Interprétation des automates temporisés

L’état d’un automate temporisé est représenté sous la forme d’une paire liant un lieu et une valuation de l’ensemble d’horloges. Une valuation d’un ensemble de variables est une fonction qui associe au nom de chaque variable une valeur. Pour simplifier à la fois les notations et le discours, nous supposerons un ordre pré-défini sur les noms de variables. Puisque l’ensemble des horloges utilisées dans l’automate est fini, une valuation peut

1_{Un ensemble aurait tout aussi bien pu être considéré mais en introduisant un vecteur dès maintenant, la}

3.1. AUTOMATES TEMPORISÉS ET TRACES TEMPORISÉES 61 être représentée par un vecteur de valeurs réelles positives. Un tel vecteur sera appelé un vecteur d’horloge.

Les traces acceptées par l’automate correspondent à la séquence d’étiquettes d’une exécution de l’automate. Il existe deux types de changements d’état. Nous noterons un vecteur d’horloge γ. L’impact de l’écoulement de d unités de temps sur un vecteur d’hor- loge sera noté γ+d et correspond à l’ajout de d à chaque coordonnées du vecteur. [λ → 0]γ indique la mise à zéro des horloges contenu dans l’ensemble λ pour le vecteur d’horloge γ. γ |= φ signifie que le vecteur d’horloge γ satisfait la condition φ, qui peut être une garde ou un invariant.

Les deux types de changements d’état autorisés dans un automate A défini par < Loc, C, Σ, Inv, E, l0 >, sont :

a) les changements d’état sur un événement a qui se traduisent par le passage d’un état (l, γ) à un état (l0_{, γ}0_{) si et seulement s’il existe un arc (l, g, a, λ, l}0_{) tel que :}

– le vecteur d’horloge avant le changement d’état satisfait la garde g de la transi- tion, γ |= g

– le vecteur d’horloge après le changement d’état satisfait l’invariant de l0. Lors du changement d’état, le vecteur d’horloge est mis à jour en effectuant les mises à zéro d’horloges indiquées sur la transition. Ainsi, il faut s’assurer que l’invariant de l0est bien satisfait par le vecteur mis à jour : [λ → 0]γ |= Inv(l0).

Un tel changement d’état sera noté (l, γ)→ (la 0, γ0_{) et correspond à une « transition}

événementielle ».

b) les changements d’état dus à l’écoulement d’une durée d qui se traduisent par le pas- sage d’un état (l, γ) à l’état (l, γ+ d). Ce changement d’état est autorisé si et seule- ment si le vecteur d’horloge après ajout de cette durée satisfait encore l’invariant du lieu l. Un tel changement d’état sera noté (l, γ)→ (l, γd 0_{). Ce type de transition sera}

appelé dans la suite une transition temporelle.

Considérons la trace u= d0(a1.d1). · .(ap.dp) où chaque aiest un événement, et chaque

di une durée. L’exécution de cette trace sur l’automate se traduit par l’alternance des

deux types de transitions que nous venons de décrire. Une telle trace est acceptée par un automate temporisé A si et seulement si il existe une séquence d’états (ρj)0≤ j≤2p+1, avec

chaque ρj = (lj, γj) tel que :

– l0est le lieu initial loc0, et γ0correspond au vecteur nul.

– Pour tout i, entre 1 et p, t2i−1 = (l2i−1, γ2i−1) ai

→ (l2i, γ2i) est une transition événemen-

tielle autorisée par l’automate.

– Pour tout i entre 0 et p t2i = (l2i, γ2i) di

→ (l_2i+1, γ_2i+1) est une transition temporelle autorisée par l’automate

La séquences des transitions (tj)0≤ j≤2p représente alors "l’exécution de la trace u" dans

Nous l’avons déjà indiqué précédemment, une trace sera autorisée tout d’abord si elle est exécutable. Nous allons faire un point sur les conditions d’acceptation qu’il est raison- nable de considérer. La condition d’acceptation de Büchi [Alu99] permet entre autre de définir des langages de traces correspondant à des propriétés de vivacité. Cette condition requiert que toute trace valide soit une trace infinie telle que pour tout préfixe de cette trace, un état final est accessible depuis l’état atteint par exécution du préfixe. Il en dé- coule qu’un état final est visité une infinité de fois lors de l’exécution d’une trace infinie valide. La définition faisant le consensus dans la communauté identifie les propriétés de vivacité comme l’ensemble des spécifications logiques définissant un ensemble de traces tel que toute trace finie doit posséder au moins une continuation satisfiant la propriété de vivacité. Il en découle qu’il est ridicule de vouloir prouver la violation d’une propriété de vivacité pure à partir d’une séquence d’observation finie. Cependant, la majorité des exigences que l’on souhaite pouvoir définir sont obtenues par conjonction de propriétés de vivacité et de propriétés de sûreté. Le fait qu’une trace soit exécutable correspond à l’expression de contraintes de sûreté. Le fait qu’après une certaine exécution un certain nombre d’état soient toujours accessibles correspond à une contrainte du type : dans le futur, on finira par atteindre l’un de ces état. Cela correspond typiquement à la classe des propriétés de vivacité. Dans le cadre de la vérification en ligne, on distingue une classe de propriétés qui appartient à l’ensemble des propriétés de sûreté : les propriétés de vivacité bornée.

Une telle propriété permet de définir un langage de traces qui exprime des obligations du type : «quelque chose de bien finira par arriver avant T unités de temps».

Nous avons choisit de considérer les TSA, plus une condition d’acceptation désignant une trace finie comme valide si et seulement si l’état atteint après son exécution fait partit d’un ensemble de lieux dits finals.

Dans l’exemple de la figure3.2, le lieu standby est un lieu initial et final. Un vecteur d’horloge de cet automate est constitué de la valeur de x, puis celle de y. La séquence de transitions correspondant à l’exécution de 3.request.12.get_prio.6.release sur l’automate est la suivante : :

(standby, [0, 0]) → (standby, [3, 3])3 request→ (wait_serv, [0, 3])→ (wait_serv, [12, 15]) →12 → (wait_serv, [12, 15]) get→_prio (res_use1, [12, 0])→ (res_use1, [18, 6]) →6

→ (res_use1, [18, 6])release→ (standby, [18, 6])

Pour la suite de ce travail nous considérerons que l’automate temporisé est détermi- niste.

Définition 11 (Automate temporisé Déterministe) L’automate est déterministe s’il vé- rifie les conditions suivantes

3.2. SYNTHÈSE DU DÉTECTEUR AU PLUS TÔT 63