu tempéré. En effet, en s’appuyant sur MARIA, l’approche causale du temps

souffre du probl`eme bien connu d’explosion de l’espace des ´etats : si nous augmentons

les constantes utilis´ees pour borner les comptages de tics, le nombre de marquages

ac-cessibles croˆıt très vite. Comme MARIA génère explicitement tous ces marquages, ses

performances deviennent tr`es mauvaises.

Avec les automates temporis´es, ce qui est effectivement test´e n’est pas les automates

eux mêmes mais desautomates de régions qui confondent les états équivalents des

au-tomates de départ. Les régions sont nécessaires dans cette approche car le temps étant

supposé continu, un système qui utiliserait au moins un chronomètre aurait une infinité

non dénombrable d’états distincts. Une telle notion de régions n’existe pas dans le cas

du temps causal. Nous envisageons de mener des recherches dans cette direction afin de

lever la limitation actuelle.

D’autre part, les techniques permettant d’all´eger le probl`eme d’explosion de l’espace de

états pour les réseaux de Petri sont typiquement basées sur l’indépendance de certaines

actions et reposent le plus souvent sur des s´emantiques d’ordres partiels des r´eseaux.

Par exemple, l’espace des états peut être représenté implicitement par un préfixe du

réseau d’occurrences généralisé [McM95]. Ces techniques sont pour le moment limitées

aux modèles basés sur les réseaux places/transitions, mais des recherches récentes dans le

domaine montrent qu’il est possible de les étendre à des réseaux colorés pour produire des

préfixes de haut niveau qui peuvent être analysés [Kou⁺02, FP00]. Il est même possible

d’améliorer considérablement l’efficacité des vérifications en définissant une équivalence

sur les marquages, ce qui permet de regrouper de nombreux ´etats dans les pr´efixes

générés. Cela revient à abstraire les données du réseau coloré pour ne les représenter

que lorsqu’elles influent sur son ex´ecution. Dans notre sp´ecification, par exemple, la

placeTimen’apparaˆıtrait dans le pr´efixe que lorsque les valeurs qu’elle contient seraient

discriminantes pour l’évolution du système. De même, la plupart des occurrences du tic

Ce type d’approches m`enera certainement rapidement `a une solution satisfaisante du

problème d’explosion de l’espace des états. Dans ce cas, non seulement nous lèverions

les limites actuelles, mais en plus, les performances constat´ees pourraient se voir encore

améliorées puisque la vérification des préfixes est généralement beaucoup plus efficace

que la génération des graphes de marquage. En fait, le gain en efficacité est proportionnel

au degré de concurrence du réseau vérifié. Dans notre cas, il faudra réaliser un contrôleur

permettant plus de concurrence pour am´eliorer grandement nos r´esultats. Remarquons

quand même que les constantes que nous avons utilisées ne sont pas spécialement petites

et l’utilisation de ces techniques réduirait considérablement la taille de la représentation

de l’espace des états, même avec la spécification présentée ici.

6

Pr´eemption

Ce chapitre est dédié à l’introduction de la préemption dans le modèle des M-nets. Cette

introduction est motivée par la recherche d’un modèle complet pour le temps-réel et

nous avons vu au chapitre 2 que la pr´eemption est un concept central du temps-r´eel, au

mˆeme titre que la repr´esentation du temps.

Nous avons aussi vu que la préemption impérative nécessite une vue globale de la

tâche à interrompre. Pour modéliser la suspension notamment, il faut donc se doter

d’un mécanisme permettant de contrôler la franchissabilité d’un ensemble de transitions

(celles qui composent la tâche à suspendre) de manière centralisée. Dans les réseaux

de Petri, chaque transition n’a qu’une vue locale du syst`eme (ses places en entr´ee) et

son franchissement ne d´epend que de cet environnement restreint. La franchissabilit´e

d’un ensemble de transitions est donc un critère réparti et non centralisé comme nous

en aurions besoin. Ce modèle se révèle donc à priori peu adapté à l’introduction de la

suspension.

