Diagnosticabilité des systèmes à événements discrets : État de l art

Dagnstcalté des systèmes à événements dscrets : État de l art Fard Nuua et hlppe Dague {FardNuua, hlppedague}@lrfr LRI, Unversté ars, Grupe GEMO, INRIA Saclay Ile-de-France arc clu Unversté, 4, rue Jacques Mnd, Bât G, 9893, Orsay

Tales des matères Intrductn 4 Les «dmensns» de la dagnstcalté 4 Systèmes dscrets, cntnus et hyrdes 5 Systèmes cntnus 5 Systèmes dscrets 5 Systèmes hyrdes 6 Systèmes centralsés et systèmes dstrués 6 3 Dagnstcalté dans les systèmes à événements dscrets 7 3 Rappels sur les systèmes à événements dscrets 7 3 Ntatns de ase 7 3 Défntn frmelle de la dagnstcalté 8 3 Apprches centralsées 9 3 Apprche à ase d un dagnstqueur 9 3 Cnstructn d un dagnstqueur 9 3 Cndtns de dagnstcalté 33 erfrmance et cmplexté 3 Une premère apprche à ase de vérfcateur 3 Cnstructn d un dagnstqueur et d un vérfcateur 3 Cndtn de dagnstcalté 4 33 Résultats de cmplexté 4 33 Une deuxème apprche à ase d un vérfcateur 5 33 Cnstructn des F -vérfeurs 5 33 Cndtn de dagnstcalté 5 333 Résultats de cmplexté 6

33 Apprches décentralsées/dstruées 6 33 Une apprche dstruée à ase de vérfcateurs lcaux 7 33 Mdèles lcaux et mdèle glal 7 33 Dagnstqueurs et vérfcateurs lcaux 9 333 Un premer algrthme de vérfcatn de la dagnstcalté 334 Un deuxème algrthme de vérfcatn de la dagnstcalté 4 Autres méthdes pur la vérfcatn de la dagnstcalté 4 4 Mdel-checkng à ase d une structure de Krpke et une lgque LTL 4 4 Le mdèle 4 4 Cndtns de dagnstcalté 4 43 La dagnstcalté cmme prlème d attengnalté 5 44 Expressn et vérfcatn en termes d une Structure de Krpke 6 4 Utlser un langage algérque : EA 7 4 Mdélsatn d un système physque à l ade de EA 8 4 Le langage EA 8 4 Mdélsatn du système physque 9 4 Caractérser le dagnstc avec EA 3 43 Dagnstcalté avec EA 3 43 Utlser les algrthmes de satsfalté : SAT 3 5 Cnclusn 35 6 Références 36 3

Intrductn Les systèmes autmatques cmplexes truvent leurs places aujurd hu dans de plus en plus d applcatns réelles de la ve qutdenne par exemple dans l ndustre autmle et aérnautque entre autres L une des exgences pur ces systèmes, est qu elle sent le plus autnmes que pssle même dans des cas ù de défallances Le prlème de dagnstc autmatque de défallances dans des systèmes cmplexes est l un des dmanes de recherche qu nt attré l attentn auss en de la cmmunauté de cntrôle de systèmes avec des apprches ssues de l autmatque que de la cmmunauté d Intellgence Artfcelle (IA) avec les travaux sur le dagnstc à ase de mdèles nté par le paper de Reter [Reter, 87] Ces apprches nt déuché ces dernères années sur l étude de la dagnstcalté d un système qu cnsste à cncevr et mplémenter des algrthmes de vérfcatn de prprétés frmelles du système garantssant qu un mdèle, dnt n cnnaît à l avance les événements servales, permet la détectn et la dscrmnatn d un ensemle de défallances pssles cnnues a prr et ncrprées au mdèle du système L étude de la dagnstcalté ntervent prncpalement dans la phase de cnceptn du système et permet de savr s les servales prévus pur le système (suvent, l ajut d servales dans un système revent à ajuter des capteurs dans ce système) suffsent à dscrmner au ut d un temps fn, d une part, le fnctnnement nrmal de tut fnctnnement fautf et d autre part, tut fnctnnement fautf de tut autre fnctnnement fautf Dans ce paper, nus présentns un état de l art de travaux effectué dans le dmane de la dagnstcalté Nus cmmençns, dans la sectn, par présenter les dfférentes varantes que l n peut truver pur le prlème de la dagnstcalté seln la nature du système mdélsé Nus nus fcalsns dans la sectn 3 sur la dagnstcalté des systèmes à événements dscrets, plus précsément le cas le plus cmmunément utlsé ù le système est mdélsé par un autmate fn Nus passerns en revue ans quelques algrthmes de vérfcatn de la dagnstcalté auss en dans le cadre centralsé que dans le cadre dstrué Dans la sectn 4, nus présentns trs autres apprches prpsées pur trater le prlème de dagnstcalté à savr : l utlsatn de technques de mdel-checkng, la mdélsatn et la vérfcatn par un langage algérque et la réductn du prlème de vérfcatn de la dagnstcalté à un prlème SAT Les «dmensns» de la dagnstcalté Cntrarement au dagnstc en lgne qu peut parfs être effectué même en l asence d un mdèle du système (en s appuyant généralement sur des cmparasns de grandeurs asées sur des redndances e, des grandeurs qu peuvent se calculer par dfférents myens), l étude de la dagnstcalté présuppse en tut l exstence d un mdèle qu décrt les cmprtements nrmal et défectueux du systèmes ar cnséquent, l étude de la dagnstcalté présuppse de répertrer a prr un certan nmre fautes dnt n veut vérfer la dagnstcalté En revanche, la nature du système mdélsé pur cndure à des apprches très dfférentes dans la défntn des fautes et de l servalté du système et par cnséquent dans la cnceptn des algrthmes de vérfcatn de la dagnstcalté Nus présentns rèvement dans ce qu sut quelques crtères prncpaux qu permettent de catégrser les systèmes étudés seln leurs natures et qu détermne en évdemment l apprche adéquate pur l étude de leur dagnstcalté 4

Systèmes dscrets, cntnus et hyrdes Seln la nature du système étudé, n utlse en pratque trs types de mdèles avec des représentatns dfférentes de la descrptn de la dynamque du système, de ses fautes ptentelles et de ses servatns Systèmes cntnus ur les systèmes dnt le cmprtement est cntnu dans le temps, n utlse des mdèles à ases d états (state ased mdels) Dans ces mdèles, le cmprtement du système est décrt par un ensemle de varales à dmanes cntnues ans que les cntrantes (par exemples des équatns analytques) relant ces varales dans ses dfférents mdes pssles de fnctnnement L servalté dans un tel système est défne en détermnant, parm ses varales, un sus ensemle de varales dts servales, e, dnt la valeur peut être servée Le système est dnc caractérsé, à un nstant dnné, par l ensemle des valeurs de ses varales servales à cet nstant L servalté du système est dans ce cas représentée par l ensemle des n-uplets des valeurs pssles des varales servales de ce système Les fautes dans un tel système snt vues cmme des perturatns mprévues qu affectent le cmprtement crrect du système et par cnséquent les servatns sur ce système La dagnstcalté, cmme d autres ntns vsnes telles que la détectalté et la dscrmnalté des systèmes cntnus, est asée sur la ntn de sgnature Intutvement, une sgnature d une cmnasn pssle de fautes, cnsste en l ensemle d servatns puvant être tenu à partr du fnctnnement du système dans le cas ù cette cmnasn de fautes s est prdute Deux fautes snt dts dscrmnales s leurs sgnatures snt cmplètement dfférentes et une faute est dte détectale, s elle est dscrmnale du mde nrmal, e s sa sgnature est cmplètement dfférente de la sgnature du fnctnnement nrmal (c n trate de la même manère le mde nrmal cmme tut autre mde fautf résultant de la prductn d une cmnasn quelcnque de fautes) Le système est dt dagnstcale, s tute pare de fautes est dscrmnale En pratque, cette dernère cndtn de dagnstcalté est assez frte, et n utlse suvent une ntn ms frte qu s appue sur ce qu n appel la dscrmnalté fale : une faute f est falement dscrmnale d une faute f s et seulement s la sgnature de f n est pas un sus-ensemle de la sgnature de f Il est clar que la dscrmnalté mplque la dscrmnalté fale et l nverse n est pas tujurs vra [WS-DIAMOND Grup, 7] Systèmes dscrets Les systèmes dscrets (u plus suvent systèmes à événement dscrets) snt des systèmes qu peuvent êtres mdélsé par des mdèles à ase d événements (Event ased appraches) Il s agt de systèmes dnt le cmprtement est vu cmme des transtns pssles entre dfférents états sute à l ccurrence d événements (cnsdérés généralement pnctuels du pnt de vue temprel) Les autmates fns et les réseaux de etr et leurs varantes et extensns snt des exemples de mdèles suvent utlsés pur représenter le cmprtement de tels systèmes (surtut les autmates fns) L servalté dans ce type de systèmes est traté en parttnnant a prr dans le mdèle l ensemle des événements en deux sus ensemle : celu des événements servales (généralement ceux crrespndants à des capteurs nstallé dans le système) et celu des événements nn servales qu englent justement les événements de fautes Ans, ce qu n serve d un système à événements dscrets snt des séquences d événements servales La dagnstcalté dans les systèmes à événements dscrets est défne ntutvement cmme sut : Un système est dt dagnstcale s et seulement s tut ccurrence d une faute est suve par une séquence fne d servales qu ne se prdut pas en l asence de la faute 5

