Les ipTPN pour rendre les TPN composables

3.3 Expressivit´e

3.3.3 Les ipTPN pour rendre les TPN composables

Nous avons tous tendance, face à un problème complexe, à vouloir le décomposer en sous-parties plus simples. Non que la complexité du système s’en trouve réduite, mais il est ainsi plus facile d’appréhender les aspects de ce système sous des angles plus accessibles. C’est la base des méthodes de conception incrémentales, basées sur l’ajout successif des sous-systèmes ainsi produits. La méthodologie que nous utilisons dans cette thèse est particulièrement sujette à de telles décompositions.

Le modèle des réseaux de Petri admet intrinsèquement un fonctionnement parallèle (ou concurrent) et peut ultimement être décomposé jusqu’à n’avoir plus qu’une seule transition (et toutes les places nécessaires à ses pré/post-conditions) par composant. Cette décomposition n’est pas toujours la plus adéquate en terme de conception, mais sa faisabilité ne pose aucun problème théorique. L’une des meilleures démonstrations de ce fait est le langage algébrique à base de boˆıtes Petri, le Petri Box Calculus [BDH92], où l’élément de base est une transition avec une place en entrée et en sortie, qui va être manipulé par des opérateurs de composition (proches de ceux que nous venons de définir) tels que l’on puisse construire plus ou moins aisément tout type de réseaux.

S’il est reconnu que les réseaux de Petri sont aisément composables, il est par contre également connu que rajouter une information temporelle sur les transitions restreint fortement les possibilités de composition très larges qui existaient dans le cadre atemporel. En effet, comment composer des transitions portant un intervalle temporel non trivial ? Comment concilier des intervalles différents ? La méthode la plus courante, nous venons de le voir, est de prendre l’intersection des intervalles temporels des transitions composées. Mais ceci n’est qu’un pis-aller posant plus de problèmes qu’il n’en résout. Cela signifie que l’on ne peut pas toujours effectuer la composition : si les intervalles sont disjoints le résultat serait incohérent. Mais, plus grave, cette composition ne présente pas, comme nous allons le voir, de_«bonnes propriétés_»en ce qui concerne la vérification et la modélisation.

Plutôt que d’étudier la composition dans sa totalité, nous allons utiliser la restriction suivante :

D´efinition 24 Composition parall`ele //

Soient deux réseaux de Petri étiquetésNa=hPa, Ta,Preâ,Postâ, ma 0, Ia s, Fa, Aa,Σǫ a,Lai et Nb = hPb, Tb,Preb,Postb, mb 0, Ib s, Fb, Ab,Σǫ b,Lbi.

Si (∀p ∈ Pâ)(∀p^′ ∈ P^b)(La(p) 6=^ǫ Lb(p^′)), alors la composition Na⊙Nb pourra être notée par Na//Nb. L’opérateur // est dit opérateur de composition parallèle.

L’opérateur//n’est donc applicable que lorsque seules des transitions sont fusionnées par l’opération de composition, c’est-à-dire lorsqu’il n’y a pas d’étiquettes de places concordantes entre les deux réseaux participant à la composition.

Maintenant que le cadre est posé, étudions donc le comportement de// face à l’exemple suivant :

p0 t1 [2,2] p1 t2 [1,2] A (a) Un composantC₁ p0 t1 [2,2] A p1 t2 [1,2] (b) Un composant C₂

Fig. 3.13 – Deux composants que nous souhaitons composer par //

Nous souhaitons composer les deux composants de la figure 3.13 en fusionnant leur seule transition possédant une étiquette commune :t₂ pour le composantC₁ ett₁ pour le composant C₂. Le résultat de la compositionC₁//C₂ est donné par le réseau de la figure 3.14.

3.3. Expressivit´e 51 p0.0 t1.0 [2,2] p1.0 t3 [2,2] p1.1 p0.1 t2.1 [1,2] A

Fig. 3.14 – R´esultat de la compositionC₁//C₂

La transition t3 est le résultat de la fusion de t₂ de C₁ avec t₁ de C₂. Son intervalle de tir est obtenu par l’intersection des intervalles des deux transitions fusionnées, le résultat est donc la valeur 2 (c’est-à-dire l’intervalle [2,2]). Elle est tirable après le tir det2.1, c’est-à-dire après une durée totale comprise dans l’intervalle [3,4], en comptant le délai ([1,2]) préalable au tir de t2.1 et celui ([2,2]) préalable à son propre tir.

Alors que, dans le cas atemporel, la composition parallèle permet le codage d’un rendez-vous, ici nous voyons que le rendez-vous est temporellement forcé. En effet, nous avons composé deux transitions qui, au moins initialement, ne se “rencontrent” pas (ne partagent pas d’instants pendant lesquels elles sont toutes deux tirables). C’est en ce sens que nous considérons que cette composition donne des systèmes qui ne respectent pas (ou mal) les composants dont ils sont issus.

Le comportement du r´eseau C2//C1 de la figure 3.14 est donn´e par la figure 3.15.