Afin de surmonter cette difficult´e, nous augmentons le mod`ele des M-nets avec des

priorités entre les transitions. Ajouter des priorités aux réseaux de Petri peut augmenter

leur expressivit´e et permettre de repr´esenter les machines de Turing. C’est le cas en

général lorsque les réseaux sont non bornés. Les places de liens n’étant pas bornées en

général, l’ajout des priorités augmente strictement la puissance d’expression des M-nets.

Cependant, comme nous l’avons vu `a la section 3.4, il est possible de garantir que les

places de liens restent born´ees par l’ajout de places compl´ementaires. Nous pouvons alors

montrer que les réseaux ainsi bornés sont des abréviations de réseaux places/transitions

et que leur taille est compactée (avec un facteur exponentiel) grâce à l’utilisation des

priorit´es.

L’ajout des priorités nous permet de définir deux nouveaux opérateurs autorisant

res-pectivement la suspension/reprise et l’avortement d’un M-net `a priorit´es. Nous

respec-tons ainsi l’aspect composable de notre mod`ele de d´epart et nous obtenons un nouveau

modèle, baptiséalgèbre des M-nets préemptibles (aussi appelésPM-nets). L’importance

de l’ind´ependance de la pr´eemption par rapport aux autres aspects, comme le temps,

le contrôle de flot et les communications est détaillée dans [Ber93]. En l’intégrant sous

opérateurs de l’algèbre), nous garantissons sa complète orthogonalité au reste du modèle.

Afin d’aboutir à la définition de l’algèbre des PM-nets, nous procédons en plusieurs

´etapes correspondant aux sections de ce chapitre.

1. Nous commen¸cons par ajouter aux M-nets des priorit´es entre leurs transitions.

Il en résulte des M-nets à priorités. Cette classe de réseaux de Petri peut être

vue comme une version de haut niveau des systèmes à priorités définis et étudiés

dans [BK92].

2. Les opérateurs de l’algèbre des M-nets sont ensuite étendus pour tenir compte des

priorités. Les M-nets à priorités sont alors dotés de la même structure algébrique

que les M-nets pr´esent´es au chapitre 3.

3. Nous d´efinissons deux nouveaux op´erateurs,πsetπa, autorisant respectivement la

suspension/reprise et l’avortement de M-nets `a priorit´es.

4. Nous définissons enfin l’algèbre des PM-nets grâce à des contraintes syntaxiques

sur les M-nets à priorités qui permettent d’assurer de bonnes propriétés au modèle

ainsi obtenu (en particulier, nous montrons qu’ils abr`egent les r´eseaux P/T dans

les cas finis).

Remarquons que l’approche consistant à définir un modèle général et puissant sur

lequel on impose des restrictions syntaxiques a déjà été utilisée pour les M-nets (voir les

restrictions syntaxiques impos´ees `a la section 3.3 page 48).

6.1 M-nets `a priorit´es

Soit N = (S, T, ι) un M-net. Une relation de priorit´es sur les transitions de N est une

relation binaireρ⊆T×T. Pour (t₁, t₂)∈ρ, nous notonst₁≺ρt₂(ou simplementt₁ ≺t₂

s’il n’y a pas d’ambigu¨ıt´e surρ) ; cela signifie intuitivement que le franchissement de t2

est toujours prioritaire sur celui det₁ lorsque les deux transitions peuvent ˆetre franchies.

D’autre part, sit₁ ett₂ sont en conflit sur une place, la priorit´e r´esout le conflit en faveur

de t2; si les deux transitions sont ind´ependantes, et donc potentiellement franchissables

dans un même step, seulet₂ peut s’exécuter car t₁ est inhibée.

Le graphe d’une relation de priorit´es ρ sur T a pour nœuds les transitions de T et,

pour chaque paire (t, t⁰)∈ρ, il existe un arct← t⁰ dans le graphe. La figure 6.1 donne

un exemple de tel graphe.