Cette défntn se rapprche de la ntn de sgnature défne pur les systèmes cntnue On truve d alleurs dans [Crder et al, 6] une étude qu mntre la ntn de sgnature peut être frmellement défne pur les systèmes à événements dscrets de manère à ce que la dagnstcalté peut être défne de la même manère dans les systèmes cntnus et dscrets La plupart des travaux actuels, sur la dagnstcalté des systèmes à événements dscrets, utlsent les autmates fns smples cmme mdèles de représentatns Il exste également d autres travaux dans ce dmane qu utlsent d autres mdèles à événements dscrets Dans [Trpaks, ], le dagnstc et la dagnstcalté snt analysés dans le cadre des autmates temprsés en suvant l apprche des «twn plants» prpsée par [Jang et al, ] La dagnstcalté des réseaux de etr en général est étudée par [Wen et Jeng, 4] Fnalement, [Haar et al, 3] et [Haar, 5] étudent la dagnstcalté des systèmes à événements dscrets avec une sémantque d rdre partelle en se fndant partculèrement sur la technque d exécutn de réseaux de etr (etr Net unfldngs) (vr à ce sujet [Esparza et al, ] 3 Systèmes hyrde Dans les systèmes hyrde, et cmme le nm l ndque, les deux aspects cntnu et dscret cexstent dans la mdélsatn L dée générale dans cette apprche est de mdélser le système par un ensemle d états et de transtns cmme dans un système à événements dscrets mas que les états du système, eux, snt mdélsés par une apprche cntnu Ans un état du système peut être vue cmme un système cntnu avec des varales cntnues relées par des cntrantes, mas la prtée de ces cntrantes est restrente à l état en questn La transtn du système d un état à un autre fat changer sn mde de fnctnnement en le fasant sur d autres ls cntnues prpres au nuvel état Il y a peu de travaux sur l étude de la dagnstcalté dans de tels systèmes (vr à ce sujet par exemple [Furlas et al, ] [Beyudh et al, 6]) Systèmes centralsés et systèmes dstrués En plus de la nature cntnu, dscrète u hyrde, un autre facteur qu l faut prendre en cmpte dans la cnceptn d algrthmes pur la vérfcatn de la dagnstcalté d un système est sn aspect centralsé u dstrué Dans l apprche centralsée, le système étudé est décrt par un seul mdèle qu ntègre l ntégralté de sn cmprtement Nus dspsns ans dans un tel mdèle d une vsn glale des paramètres pertnents du système La plupart des travaux sur la dagnstcalté s nscrvent dans ce cadre L ncnvénent de cette apprche, est que suvent, l devent très cûteux vre mpssle, pur des rasns de cmplexté, de représenter dans un mdèle unque le fnctnnement de l ensemle du système En pratque, les systèmes réels snt vus cmme un ensemle de sus-systèmes qu cpèrent à travers des mdes de cmmuncatns apprprés Naturellement, ce dnt n dspse dnc réellement est un ensemle de susmdèles pur ces dfférents sus-systèmes ans qu une descrptn de leurs façns de cmmunquer entre eux Thérquement, n peut tujurs se ramener à un cas dstrué en cnstrusant un mdèle glale du système à partr des dfférents sus-mdèles (ce qu ce fat par exemple dans le cas des autmates fns par l pératn de synchrnsatn), mas en pratque cette démarche peut devenr très cûteuse en cas de systèmes cmplexes de grande talle L enjeu est dnc de cncevr des algrthmes qu permettent de fare émerger une décsn glale sur la dagnstcalté d un système à partr de décsns lcales sur la dagnstcalté de ses dfférentes partes Quelques travaux n été déjà réalsés dans ce cntexte pur les systèmes à événements dscrets mdélsés par des autmates (vr la sectn 6

33) Cependant ce dmane reste à ntre cnnassance verge dans le cas de systèmes cntnus et hyrdes Après ce ref aperçu sur les dfférentes facettes du prlème de dagnstcalté, dmensns Nus nus lmtns dans ce qu sut aux travaux qu nt traté le prlème de dagnstcalté dans les systèmes à événements dscrets 3 Dagnstcalté dans les systèmes à événements dscrets 3 Rappels sur les systèmes à événements dscrets 3 Ntatns de ase Un SEF G est défn par le quadruplet : G (X, Σ, δ, x ) tel que : X est un ensemle d états, Σ est un ensemle d événements, δ X Σ X est un ensemle fn de transtns et x est l état ntal Le langage généré par G est nté L(G) u tut smplement L L est un sus-ensemle de Σ * qu est la fermeture de Kleene de Σ Il crrespnd à l ensemle des traces (c-à-d les mts) qu peuvent être exécutées dans G à partr de l état ntal L(G) est dnc préfxé e, L(G) pr(l(g)), ù pr(l(g)) {u / v Σ *, uv L(G)} est l ensemle des préfxes des traces dans L(G) L ensemle d événements Σ est réparts en deux sus ensemles Σ et Σ u : Σ Σ Σ u Σ cntent les événements servales e, les événements dnt l ccurrence peut être servée et qu peuvent être les cmmandes ssues du cntrôleur u les valeurs tenues des capteurs lrs de l exécutn du système Σ u cntent les événements nn servales e, les événements dnt l ccurrence ne peut pas être servée et qu cntennent les événements de fautes et tut autre événement qu peut causer un changement dans le système mas dnt les capteurs ne détectent pas la présence L ensemle des fautes du système est nté Σ f et représente un sus-ensemle des nn servales : Σ f Σ u On parttnne l ensemle de fautes Σ f en m ensemles dsjnts qu crrespndent aux dfférents types de fautes dnt le tratement est assuré par les mêmes actns cnsécutves Nus avns ans : Σ f Σ f Σ fm Π f {,,m} est l ensemle des ndces crrespndant aux types de fautes Σ f On suppse auss que le système mdélsé vérfe deux hypthèses : (H ) sn langage L est vvant e, l exste une transtn à partr de tut état x de X, (H ) le système n a pas de cycle frmé exclusvement d événements nn servales Une trace vde est ntée par ε L/s désgne le pst-langage de L après s c est-à-dre : L/s {t Σ * * * / st L} La fnctn de prjectn : Σ Σ assce à chaque trace s de Σ une trace ne cntenant que les servales de s e, supprme tut smplement tus les nn servales d une trace dnnée La prjectn nverse - est dnc défne par : L ( y) { s L / ( s) y} St s f le derner événement dans une trace s, n défnt Ψ Σ f ) { sσ f L / σ f Σ f } ( qu désgne l ensemle des traces de L qu se termnent avec une faute de la classe Σ f ar aus de langage, n écrt Σ f s pur exprmer le fat qu l y a une faute σ f de Σ f telle que σ f s Dans ce qu sut, nus étendns la défntn de δ pur cuvrr auss les séquences d événement e, nus cnsdérns : δ X Σ * X 7