0 [1,2] 1 t2.1 t1.0 t2.1 2 2 3 t3 4 x dans [1,2] 5 t2.1 6 2 - x 7 2 8 t1.0 9 Fig. 3.15 – Comportement de C₁//C₂ 0 1 [1,2] 3 t2 2 2 t1 Fig. 3.16 – Comportement de C₁ etC₂

Si l’on ne souhaite observer que les évènements liés au composant C₁, on ne doit observer quet₃

ett₁.0, qui sont respectivement les ´ev`enements t₂ ett₁ de C₁. Le comportement de C₁//C₂ lorsqu’on n’observe que les actions de C₁ est donc celui de la figure 3.17.

De la même fa¸con, on peut n’observer que les évènements du composant C₂ dans la composition

C1//C2 : le résultat de cette observation est donné par la figure 3.18. Ces deux observations sont à mettre en regard du comportement des composants C₁ etC₂ qui est donné par la figure 3.16.

Il apparaˆıt clairement que l’activité d’un des composants est visible par l’autre à cause du temps mis pour effectuer une action. Il est donc impossible, si l’on utilise // sans précaution, de faire un pronostic sur le comportement de la composition en ne connaissant qu’un seul composant. De même, lors de la modélisation, il est primordial de connaˆıtre tous les composants pour modéliser un système composé correct. Or cela est contre toute intuition de la modélisation incrémentale, par laquelle un composant est une boite noire dont on ne présuppose que la connaissance de son interface.

0 2 t2 4 t1.0 9 2 3 2 8 [1,2] 1

Fig. 3.17 – ´ev`enements deC₁ dansC₁//C₂

0 1 2 3 4 5 6 [1,2] x dans [1,2] t1 t2 9 2 8 2 - x 7 t2 2 t2

Fig. 3.18 – ´ev`enements de C₂ dansC₁//C₂

Pour améliorer cette situation, nous allons définir les réseaux de Petri composables, les seuls aptes `

a ne pas subir de distorsion temporelle lors de leur composition.

Définition 25 (TPN composable) UnTPNétiquetéN =hP , T ,Pre,Post, m₀, I_s,Σǫ,Liest com-posable lorsque (∀t ∈ T)(L(t) 6= ǫ ⇒ Is(t) = [0,∞[), i.e. toutes ses transitions étiquetées portent l’intervalle trivial[0,∞[.

Théorème 3 (Compositionnalité restreinte de // pour les ipTPN) Soit ⌈n⌉ le TTSdonnant le comportement du réseau ipTPN n,

N_a=hPa, Ta,Prea,Posta, ma 0, Ia s, Fa, Aa,Σǫ a,Lai, Nb=hPb, Tb,Pre^b,Post^b, mb 0, Ib s, Fb, Ab,Σǫ b,Lbi et

N =hP , T ,Pre,Post, m₀, I_s, F , A,Σǫ,Li leur produit par //, Ti\j l’ensemble de transitions ´etiquet´ees sur Σǫ

i \Σ_j, Alors, (∀t∈T_a_\_b)(Ia

s(t) = [0,∞[)∧(∀t∈T_b_\_a)(Ib

s(t) = [0,∞[)

⇒ ⌈Na//N_b⌉=⌈Na⌉ || ⌈N_b⌉

Le produit|| de TTS a été présenté dans le chapitre précédent (définition 2).

PreuveLa preuve de ce théorème est tout à fait analogue à celle donnée dans [BPV06]. 2

La compositionnalité restreinte est une propriété intéressante car elle permet de connaˆıtre le com-portement d’une composition de réseaux⌈N_a//N_b⌉ par le produit desTTS ⌈N_a⌉||⌈N_b⌉. Or le produit deTTS ne prend pas en compte les informations temporelles, ce qui signifie que les délais de l’un et l’autre des composants s’écoulent de manière indépendante. Pour faire le lien avec l’observation des actions d’un composant que nous avons faites un peu plus tôt, lorsqu’on n’observe que les actions de

Na dans⌈Na⌉||⌈Nb⌉, il n’est pas possible d’observer les d´elais deNb.

Il est très facile de savoir quelTPN est composable. Le problème ici est de fournir une méthode systématique permettant d’obtenir un réseau composable à partir d’un réseau qui ne l’est pas. De plus, si un réseau doit être transformé de manière à devenir composable, nous souhaitons qu’il soit au minimum faiblement temporellement bisimilaire. Ce travail de conversion n’est pas possible de manière endogène et générale. Néanmoins une telle transformation est possible si les bornes supérieures des intervalles des transitions de l’interface du composant ne sont pas des bornes strictes [PBV09]. Cette transformation est très coûteuse.

Si la transformation endogène d’un composantTPN n’est pas toujours possible, une transformation exogène, en passant par lesipTPN, est possible de manière générale. Le résultat de la transformation est très proche du réseau d’origine et produit un composantfortement bisimilaire.