Une relation de priorités ρ est bien formée si elle ne spécifie rien d’incohérent avec

l’intuition donn´ee ci-dessus. Par exemple, s’il n’existe pas de transitions t1 et t2 telles

que t₁ ≺ t₂ et t₂ ≺t₁. Plus précisément, ρ est bien formé si le graphe de ρ ne contient

pas de cycle (en particulier, il faut avoirρ∩ {(t, t)|t∈T}=∅qui interdit les cycles ne

contenant qu’un nœud). Cela revient `a dire que nous pouvons compl´eterρpour former un

ordre partiel, ce qui correspond bien `a la perception intuitive d’une relation de priorit´es.

La relation de la figure 6.1 est bien form´ee.

.

t₁

t₂

t₃

t₄

t₅

Figure 6.1 — Le graphe de la relation de priorit´es{(t2, t1),(t3, t1),(t5, t1),

(t4, t2),(t5, t2)}.

Un M-net à priorités, ou ρ-net, est une paire P = (N, ρ) oùN est un M-net et ρ est

une relation de priorit´es sur les transitions deN. Un ρ-net P = (N, ρ) estbien form´e si

N etρ le sont. Nous appelons N la partie r´eseau deP etρ sa relation de priorit´es.

Remarquons que nous n’imposons pas à unρ-net d’être bien formé. Nous verrons dans

la suite que c’est une propri´et´e qui sera obtenue, sur une sous-classe desρ-nets, par des

restrictions syntaxiques.

Un ρ-net est statique, respectivement dynamique, si sa partie r´eseau l’est. Plus

gé-néralement, le vocabulaire associé aux propriétés des M-nets et de leurs marquages est

étendu aux ρ-nets en considérant leurs parties réseaux.

Franchissement et s´emantique concurrente. La r`egle de franchissement des ρ-nets

doit prendre en compte les priorit´es entre transitions. SoitP = (N, ρ) un ρ-net tel que

N = (S, T, ι) et soitM un marquage de N (par extension, nous dirons aussi que c’est

un marquage de P). Une transition t ∈ T, franchissable sous le marquage M, est ρ

-franchissable, ce que nous notons M[tiρ, s’il n’existe pas de transition t⁰ ∈T telle que

M[t⁰iett≺t⁰. Nous voyons ici que l’ajout de priorit´es peut rendre non franchissable une

transition qui aurait pu l’ˆetre avec la r`egle de franchissement des M-nets, mais que le

contraire n’est pas vrai. Nous avons donc toujoursM[tiρ⇒M[timais pas la r´eciproque.

Comme la règle de franchissement, la notion de steps doit être adaptée aux

priori-tés. Sans cela, la sémantique steps des M-nets à priorités contiendrait des incohérences.

Considérons par exemple leρ-netP = (N, ρ) présenté figure 6.2 (cet exemple est repris

de [BK92]).

.

•^⇐ t1 t2 _⇒

•^⇐ t₃ ^⇒

Figure 6.2 —Un ρ-net pour lequelρ={(t3, t2)}.

En consid´erant uniquement sa partie r´eseau N, nous obtenons :

où ∅ représente la séquence vide. Cette sémantique contient la séquence {t1}{t3} qui

viole la relation de priorit´es ; en effet, si t₁ est franchie,t₂ ett₃ deviennent toutes deux

franchissables et, puisquet₃≺t₂,t₃n’est pasρ-franchissable. Il faut donc supprimer cette

séquence de la sémantique. Ce n’est pourtant pas suffisant car la sémantique contient

encore le step {t₁, t₃} dont {t₁}{t₃} est une lin´earisation. Pour conserver la coh´erence

de la sémantique par rapport à la linéarisation, il faut aussi supprimer {t₁, t₃}. La

sé-mantique steps cohérente d’un ρ-net P = (N, ρ), notéesteps(P), est donc le plus grand

sous-ensemble de steps(N) tel que chaque s´equence de steps(P) et chacune de ses

lin´ea-risations respecte ρ. Pour l’exemple ci-dessus, nous obtenons :

steps(P) ={∅,{t₁},{t₃},{t₃}{t₁},{t₁}{t₂}} .