Cnstructn du générateur G G résulte de G en ne décrvant que le cmprtement du système par rapprt aux événements servales G est en général nn détermnste et génère le langage (L) qu résulte de l applcatn de la fnctn de prjectn sur tutes les trace de L e, G exprme la parte servale su système mdélsé Avant de mntrer cmment cnstrure G nus cmmençns par ntrdure les défntns suvantes : X {x } {x X / l y a une transtn étquetée par un servale et entrante à x} L(G, x) est l ensemle des traces de L ssues de l état x de G L (G, x) est l ensemle des traces de L ssues de l état x de G et se termnant par la premère * L ( G, x) s L( G, x) / suσ, u Σ, σ Σ ccurrence d un servale : { } u L σ (G, x) l ensemle des traces de L (G, x) qu se termnent par l servale partculer σ : L σ ( G, x) { s L ( G, x) / s f σ } Le générateur G est défn par : G (X, Σ, δ G, x ) ù X, Σ, x nt été déjà défns et ù δ G est la fnctn de transtn de G telle que δ G (X Σ X ) avec : (x, σ, x ) δ G ss (x, s, x ) δ pur un certan s L σ (G, x) Exemple (nspré de [Jang et al, ]) La fgure mntre le mdèle d un système à événements dscrets G (la parte gauche) ans que sn générateurg u a x x x x 3 a x x x 3 f c x 4 c x 4 G G Fgure Exemple d un système à événement dscret et de sn générateur Le mdèle ntal G est défn par : l ensemle des états est : { x, x, x, x x } X ; 3,, les sus ensemles des événements servales, nn servales et de fautes snt respectvement : l ensemle des événements est : Σ { a,, c, u, f } Σ { a,, c}, Σ { } et { } l ensemle de transtns est : u 4 u, f Σ ; { x, a, x ),( x, f, x ),( x, u, x ),( x,, x ),( x, c, x ),( x,, x ),( x,, )} δ ; ( 3 4 3 3 4 x4 l état ntal est : x f f 8

Le générateur crrespndant G est défn par : X, Σ, δ G, x l ensemle des états est : { x, x, x x } X ; 3, l ensemle des événements est : { a,, c} l ensemle de transtns est : G l état ntal est : x 4 Σ ; { x, a, x ),( x,, x ),( x, c, x ),( x,, x ),( x,, )} ( 3 4 3 3 4 x4 δ ; 3 Défntn frmelle de la dagnstcalté Un langage L préfxé et vvant est dt dagnstcale par rapprt à une prjectn et un ensemle de parttns de défauts Π f s et seulement s [Sampath et al 95]: ( Π )( n N)[ s Ψ( Σ )]( t L / s)[ t n D] f Tel que la cndtn de dagnstcalté D est cmme sut : 3 Apprches centralsées ω [ ( st)] Σ ω L f 3 Apprche à ase d un dagnstqueur [Sampath et al, 95] 3 Cnstructn d un dagnstqueur On défnt l ensemle des étquettes de fautes f {F,, F m } ù Π f m (une étquette F par type de fautes Σ f ) et l ensemle ttal des étquettes pssles qu peuvent fgurer dans les états du dagnstqueur (vr c-après) : ({{N}} { f {A}} )/{{}} N veut dre «nrmal», A veut dre «amgu» et F veut dre qu une faute de type F s est prdute Les éléments l de peuvent prendre les frmes suvantes : l {N}, l {A}, l {F,, F k } u l {A, F,, F k } ({,, k } {,, m}) Le dagnstqueur G d de G est défn par : G d (Q d, Σ, δ d, q ) tel que : a) q {(x, {N})} e, n démarre d un état nrmal du système f ) L espace d état Q d est un sus-ensemle de l ensemle Q X (vr la défntn de X plus haut) Q d cntent les états de Q attegnales par la fnctn de transtn δ d (vr c-après) à partr de l état ntal q Un état q d de Q d est de la frme {(x,l ),, (x n, l n )} ù x X, l (vr plus haut les frmes pssles de l ) c) ur défnr la fnctn de transtn δ d du dagnstqueur nus avns esn de défnr les fnctns suvantes : ) La fnctn de prpagatn d étquettes L : X Σ * : L( x, l, s) ) La fnctn de rang R : Q Σ Q : { N} s l { N} et [ Σ f s] { A} s l { A} et [ Σ f s] { F / F l Σ s} snn R( q, σ ) f U U{ ( δ ( x, s), L( x, l, s)) } ( x, l) q s Lσ ( G, x) 9

) La fnctn de crrectn d étquettes LC : Q Q : LC( q) {( x, l) q / x apparat une seule fs dans les cuples de q} {( x, { A} l l ) s'l deux u plus de pares (x,l ),, ( x, l ) dans q} k La fnctn de transtn δ d : Q Σ Q est défne cmme sut : σ e d ( q ) et Exemple [ R( q, )] q δ d ( q, σ ) ss q LC σ, avec : e ( q d U{ ( s) / s L ( G, x } ) ) ( x, l) q La fgure mntre le dagnstqueur crrespndant au système G présenté dans l exemple k x N a x N x 3 A c x 4 A G d Fgure Dagnstqueur du système présenté dans l exemple 3 Cndtns de dagnstcalté Avant d énncer les cndtn nécessares et suffsantes pur la dagnstcalté d un système à événements dscrets G dnt le dagnstqueur est G d et le générateur est G, dnnns quelques défntns utles : - Un état q de Q d est dt F -certan s : ( x, l) q, F l - Un état q de Q d est dt F -ncertan s : - Un état q de Q d est dt amguë s : ( x, l) q, A l ( x, l),( y, l') q, F l et F l' Remarque : Dfférence entre un état F-ncertan et un état amgu Un état q est F -certan s tute trace de q à q cntent lgatrement la faute F Un état q est F -ncertan s l y a deux traces s et s de q à q ayant la même prjectn servale tel que s cntent F alrs que s ne cntent pas F et que dans le système ntal G, les traces s et s mènent vers deux états dfférents Un état q est amgu s l y a deux traces s et s de q à q ayant la même prjectn servale tel que s cntent F alrs que s ne cntent pas F et que dans le système ntal G, les traces s et s mènent vers un même état