Reprenons ligne par ligne l’algorithme 2 montrant comment passer d’un TPN quelconque `a un

ipTPN fortement temporellement bisimilaire et composable. La bijectionB associe à chaque transition du réseau source une nouvelle transition dans le réseau résultat. En effet, la traduction opère en

3.3. Expressivit´e 53

Algorithme 2: Transformation d’unTPN non composable en unipTPN composable ´equivalent Soit le TPN R=hP , T ,Pre,Post, m₀, I_s,Σǫ,Li et son interface I ={t∈T|L(t)6=ǫ}. SoitI′

un ensemble de lettres distinctes deT (et deP) et |I|=|I′|. On peut définir une bijection entre les éléments deI et deI^′. Soit B:I → I^′ cette bijection.

L’ipTPN R′ =hP, T ∪ I′,Pre^′,Post^′, m₀, I′

s,−◦,−•,Σ,L′i suivant est l’´equivalent composable de R :

a) (∀t∈T)(L′(t) =L(t)) b) (∀t∈ I)(L′(B(t)) =ǫ)

c) (∀t∈ I)(Pre^′(B(t)) =Pre(t))

d) (∀t∈T)(Pre^′(t) =Pre(t)∧Post^′(t) =Post(t)) e) (∀t∈ I)(B(t)−• t) f) (∀t∈ I)(B(t)−◦ B(t)) g) (∀t∈T \ I)(I_s^′(t) =Is(t)) h) (∀t∈ I)(I′ s(t) = [0,∞[∧I′ s(B(t)) =Is(t))

récupérant l’ancien réseau, en le modifiant légèrement et en y ajoutant de nouvelles transitions. Les transitions de l’interface sont toutes transformées de telle fa¸con qu’elles ne possèdent plus qu’une information temporelle triviale et les nouvelles, non composables et ne faisant pas partie de l’interface, portent l’information précédemment liée aux transitions de l’interface I.

Chaque transition du réseau source garde son étiquette dans le réseau destination (a). Les transi-tions nouvellement ajoutées, c’est-à-dire les transitions de I^′, images par B de l’interface I, portent toutes l’étiquette neutreǫ (b). Ceci est indispensable pour s’assurer de la composabilité du nouveau réseau puisque ce sont ces transitions qui vont porter une information temporelle, à la place des tran-sitions de I (h). Les transitions de I^′, nouvellement ajoutées, ont les mêmes préconditions que leurs homologues dansI (c), par contre elles n’ont pas gardé les postconditions : ce serait inutile vu que ces transitions deI′ ne sont jamais tirables (f). Quant aux préconditions et postconditions des transitions du réseau initial, elles ne sont pas modifiées (d). Ne sont pas modifiées également les intervalles de tir des transitions n’appartenant pas à l’interface (g).

En appliquant cette transformation aux réseaux non composable C₁ et C₂ des figures 3.13(a) et 3.13(b), on obtient les réseaux des figures 3.19 et 3.20, qui, une fois composés selon la composition

C₁⊙C₂ donnent le r´eseau de la figure 3.21.

p0 t1 p1 t2 A _t2.1 [1,2] [2,2]

Fig. 3.19 –C₁, versionipTPN composable

p0 t1 A p1 t2 t1.1 [2,2] [1,2]

Fig. 3.20 –C₂, versionipTPN composable A la différence de la composition ⊙ des réseaux C₁ et C₂ non composables, dont le résultat est visible sur la figure 3.14, nous pouvons constater qu’ici la transition t3, résultat de la fusion des transitions étiquetées par A est contrainte non plus par un intervalle de tir, comme c’était le cas dans la composition précédente, mais par deux contraintes de permission. Ces deux contraintes sont contradictoires et empêchent la transition de tirer, mais égalementempêchent le temps de progresser : nit₁, ni t₂ ne sont tirables (elles s’inhibent elles-mêmes), mais elles possèdent toutes deux une borne

t1.0 [2,2] p1.0 t3 t2.1 [1,2] p0.1 p0.0 p1.1 t1 [1,2] t2 [2,2] A

Fig.3.21 – R´esultat de la composition C1⊙C2

supérieure, limitant la progression du temps au minimum de ces dernières. Puisque ce sont les seules transitions sensibilisées mise à partt3 (qui, rappelons-le, n’est pas tirable puisque les deux contraintes exercées par t₁ et t₂ sont contradictoires), le temps est condamné à se retrouver bloqué par la plus petite borne supérieure des intervalles de tir det1 et t2. Ce blocage, nous semble-t-il est plus proche de ce que l’on attend d’une composition parallèle de systèmes temporels que la composition desTPN

précédente : vouloir faire la composition comme nous le voulions n’était pas vraiment souhaitable et le blocage temporel est le résultat nous démontrant que cette composition est une mauvaise spécification si elle doit représenter un système réel.

Si par construction les ipTPN permettent plus de comportements _«bizarres_» — le blocage tem-porel est impossible avec les réseaux de Petri temtem-porels — ils permettent dans le même temps plus d’expressivité et par conséquent plus de problématiques sont modélisables.

Dans le document Réseaux de Petri temporels à inhibitions/permissions - Application à la modélisation et vérification de systèmes de tâches temps réel (Page 51-55)