Dans [BK92], les auteurs consid`erent cette s´emantique comme l’une des « plus

concur-rentes »qu’on peut obtenir pour des réseaux de Petri à priorités.

Dans le document Modèles composables et concurrents pour le temps-réel (Page 92-97)

5.4 R´esultats

5.4.2 Explosion de l’espace des ´etats

Les résultats présentés ci-dessus indiquent que les performances obtenues avec MARIA

pour les M-nets causalement temporisés sont généralement meilleures que celles

obte-nues avec les autres outils pour les automates temporis´es. Cet optimisme doit cependant

être un peu tempéré. En effet, en s’appuyant sur MARIA, l’approche causale du temps

souffre du probl`eme bien connu d’explosion de l’espace des ´etats : si nous augmentons

les constantes utilis´ees pour borner les comptages de tics, le nombre de marquages

ac-cessibles croˆıt très vite. Comme MARIA génère explicitement tous ces marquages, ses

performances deviennent tr`es mauvaises.

Avec les automates temporis´es, ce qui est effectivement test´e n’est pas les automates

eux mêmes mais desautomates de régions qui confondent les états équivalents des

au-tomates de départ. Les régions sont nécessaires dans cette approche car le temps étant

supposé continu, un système qui utiliserait au moins un chronomètre aurait une infinité

non dénombrable d’états distincts. Une telle notion de régions n’existe pas dans le cas

du temps causal. Nous envisageons de mener des recherches dans cette direction afin de

lever la limitation actuelle.

D’autre part, les techniques permettant d’all´eger le probl`eme d’explosion de l’espace de

états pour les réseaux de Petri sont typiquement basées sur l’indépendance de certaines

actions et reposent le plus souvent sur des s´emantiques d’ordres partiels des r´eseaux.

Par exemple, l’espace des états peut être représenté implicitement par un préfixe du

réseau d’occurrences généralisé [McM95]. Ces techniques sont pour le moment limitées

aux modèles basés sur les réseaux places/transitions, mais des recherches récentes dans le

domaine montrent qu’il est possible de les étendre à des réseaux colorés pour produire des

préfixes de haut niveau qui peuvent être analysés [Kou+02, FP00]. Il est même possible

d’améliorer considérablement l’efficacité des vérifications en définissant une équivalence

sur les marquages, ce qui permet de regrouper de nombreux ´etats dans les pr´efixes

générés. Cela revient à abstraire les données du réseau coloré pour ne les représenter

que lorsqu’elles influent sur son ex´ecution. Dans notre sp´ecification, par exemple, la

placeTimen’apparaˆıtrait dans le pr´efixe que lorsque les valeurs qu’elle contient seraient

discriminantes pour l’évolution du système. De même, la plupart des occurrences du tic

Ce type d’approches m`enera certainement rapidement `a une solution satisfaisante du

problème d’explosion de l’espace des états. Dans ce cas, non seulement nous lèverions

les limites actuelles, mais en plus, les performances constat´ees pourraient se voir encore

améliorées puisque la vérification des préfixes est généralement beaucoup plus efficace

que la génération des graphes de marquage. En fait, le gain en efficacité est proportionnel

au degré de concurrence du réseau vérifié. Dans notre cas, il faudra réaliser un contrôleur

permettant plus de concurrence pour am´eliorer grandement nos r´esultats. Remarquons

quand même que les constantes que nous avons utilisées ne sont pas spécialement petites

et l’utilisation de ces techniques réduirait considérablement la taille de la représentation

de l’espace des états, même avec la spécification présentée ici.

6

Pr´eemption

Ce chapitre est dédié à l’introduction de la préemption dans le modèle des M-nets. Cette

introduction est motivée par la recherche d’un modèle complet pour le temps-réel et

nous avons vu au chapitre 2 que la pr´eemption est un concept central du temps-r´eel, au

mˆeme titre que la repr´esentation du temps.