- Un ensemle d états x,, x n X frme un cycle dans G s : + s L( G, x) tel que s σ σ σ n et δ ( x, σ ) x( ) md n,,,, n - Un ensemle d états F -ncertans q, q,, q n Q d frme un cycle F -ndétermné s : a) q, q,, q n frment un cycle dans G d avec : δ d ( ql, σ l ) q( l+ ) md n tel que σ l Σ, l,,, n ) ur ce cycle dans G d, l exste un cycle crrespndant dans G mplquant unquement des états ayant F dans leurs étquettes dans le cycle de G d et un cycle smlare dans G mplquant unquement des états n ayant pas F dans leurs étquettes dans le cycle de G d Frmellement : k k r ~ r ( xl, ll ),( yl, ll ) ql, l,, n, k,, m, r,, m' tel que k ~ r F l, F l pur tut l, k et r l l r Les séquences d états { x k l }, l,, n, k,, m et { y l }, l,, n, r,, m' frment des cycles dans G (le générateur) avec : et ( x ( x ( x ( y ( y ( y k l k n m n r l r n, σ, x l, σ, x m' n n, σ, x l, σ, y l k l+ k+, σ, y n ) δ, ) δ r l+, σ, y l r+ G' ) δ, G' ) δ G' G' ) δ, G' ) δ, G' l,, n, k,, m l,, n, r,, m' k,, m r,, m' Dagnstcalté Un langage L sans fautes multples de même type est dagnstcale s et seulement s sn dagnstqueur G d satsfat les cndtns suvantes : C) Il n y a pas de cycle F -ndétermné dans G d pur tut type d erreur F C) Il n y a pas d état q de Q d qu st amgu Exemple 3 Seln le dagnstqueur (fgure ) n vt en que la cndtn C) n est pas vérfée Il exste deux états amgus : { x,{ A } { x 4, A } Le système n est dnc pas dagnstcale 3 et { } 33 erfrmance et cmplexté On truve dans [Sampath et al, 95] les preuves: - Qu l y a une lmte supéreure du déla de dagnstcalté pur une faute dnnée F (e, l enter n de la défntn de la dagnstcalté sectn 3) En fat, n a :

n C n + n ù : n est la lngueur maxmale des séquences frmées exclusvement d événements nn servales (n est fn seln l hypthèse (H ), sectn 3) C est le nmre ttal d états x de X qu fgurent dans tus les états F -ncertans du dagnstqueur : C q Q d : q est F ncertan nmre d'états x dans q - Que le dagnstqueur G d détecte l ccurrence d une faute F dans un déla qu crrespnd au plus à la prductn de n +n événements après l ccurrence de la faute F L algrthme prpsé est expnentel par rapprt au nmre d états du système G et dulement expnentel par rapprt au nmre de types de fautes 3 Une premère apprche à ase d un vérfcateur [Jang et al ] 3 Cnstructn d un dagnstqueur et d un vérfcateur On cnstrut le SEF nn détermnste (dagnstqueur) G ( X, Σ, δ, x ) dnt le langage est L(G ) (L(G)) avec : { f Σ } L espace d états de G est X ( x, f ) / x X { x}, f ù X est l ensemle des états de G attegnales par une chemn servale (au mns partellement) : X { x X / ( x, σ, x) δ avec ( σ ) ε} ; Σ est l ensemle des événements servales de G; x ( x, φ) est l état ntal et δ X Σ X est la fnctn de transtn telle que : ((x,f),σ,(x,f )) δ s et seulement s : - l exste un chemn (x, σ, x,, σ n, x n, σ, x ) (n ) avec (σ ) ε ( {,, n}), (σ) σ ; - f { σ / σ Σ f } f On cnstrut le SEF nn détermnste (vérfcateur) G d G G (la cmpstn strcte de G d avec lu-même) ; Gd ( X d, Σ, δ d, x ) avec : d, l état ntal est x ( x, x ) et δ d X d Σ X d est la fnctn de transtn telle que (( x, x ), σ,( y, y )) δ d s et seulement x, σ, y ) et x, σ, y ) snt dans δ L ensemle d états de G d est X d {( x, x ) / x, x X } ( ( Exemple 4 ([Jang et al, ]) La fgure 3 représente un exemple d un système G X, Σ, δ, x ) avec : ( Σ { a,, c, u, f f }, Σ { a, c}, Σ { u, f f } et Σ { },, u états et des transtns snt clarement déduts de la fgure, f f, f Les ensemles des

a x x x u f x 3 f f x 4 G c Fgure 3 Un autre exemple d un système à événement dscret Le dagnstqueur G et le vérfcateur dans les fgures 4 et 5 suvantes : Gd crrespndant snt représentés respectvement x 3,{F } x, φ a x, φ x3,{f, F } c G x 4 { F } c Fgure 4 Dagnstqueur G du système x, φ x, φ x 3,{F } x 3,{F } x 3,{F } x 3,{ F, F } x 3,{ F, F } x 3,{ F, F } x, φ a x, φ x 3,{ F, F } x 3,{F } c x 4,{F } x 4,{F } c G d Fgure 5 Vérfcateur G d du système 3

3 Cndtn de dagnstcalté L(G) est dagnstcale s et seulement s pur tut cycle cl dans G d, cl ( x, σ, x,, xn, σ n, x ), n, x (( x, f ),( x, f )),,, n, nus avns : f f pusque les f snt des ensemles crssants par cnstructn et qu'n est dans un cycle, la cndtn f f pur tut,, n se ramène à la cndtn : f f Ans, s après la cnstructn de G d, n truve un cycle cl ( x, σ, x,, xn, σ n, x ), n, x (( x, f ),( x, f )),,, n ù f f n dédut que le système n est pas dagnstcale Cette étape peut être amélrée en détermnant d'ard les états (( x, f ),( x, f )) de G d tel que : f f et supprmer tus les autres états ans que les transtns qu lu snt asscées et ensute vérfer s le graphe qu en résulte cntent des cycles Exemple 5 Seln le vérfcateur (fgure 5) du système ntrdut c-dessus, n cnstate l exstence de deux cl x, F, x, F, F,, x, F, x, F, F, avec F F F et cycles : ((( 3 { }) ( 3 { })) (( 3 { }) ( 3 { })) ) { } {, } cl ((( x,{ F, F }), ( x,{ F })),, (( x,{ F, F }), ( x,{ F })) ), avec { F F } { F } 3 3 3 3, n est dnc pas dagnstcale 33 Résultats de cmplexté Les système - Le nmre maxmum d états dans G est : X Σ f f - Le nmre maxmum de transtns dans G est : X Σ Σ - Le nmre maxmum d états dans G d est : X Σ f f - Le nmre maxmum de transtns dans G d est : X Σ - La cmplexté de la cnstructn de G est : Σ f O X Σ - La cmplexté de la cnstructn de G d est : 4 4 Σ f O X Σ - La cmplexté de vérfer s l y a un cycle dans le résultat de la réductn de G d (vr la sectn précédente) qu vérfe la cndtn de nn dagnstcalté est : 4 4 Σ O X f - La cmplexté glale de l algrthme est dnc: 4 4 Σ f O X Σ L algrthme est dnc plynmal par rapprt au nmre d états de G et expnentel par rapprt au nmre de types de fautes - On peut remarquer que le système est dagnstcale s et seulement s'l est dagnstcale pur chaque type de faute Π f {,,m} (le nmre de types de 4 4 Σ 4