Nous avons aussi vu que la préemption impérative nécessite une vue globale de la

tâche à interrompre. Pour modéliser la suspension notamment, il faut donc se doter

d’un mécanisme permettant de contrôler la franchissabilité d’un ensemble de transitions

(celles qui composent la tâche à suspendre) de manière centralisée. Dans les réseaux

de Petri, chaque transition n’a qu’une vue locale du syst`eme (ses places en entr´ee) et

son franchissement ne d´epend que de cet environnement restreint. La franchissabilit´e

d’un ensemble de transitions est donc un critère réparti et non centralisé comme nous

en aurions besoin. Ce modèle se révèle donc à priori peu adapté à l’introduction de la

suspension.

Afin de surmonter cette difficult´e, nous augmentons le mod`ele des M-nets avec des

priorités entre les transitions. Ajouter des priorités aux réseaux de Petri peut augmenter

leur expressivit´e et permettre de repr´esenter les machines de Turing. C’est le cas en

général lorsque les réseaux sont non bornés. Les places de liens n’étant pas bornées en

général, l’ajout des priorités augmente strictement la puissance d’expression des M-nets.

Cependant, comme nous l’avons vu `a la section 3.4, il est possible de garantir que les

places de liens restent born´ees par l’ajout de places compl´ementaires. Nous pouvons alors

montrer que les réseaux ainsi bornés sont des abréviations de réseaux places/transitions

et que leur taille est compactée (avec un facteur exponentiel) grâce à l’utilisation des

priorit´es.

L’ajout des priorités nous permet de définir deux nouveaux opérateurs autorisant

res-pectivement la suspension/reprise et l’avortement d’un M-net `a priorit´es. Nous

respec-tons ainsi l’aspect composable de notre mod`ele de d´epart et nous obtenons un nouveau

modèle, baptiséalgèbre des M-nets préemptibles (aussi appelésPM-nets). L’importance

de l’ind´ependance de la pr´eemption par rapport aux autres aspects, comme le temps,

le contrôle de flot et les communications est détaillée dans [Ber93]. En l’intégrant sous

opérateurs de l’algèbre), nous garantissons sa complète orthogonalité au reste du modèle.

Afin d’aboutir à la définition de l’algèbre des PM-nets, nous procédons en plusieurs

´etapes correspondant aux sections de ce chapitre.

1. Nous commen¸cons par ajouter aux M-nets des priorit´es entre leurs transitions.

Il en résulte des M-nets à priorités. Cette classe de réseaux de Petri peut être

vue comme une version de haut niveau des systèmes à priorités définis et étudiés

dans [BK92].

préfixes de haut niveau qui peuvent être analysés [Kou⁺02, FP00]. Il est même possible

relation binaireρ⊆T×T. Pour (t₁, t₂)∈ρ, nous notonst₁≺ρt₂(ou simplementt₁ ≺t₂

est toujours prioritaire sur celui det₁ lorsque les deux transitions peuvent ˆetre franchies.

D’autre part, sit₁ ett₂ sont en conflit sur une place, la priorit´e r´esout le conflit en faveur

dans un même step, seulet₂ peut s’exécuter car t₁ est inhibée.

pour chaque paire (t, t⁰)∈ρ, il existe un arct← t⁰ dans le graphe. La figure 6.1 donne

que t₁ ≺ t₂ et t₂ ≺t₁. Plus précisément, ρ est bien formé si le graphe de ρ ne contient

t₁

t₂

t₃

t₄

t₅

-franchissable, ce que nous notons M[tiρ, s’il n’existe pas de transition t⁰ ∈T telle que

M[t⁰iett≺t⁰. Nous voyons ici que l’ajout de priorit´es peut rendre non franchissable une

•^⇐ t1 t2 _⇒

•^⇐ t₃ ^⇒

viole la relation de priorit´es ; en effet, si t₁ est franchie,t₂ ett₃ deviennent toutes deux

franchissables et, puisquet₃≺t₂,t₃n’est pasρ-franchissable. Il faut donc supprimer cette