fautes est dnc suppsé égal à m) En se asant sur cette remarque, n peut rendre la cmplexté de l'algrthme de vérfcatn du système plynmal par rapprt au nmre de types de fautes m en vérfant séparément chaque type La cmplexté de l'algrthme de vérfcatn de chaque type de faute sera dnc 4 4 4 O( X Σ ) O( X Σ ) 4 l'ensemle des fautes est : O( X Σ m) fautes et la cmplexté de l'algrthme de vérfcatn de qu est lnéare par rapprt au nmre des 33 Une deuxème apprche à ase d un vérfcateur [Y et Lafrtune, ] 33 Cnstructn des F -vérfcateurs F F F Le F-vérfcateur est défn par : V ( Q, Σ, δ, q ) avec : L espace d état de VF est VF Q L {N, F } L état ntal est q V F ( x N x N ),, F V V V X L X L ù L est un ensemle d étquette relatf à F, V, La fnctn de transtn δ F de V F est nn détermnste et est défne cmme sut : ur σ Σ ur σ Σ f u / Σ f δ δ VF VF V F (( x, l, x (( x, l, x, l ( δ ( x, σ ), F, x, l ) ), σ ) ( x, l, δ ( x, σ ), F ) ( δ ( x, σ ), F, δ ( x, σ ), F ) ( δ ( x, σ ), l, x, l ), l ), σ ) ( x, l, δ ( x, σ ), l ) ( δ ( x, σ ), l, δ ( x, σ ), l ) ur σ Σ δ (( x, l, x, l ), σ ) ( δ ( x, σ ), l, δ ( x, σ ), l ) 33 Cndtn de dagnstcalté Avant énncer la cndtn de dagnstcalté de G dans l ensemle des F -vérfcateur, nus ntrdusns la défntn da la F-cnfusn d un F -vérfcateur : Un F-vérfcateur VF est dt F -cnfndu s l exste un cycle (q, q,, q n ) dans VF tel que q q q q q q pur tut q ( x, l, x, l ), l F et l N u nversement V F est dt : F -lrecnfusn s l ne cntent pas de tels cycles Dagnstcalté L(G) est dagnstcale par rapprt à Σ et Π f s et seulement s VF est F -lre-cnfusn pur tut dans Π f Exemple 6 Dans cet exemple, nus nus prpsns de mntrer la nn dagnstcalté de du système présenté dans l exemple 4 ur cela, nus cnstrusns d ard le F -vérfcateur de ce système La fgure 6 présente une parte de ce vérfcateur 5

x N, x N x 3 F, x N x N, x N x F, x 3 N x N, x N a x N, x N x N, x N x F, x N x 3 F, x 3 N x F, x N x 4 F, x N x N, x F x F, x 4 F x F, x F x 4 F, x 4 F c Fgure 6 Le F -Vérfcateur de G Le F -vérfcateur de la fgure 6 est F -cnfndu car l cntent (au mns) le cycle frmé du seul état (amgu): (x3, F, x3, N) Le système n est dnc pas dagnstcale 333 Résultats de cmplexté - Etant dnné Π f, la cmplexté de la cnstructn de F V est : ( X Σ ) O - Etant dnné V F, la cmplexté de vérfer l exstence d un cycle F -cnfndu dans VF est : ( X Σ ) O - La cmplexté de l algrthme de vérfcatn de dagnstcalté de L(G) par rapprt à Σ et Π f est : O( X Σ Π f ) Σ et Π f 33 Apprches décentralsées / dstruées L algrthme est dnc plynmal par rapprt à X, Dans cette sectn, nus nus ntéressns à la dagnstcalté dans le cas de systèmes dstrués L enjeu cnsste à vérfer la dagnstcalté glale d un système en se fndant des mdèles lcaux des sus-systèmes qu le cnsttuent et de la manère de cmmuncatn entre ses sus-systèmes sans être lgé de calculer le mdèle glal du système Quelques travaux nt cmmencé a être dévelppés dans ce dmane, mas nus pensns que l jectf de dstruer cmplètement la vérfcatn de la dagnstcalté n est pas encre attent Cmme nus allns le vr dans les deux algrthmes que nus allns présenter, le rsque d être lgé de calculer le mdèle glal (ce qu peut être parfs mpssle à cause de la lmtatn des ressurces système) n est pas cmplètement écarté arm les travaux dans ce dmane n peut cté [Sengupta, 99] qu se lmte à dnner une caractérsatn frmelle de la dagnstcalté dans le cas dstrué sans prpser d algrthmes pur sa vérfcatn Le traval décrt dans [Cntant et al, 6] peut être vu cmme généralsatn de l algrthme ntal de vérfcatn de la dagnstcalté prpsé dans [Sampath et al, 95] au cas d une archtecture décentralsée mdulare Enfn, les travaux décrts dans [enclé, 4] et [Schumann et enclé, 7] s ntéressent également au tratement de la dagnstcalté de 6

SED dans le cas dstrué en adaptant l algrthme centralsé prpsé dans [Jang et al ] au cntexte dstrué Leur adaptatn est en grs asée sur la cnstructn successve de mdèles pur des sus-systèmes mplquant de plus en plus de mdèles lcaux des cmpsants élémentares jusqu à ce que la dagnstcalté est vérfé, le mdèle glal est calculé u que les ressurces systèmes snt épusés Nus présentns dans ce qu sut deux varantes assez prche de cet algrthmes présentées dans [enclé, 4] et [Schumann et enclé, 7] 33 Une apprche dstruée à ase de vérfcateurs lcaux 33 Mdèle lcal et mdèle glal Mdèle lcal d un cmpsant Le mdèle lcal d un cmpsant C est le système d états fns : G ( X, Σ, δ, x ) ù X est l ensemle des états du cmpsant, x est sn état ntal, Σ est l ensemle de ses événements et δ X Σ X est sa fnctn de transtn L ensemle Σ des événements du cmpsant est parttnné en trs sus-ensemles : Σ Σ Σu Σ s Σ (resp Σ u ) regrupe les événements servales (resp nn servales) du cmpsant L ensemle Σ f Σ u est l ensemle des fautes (nn servales) puvant se prdure dans le cmpsant L ensemle Σ s est l ensemle des événements de cmmuncatn que le cmpsant partage avec les autres cmpsants du système (ls snt dnc tujurs suppsés nn servales?, jusqu à présent, je n a pas vu d ndcatn explcte sur le statut d servalté des événements de cmmuncatn, mas l me semle plausle qu l sent nn servales et qu n n serve que ce qu se passe dans chaque cmpsent) Exemple 7 [Schumann et enclé, 7] La fgure 7 mntre le mdèle d un système cmpsé de deux mdèles lcaux C, C x f s x s x x 5 s x 3 x 4 s y s x, {f y y C C Fgure 7 Un mdèle d un ystème avec trs sus mdèles 7

Mdèle glal d un sus-système On appelle sus-système un ensemle nn vde des cmpsants du système Le cmprtement glal d un sus-système Γ de k cmpsants est décrt par sn mdèle glal G qu résulte de l pératn de synchrnsatn (ntée Synch) des dfférents mdèles lcaux G ( k ) par rapprt à leurs événements de cmmuncatn : k j Synch( G,, Gk, U Σ s ) ( X, Σ, δ, x ) avec : - j X X X k est l ensemle des états de G - U k j Σ Σ est l ensemle des événements de G j k - x x,, x ) est l état ntal de G ( - k δ δ δ est la fnctn de transtn de G défne cmme sut : s U k j s Σ k k s, alrs pur tut cuple d états x ( x,, x ) et x ( x,, x ), j (, s, x ) δ x ss { } j j k ( j,, k )(( x, s, x ) ) δ 3 s U k j j s Σ k k s, alrs pur tut cuple d états x ( x,, x ) et x ( x,, x ), ( x, s, x ) δ ss : j j k ( j,, k )(( x, s, x ) δ ) et( l,, k \ l j )(( x l l l x ) u( x, s, x ) δ Dagnstcalté lcale d une faute { } { } { } ) Dans le cas d un système mdélsé par un ensemle de SEFs, une faute F est dte lcalement dagnstcale dans un sus-système s et seulement s l exste une séquence fne d servales se prdusant dans le sus-système après l ccurrence de F tel qu n est sûr que la faute F a eu leu Il s agt en fat d applquer la défntn générale de la dagnstcalté dnnée dans 3 en se lmtant seulement à un sus-système S le sus-système en questn est le résultat de la synchrnsatn de l ensemle des cmpsants, et représente ans le système glal, n retme sur le cas centralsé On peut mntrer que s une faute est lcalement dagnstcale dans un sus-système, alrs elle est glalement dagnstcale S une faute n est pas dagnstcale dans un sussystème, la synchrnsatn de sn mdèle avec des mdèles d autres sus-systèmes peut éventuellement cndure à un mdèle u la faute devenne dagnstcale La rasn est tut smplement que cette cmnasn élargt le nmre d servales mplqués et par cnséquent peut ajuter de l nfrmatn permettant de détecter une faute en rendant vsles des séquences pertnentes d événements servales qu ne fasaent pas parte du sussystème ntal 4 L pératn de synchrnsatn peut être applquée en général par rapprt à un sus-ensemle quelcnque d événements 3 usque s fat parte des événements de synchrnsatn, n s assure que tus les sus-états évluent smultanément par rapprt à s 4 ur s ne fasant pas parte des événements de synchrnsatn, n envsage (au maxmum) autant de transtns qu l y a de sus-ensemles de sus-états qu peuvent évluer par rapprt à s 8

33 Dagnstqueurs et vérfcateurs lcaux Dans cette apprche, n sera ramené à cnstrure des dagnstqueurs et des vérfcateurs smlares à ceux présentés dans l algrthme de Jang et al () décrt dans la sectn 3 Cependant, dans cette apprche, n se fcalse à chaque fs sur une faute dnnée F qu se prdut dans un cmpsant dnné C On parle ans de F-dagnstqueur (resp dagnstqueur) lcal et de F-vérfcateur (resp vérfcateur) lcal pur le cmpsant dans lequel la faute se prdut (resp pur les autres cmpsants) Un autre paramètre qu dt être géré dans le cas dstrué est la présence des événements de cmmuncatn Cnstructn d un F-dagnstqueur lcal Un F-dagnstqueur lcal d un cmpsant C est défn par le SEF G ( X, Σ, δ, x )tel ~ que : X X { F},φ} est l ensemle des états de G ~, Σ Σ Σ s est l ensemle des événements de G ~, x (x,φ)est l état ntal de G ~ ~ ~ ~ ~ et δ X Σ X est la fnctn de transtn de G ~ ~ défne cmme sut : (( x, f ), σ,( x, f )) δ s et seulement s : - l exste un chemn : (x,σ,x,,σ n,x n,σ, x ) avec : σ j Σ u ( j n) et σ Σ U Σ s - f s f et F {σ j j n}, {F} snn - enfn, n ne garde que les états (x,f) attegnales à partr de x Cnstructn d un F-vérfcateur lcal ur cnstrure le F-vérfcateur lcal Gˆ du cmpsant C nus prenns deux exemplares ~ ~ g : G et d : G du F-dagnstqueur (exemplare de gauche et exemplare de drte) Les messages de cmmuncatn snt alrs renmmés dans les deux exemplares: tut message de cmmuncatn s est renmmé dans g : G ~ (resp d : G ~ ) par g : s (resp d : s ) Le F- ~ ~ vérfcateur est dnc le résultat de synchrnsatn des deux exemplares g : G et d : G par rapprt aux événements servales Σ : ˆ ~ ~ G Synch( g : G, d : G, Σ ) (vr la sectn précédente pur le détal technque de l pératn de synchrnsatn) Le vérfcateur ans tenu est exprmé par : Gˆ ˆ ( X, Σˆ, ˆ, δ xˆ ) La cnstructn des dagnstqueurs et des vérfcateurs lcaux des cmpsants C k ( k ) e, les cmpsants autres que celu dans lequel la faute s est prdute se fat exactement de la même manère que pur C La dfférence est que ces dagnstqueurs et vérfcateurs ne cntennent aucune nfrmatn sur la faute F (tutes les étquettes de fautes snt vdes) État nn dagnstcale (amgü) Un état ˆx de G ˆ est dt nn dagnstcale (u amgu) s et seulement s'l est de la frme ((x, A), (x,b)) avec : A B ù A et B snt deux ensemles d'étquettes de fautes 5 La faute F est dagnstcale lcalement par rapprt au sus-système cmpsé du seul cmpsant C s et seulement s'l n'exste dans G ˆ aucun cycle servale et nn dagnstcale (CON) Un cycle est dt servale et nn dagnstcale s et seulement s l cmprte au mns : un état nn dagnstcale et un événement servale 5 usqu'n se fcalse sur une seule faute F, l'état est amgu ss A Φ et B {F} u A{F} et B Φ, 9

Il s'agt en c de la même cndtn dscutée dans 3 applquée au mdèle lcal d'un cmpsant Cependant, la nn dagnstcalté lcale d'une faute par rapprt au mdèle d'un cmpsant (u d'un sus-système de cmpsants) n'mplque pas frcément que la faute n'est pas dagnstcale glalement La synchrnsatn du vérfcateur d'un sus-système avec les vérfcateurs d'autres sus-systèmes par rapprt à leurs événements de cmmuncatn peut cndure à l'élmnatn de cycles servales nn dagnstcales Nus présentns dans ce qu sut deux algrthmes pur résudre le prlème de dagnstcalté dans le cadre dstrué Les deux algrthmes se asent sur l'pératn de synchrnsatn ncrémentale des vérfcateurs lcaux des dfférents cmpsants dans l'espr d'arrver à des sus-systèmes ù la faute st dagnstcale sans calculer frcément un vérfcateur glal du système 6 Afn de gagner en termes d'effcacté, les deux algrthmes nt recurs au fur et à mesure de leurs dérulements à des réductns des vérfcateurs en ne gardant que les partes jugées pertnentes pur la dagnstcalté de la faute En plus de l'jectf de résudre le prlème de dagnstcalté à partr d'un ensemle de mdèles lcaux sans calculer frcément un mdèle glal, les deux algrthmes essaent de returner, en cas ù le système n'est pas dagnstcale, une nfrmatn qu permet de meux cmprendre les causes de la nn dagnstcalté Cette nfrmatn cnsste dans le cas du premer algrthme en un langage d'servales qu crrespnd au dérulement du système pur lequel une faute ne peut être dagnstquée Dans le cas du deuxème algrthme, cette nfrmatn cnsste en l'ensemle des cycles qu causent la nn dagnstcalté d'une faute dnnée Exemple 8 La fgure 8 (resp fgure 9) c-dessus, mntre le dagnstqueur lcal (resp une parte du f - vérfcteur lcal) du mdèle lcal C x, φ s s x 3, φ x 4, φ x 4, {f } s x 4, φ s x 5, {f } ~ Fgure 7 Le f -dagnstqueur G 6 Les algrthmes ne calculent pas frcément un vérfcateur glal, mas cec n'est pas pur autant entèrement exclu ntamment s la faute n'est pas dagnstcale glalement (s les ressurces système le permettent en entendu)

ˆx x, φ x, φ g :s ˆx x 3, φ x, φ d :s ˆx x 3, φ x 3, φ ˆx 4 x 4, φ x 4, φ g :s ˆx 6 x 5, φ x 5, φ d :s ˆx 5 x 5, φ x 4, φ d :s ˆx 3 x 3, φ x, {f } ˆx 7 g :s 8 d :s x 4, φ x 4, {f } ˆx x 5, φ x 4, {f } ˆx 9 x 5, φ x 5, {f } Fgure 9 Une parte du f -vérfcateur Ĝ 333 Un premer algrthme de vérfcatn de la dagnstcalté [Y enclé, 4] Etant dnné un ensemle de cmpsants C,, C n et une faute F qu se prdut dans C L'algrthme se dérule cmme sut : Calculer G ˆ, le F-vérfcateur du cmpsant C R {C,,C n } / {C }, S {C } ˆ V Red ( G ) ù Red (V) est le résultat de la réductn d'un vérfcateur V en ne gardant que les chemns ssus de l'état ntal et menant vers un cycle cntenant au mns un état nn dagnstcale et un événement servale de chaque cmpsant de S Tant que V Φ et l n'y a pas de chemn de V ne cntenant que des servales et se termnant par un cycle ayant un état nn dagnstcale : sélectnner un cmpsant C j de R partageant des événements de cmmuncatn avec C, R R {C j }, S S U {C j } calculer G ˆ j, le vérfcateur du cmpsant C j V Synch(V, G ˆ j, Σ V j s Σ v s ) ù v Σ s est l'ensemle d'événements de cmmuncatn de V Red (V) ù Red est l'pératn qu cnsste à enlever de V tus les événements de cmmuncatn partagés unquement entre cmpsants de S (ces événements ne sernt plus utles par la sute) V Red (V)

En srtant de la ucle, n examne la stuatn : s V Φ, F est dagnstcale dans le sus-sytème frmé des cmpsants de S snn, F n'est pas dagnstcale (s R Φ alrs, l'algrthme a calculé le mdèle glal et F est tujurs nn dagnstcale snn, l'algrthme a truvé un chemn ne cntenant que des servales et se termnant par un cycle ayant un état nn dagnstcale, ce qu veut dre qu'aucune autre synchrnsatn pssle ne permettra de supprmer ce cycle, et la n peut décder que la faute n'est pas dagnstcale) 334 Un deuxème algrthme de vérfcatn de la dagnstcalté [A Schumann et Y enclé, 7] Avant de décrre le dérulement de cet algrthme, nus cmmençns par explquer le mécansme qu'l utlse pur la réductn des vérfcateurs des sus-systèmes ntermédares cnstruts en curs de sn exécutn L'dée est que l'nfrmatn sur une faute F qu se prdut dans un cmpsant C est prpagée aux autres cmpsants, ce qu permettra d'dentfer les partes de leurs vérfcateurs pertnentes au prlème de dagnstcalté La prpagatn est asée sur une mesure de cnnectvté entre le cmpsant C et l'ensemle des autres cmpsants Dstance de cmmuncatn entre cmpsants et états psslement nn dagnstcales La α-cnnectvté ntée Cn(α, G) désgne l'ensemle des SEFs cnnectés au SEF G par une dstance de cnnectvté qu vaut α Cet ensemle est défn récursvement cmme sut : Cn(, G) {G} Cn(α, G){D/ Η Cn(α-, G) tq D et H partagent au mns un événement de cmmuncatn et D Cn(β, G) pur tut β < α} La α-cnnectvté est utlsée dans le prcessus de détermnatn des états psslement nn dagnstcales (ENs) Intutvement les ENs snt les états qu peuvent être mplqués dans la nn dagnstcalté d'une faute dans le vérfcateur glal En suppsant que la faute F se prdut dans G, l'ensemle des ENs d'un vérfcateur G ˆ j nté EN( G ˆ j ) est défn frmellement cmme sut : { } s G j Cn(, G ),e, G j G EN( G ˆ j ) x X ˆ j / x est nn dagnstcale EN( ˆ G j ) ˆ Y j s G j Cn(α, G ), α >, et pur tut y ˆ j Y ˆ j et pur tus les vérfcateurs cnnectés Gk cn( α -,G ) l exste un état ( y ˆ j, xˆ k ) dans le vérfcateur Synch ( Gˆ, ˆ j Gk ) tel que xˆ k est psslement nn dagnstcale EN( G ˆ j ) X ˆ j s G j Cn( α,ĝ ) pur tut α un ensemle de w cmpsants et Ĝ w le vérfcateur sus-jacent Un état St w { C,, C w } x ˆ ( xˆ k,, xˆ ) k est dt psslement nn dagnstcale s et seulement s : w {,, w}, xˆ k EN (Ĝ k ) On pruve par alleurs, qu'un état du vérfcateur glal est nn dagnstcale s et seulement s'l est psslement nn dagnstcale Ce résultat permettra d'un côté de rédure les vérfcateurs lcaux et d'un autre côté de dstruer le test de la dagnstcalté

Réductn des vérfcateurs Un vérfcateur est dt rédut s et seulement s'l ne cntent que l'état ntal, les états psslement nn dagnstcales u les états menant à des états psslement nn dagnstcales à partr de l'état ntal On fat appel à l'pératn de réductn au déut de l'algrthme pur rédure les vérfcateurs des dfférents cmpsants du système Auss cette pératn est applquée à chaque fs ù un vérfcateur lcal d'un sus-système est calculé La dstrutn de la vérfcatn de la dagnstcalté du système est fndée sur le résultat suvant: Une faute F se prdusant dans le système G est dagnstcale s et seulement s'l exste un Gˆ R Gˆ w,, Gˆ avec : ensemle de vérfcateurs réduts { } { w,, k } w k w est une parttn de l'ensemle des cmpsants du système k ( U w C (l'ensemle des cmpsants du système) et w w j φ pur tut w w j Aucun vérfcateur dans Ĝ R ne cntent un cycle avec au mns un servale et un état psslement nn dagnstcale (un tel cycle est nté CON) L'algrthme L'enjeu de l'algrthme est de truver une parttn des cmpsants du système ù le vérfcateur lcal sus-jacent à chaque parte (sus-ensemle de cmpsants) ne cntent aucun CON sachant que l'pératn de synchrnsatn peut éventuellement élmner des CON Etant dnné un ensemle de cmpsants C,, C n et une faute F qu se prdut dans C, Les grandes lgnes de l'algrthme prpsé snt résumées cmme sut : Calculer le F-vérfcateur autres cmpsants C j, j Gˆ { R( Gˆ k ) / k n} Ĝ du cmpsant C ans que les vérfcateurs Ĝ j des dfférents ù R ( G ˆ k ) est le résultat de la réductn du vérfcateur Ĝ k Tant que (l y a des CONs dans Ĝ et Mémre-Suffsante et Nmre d'éléments de ˆ > G ) Synchrnser les éléments de Ĝ deux à deux et rédure les vérfcateurs tenus qu remplacernt alrs les éléments de Ĝ 7 En srtant de la ucle n examne la stuatn : ) S aucun vérfcateur de Ĝ ne cntent de CON, la faute F est dagnstcale pusqu'une parttn Ĝ R sans CON est truvée Un vérfcateur cntent un CON qu ne peut plus être supprmé par d'autres synchrnsatns C'est le cas ù le vérfcateur glal rédut a été calculé F est dans ce cas nn dagnstcale Returner alrs l'ensemle des états mplqués dans des CON qu permet d'avr une vue synthétque des rasns de la nn dagnstcalté de la faute F dans le système 7 Il est clar que le chx des pares à synchrnser est tut à fat pertnent pur l'effcacté de l'algrthme Dans tus les cas, l faut qu'au mns l'un des deux vérfcateurs cntenne un CON et que les deux vérfcateurs sent cnnectés 3

L'algrthme se termne faute de ressurces en mémre Dans ce cas, n n'a pas la certtude que la faute n'est pas dagnstcale; L'algrthme returne l'ensemle des vérfcateurs réduts avec des CONs, ce qu dnne une vue glale sur les rasns de nn dagnstcalté ptentelle de la faute F On peut cnfrmer en tut cas que tut sus-ensemle de cmpsants mplqués dans un élément dnné de la parttn actuelle Ĝ n'est pas suffsant pur assurer la dagnstcalté de F avec certtude 4 Autres méthdes pur la vérfcatn de la dagnstcalté La prprété de dagnstcalté dans les SED peut être vue cmme tute prprété frmelle que l n veut vérfer qu un mdèle frmel dnné satsfat C est purqu la vérfcatn de la dagnstcalté a attré également des chercheurs qu s ntéressent à ce type de prlèmes, ntamment ceux qu travallent sur le mdel-checkng mas auss ceux qu s ntéressent à la mdélsatn de systèmes au myen de langages algérques u qu cherchent à vérfer des prprétés frmelles en les mdélsant dans un cadre lgque à l ade de frmules SAT et en utlsant ensute des slveurs adaptés pur la vérfcatn 4 Mdel-checkng à ase d une structure de Krpke et une lgque LTL Dans cette apprche [Cmatt et al 3], le rôle du prcessus de dagnstc est d analyser les entrées (y cmprs celles prvenant d un cntrôleur relé au système en ucle fermée) et les srtes du système à dagnstquer afn d estmer un état de cryances qu cntent un ensemle d états nternes du système cntenant frcément sn état réel L état de cryances estmé par le dagnstqueur almente à sn tur le cntrôleur en plus des srtes du système Le système physque est mdélsé à l ade d un système de transtn (à états fns) partellement servale 4 Le mdèle Un autmate (partellement servale) est défn par la structure ( X, U, Y, δ, λ) X, U, Y snt des ensemles fns désgnant respectvement : l espace d états, l espace des entrées et l espace de srtes δ X U X est la fnctn de transtn et λ X Y est une relatn d servatn exprme les dfférents cmprtements pssle du systèmes (crrects et u fautfs) et peut être nn détermnste On écrt x x pur ( x, u, x ) δ et x / y pur ( x, y) λ Les états du système (les éléments de l ensemle X) ne snt pas servales Seules les séquences des entrées et des srtes du système (les éléments de U et Y) snt servales Une exécutn fasale de k étapes dans est une séquence u σ x, y, u, x, y,, uk, xk, yk tel que x x pur k et x / y pur k L ensemle des exécutns fasales de est nté Σ La parte servale d une exécutn fasaleσ est y, u, y,, u k yk On écrt alrsσ : x w x 8 k w, 4 Cndtns de dagnstcalté Le dagnstc en lgne démarre de cnnassances ntales (éventuellement partelles) et serve les séquences d entrées et de srtes du système pur mettre à jur, à l ade d une fnctn de dagnstc, sn état de cryances qu cntent les états curants pssles du système La fnctn de dagnstque dt returner l ensemle le plus rédut pssle cntenant l état actuel réel du système 8 k ur une exécutn σ de lngueur k, la trace w des servale est un élément de Y ( U Y ) Dans le cas général, nus avns Y U * ( Y ) 4

X X Une fnctn de dagnstc pur est : : Y ( U Y) * X ur x, une valeur de dagnstc x ˆ ( x ˆ, w ) est dte crrecte par rapprt à ˆx et w s et seulement s w pur tut x ˆx et x tel que x x n a x xˆ est crrecte s et seulement s ( xˆ, w) est crrecte pur tut ˆx et w usqu une fnctn de dagnstc crrecte engle tus les états curants pssles, n est sûr que l état curant réel en fat parte Une cndtn de dagnstc pur un autmate est une pare d ensemles nn vdes c, c X ntée c c On peut utlser une cndtn de dagnstc pur exprmer la détectn d une faute ( fault fault) u la dscrmnatn entre deux fautes ( fault a fault ) Intutvement, une valeur de dagnstc est cnsdérée nn satsfasante s elle partage des éléments avec les deux ensemles cnsttuant la cndtn de dagnstc Cependant, l n est pas réalste d exger de la fnctn de dagnstc de dnner une estmatn exacte dans tutes les crcnstances On veut plutôt que le dagnstc st capale de dstnguer les deux alternatves de la cndtn de dagnstc quand cela est pertnent On défn alrs la ntn de cntexte Un cntexte de dagnstc pur est une structure C θ,σ ù θ est une relatn d équvalence sur X et ss Σ Σ Σ ˆx satsfat θ ( ˆx θ ) ss x ˆ x θ x ˆ, w) C ˆ w w ˆx θ et l exste σ, σ ˆ ) Σ, x, x tel que σ : x x et σ : x x ( x On dt qu une valeur de dagnstc xˆ satsfat c c et n nte xˆ c c ss st x ˆ c φ u x ˆ c φ On dt qu une fnctn de dagnstc satsfat c c sur le cntexte C et n nte, C c c ss pur tut ( x ˆ, w) C n a : ( xˆ, w) c c Enfn, Une cndtn c c est dte dagnstcale dans sur C ss l exste une fnctn de dagnstc crrecte qu la satsfat 43 La dagnstcalté cmme prlème d attegnalté L vérfcatn de la dagnstcalté d une cndtn c c cnsste à vérfer qu l n exste pas de pare de chemns crtques e, deux exécutns ayant les mêmes traces d servales, l une cndusant à c et l autre cndusant à c Frmellement, une pare crtque d un autmate avec la trace w pur la cndtn c c w w est une pare d exécutns fasales σ : x x et σ : x x que l n nte w σ σ : x x x x tel que c cntexte C θ,σ ss x, x ) θ,( σ, σ ) x et x c La pare σ σ est dte cuverte par un ( Σ c c est dagnstcale dans sur C s et seulement s ne cntent aucune pare crtque pur c c dans C ratquement, pur vérfer l exstence de pares crtques, n cnstrut l autmate cuplé défn cmme sut : L autmate cuplé X X U Y δ δ λ λ tel que : est défne par : (,,,, ) ( 5

- X X X et pur tut x x X ( x, y) λ et ( x, y) λ,, ( x, x ) X X ss l exste y Y tel que - (( x, x ), u,( x, x )) δ δ ss ( x, u, x ) δ et ( x, u, x ) δ - (( x, x ), y) λ λ ss ( x, y) λ et ( x, y) λ Etant dnné un autmate cuplé w σ : x x et σ : x x snt deux w, w ( x, x ) ( x, x exécutns fasales de ss ) est une exécutn fasale dans 44 Expressn et vérfcatn en termes d une structure de Krpke La vérfcatn prpsée dans ce traval est asée sur l applcatn de technques de mdelcheckng sur une structure de Krpke crrespndant à l autmate analysée Il s agt de vérfer la vérté d une frmule exprmée en lgque temprelle dans la structure de Krpke L ntérêt des méthdes asées sur le mdel-checkng est qu elles exhent des exemples d exécutns ù la frmule à tester est vérfée usqu l s agt de tester une frmule qu exprme la nn dagnstcalté du système, cela veut dre que le mdel-checker peut nus dnner des cntre-exemples à la dagnstcalté du système dans le cas ù celu-c n est pas dagnstcale Un e structure de Krpke peut être vue cmme un système de transtns, en général nn détermnste, et dnt les transtns ne snt pas lellées Les nfrmatns du système snt cntenues dans les états et cnsstent en des nterprétatns des varales d états de la structure Un autmate peut être faclement tradut en structure de Krpke K en se asant sur l dée que les espaces d entrées et de srtes peuvent êtres ncrprées aux états de la structure Frmellement, chaque état s de K est asscé à une nterprétatn qu caractérse le trplet : x / y u ( est dans l état x, la srte y est servée et l entrée u est reçue) ur tute exécutn fasale σ de telle que σ x y, u, x, y,, u, x, y, n assce un chemn, de K, π s, s,, sk ù chaque s est asscée au trplet cnstructn s applque pur le cas de l autmate cuplé x k k k u / y + Cette prcédure de Après la cnstructn de la structure de Krpke, le deuxème ngrédent du mdel-checkng est la représentatn symlque Un état de la structure de Krpke est défn par le vecteur de varales ( x, x, u, y) ( x, x X, u U, y Y ) On peut utlser des frmules pur caractérser des ensemles d états Suppsns que nus avns les varales v,v dans le système et que v peut prendre les valeurs val, val et v peut prendre les valeurs val, val et ntns par (resp ) la premère ccurrence de l autmate qu cntrue à l autmate cuplé On peut caractérser par exemple les états ù des varales nt certanes valeurs (eg v val ) u les états dnt des varales de même types snt égales (eg v v ) Tut sus-ensemle de v val peut être exprmée par une frmule v val ar exemple, la frmule c ( x ) c ( x ) exprme les états de l autmate cuplé ù la premère nstance est dans c tands que la deuxème est dansc Le derner ngrédent du mdel-checkng est d utlser des frmules de lgque temprelle (c c est la lgque temprelle lnéare (LTL) qu est utlsée) pur exprmer les prprétés qu n veut verfer 6