msr03_2.pdf

Automatique continue, automatiquediscrte, informatique industrielle :le triangle des Bermudes ?

Paul Caspi

VERIMAG-CNRS2, avenue de VignateF-38610, [email protected]

RSUM. Dans la plupart des systmes automatiques complexes, automatismes continus et dis-crets sont troitement mls. Pour limplantation sur (rseaux de) calculateurs numriques, lesparties continues reposent sur la thorie bien tablie des systmes chantillonns priodiquesou multi-priodiques alors que la thorie des systmes vnements discrets est plutt prconi-se pour les parties discrtes. Devant la difficult de mlanger ces deux types dimplantations,lexprience montre que les praticiens ont tendance privilgier les chantillonnages prio-diques, quitte pallier labsence de thorie satisfaisante dchantillonnage des systmes v-nements discrets par des recettes maison . Dans cette prsentation, nous nous interrogeonssur la signification de ce hiatus thorique qui nous semble rvler un certain manque de com-munication entre automatique continue, automatique discrte et informatique industrielle.ABSTRACT. In most complex control systems, continuous and discrete event controls are closelymixed. When these systems are to be implemented on (networks of) computers, continuousparts can be dealt with according to the theory of sampled (and multiply sampled) controlsystems while discrete parts rely on the theory of discrete event control systems. But thesetwo approaches dont easily combine with each other and experience shows that, in practice,people tend to equally sample both parts. In the absence of a convenient sampling theory fordiscrete event systems, people rely on in-house tricks to ensure systems robustness. In thispresentation, we try to partially fill this theoretical gap which seems to indicate some lack ofcommunication between continuous control, discrete event control and computer people.MOTS-CLS : systmes continus, discrets, hybrides, chantillonnage, robustesse.KEYWORDS: continuous systems, discrete event systems, hybrid systems, sampling, robustness.

244 RS/hors srie. MSR 2003

1. Introduction

Depuis plus de vingt ans, les ralisations analogiques ou en composants discretsdes systmes de contrle-commande ont cd la place aux ralisations sur calcula-teurs numriques, voire sur des rseaux locaux de calculateurs et des exemples degrande qualit peuvent tre cits comme les commandes de vol lectriques des Airbus partir de lA320 [BRI 94], les contrles-commandes des centrales nuclaires Fra-matome ralises par Merlin-Grin [BER 88] ou les systmes de mtros automatiquesde Matra-Transport [BEH 98]. Tous ces exemples ont en commun, outre dtre dessystmes critiques exigeant une haute sret de fonctionnement, un certain nombre decaractristiques :

automatismes continus et vnements discrets y sont intimement mls, ils sont fonds sur des principes darchitecture logicielle et matrielle que nous

avons qualifis de quasi-synchrones [CAS 99], prsentant les aspects suivants :- chantillonnage priodique des acquisitions et calculs de chaque calculateur,- absence de synchronisation entre les priodes des diffrents calculateurs, par

contraste avec la technique dite time-triggered architecture [KOP 97],- communications entre calculateurs susceptibles de ralisations diverses

(lignes sries, bus de terrain, etc...) mais qui aboutissent au principe fonctionnel dela mmoire partage.

Outre ces exemples, ces caractristiques se retrouvent sans doute dans un grandnombre de systmes de contrle-commande, sinon dans une majorit dentre eux.1Il est donc intressant et important den tudier les fondements thoriques. Cest ceque nous avons fait au cours du projet europen Crisys (1997-2001) avec, entre autrespartenaires, Schneider Electric, Airbus France, et le laboratoire dautomatique de Gre-noble (H.Alla et R.David) et ce sont essentiellement les constatations que nous avonsfaites ce sujet que nous prsentons ici. Ces constatations sont les suivantes :

Si la thorie de lchantillonnage priodique est bien tablie et depuis longtempsen ce qui concerne les systmes continus (voir par exemple [AST 84]), il nen estpas de mme pour les systmes vnements discrets, et cela pose des problmesdindterminismes et dalas qui sont mal pris en compte par les outils de validationfonctionnelle actuels (simulation, test, vrification formelle). Cette constatation estdveloppe en section 2. Dans cette situation, les praticiens ont recours des recettes maison que nous dcrivons en section 3 et que nous essayons de thoriser ensuite.Nous commenons par prsenter une thorie nave de lchantillonnage des signaux etsystmes continus en section 4. Ensuite, en section 5, nous prsentons une approcheempirique de lchantillonnage des signaux discrets. Enfin, nous proposons une fusiondes deux prcdents points de vue en section 6.2

1. Bien que nous ne puissions tayer cette affirmation par des statistiques prcises.2. Ces travaux ont t soutenus par le projet europen CRISYS, par le rseau dexcellenceARTIST et par les contrats AIRBUS-VERIMAG.

Confrence invite 2 245

Nous concluons enfin en nous tonnant du peu de considration que ces problmesont rencontr par le pass, ce qui est pour nous un signe dun manque de commu-nication lintersection des disciplines de lautomatique continue, de lautomatiquediscrte et de linformatique industrielle.

2. Echantillonnage des systmes vnements discrets

Dans cette section, nous illustrons les problmes soulevs par lchantillonnagepriodique des systmes vnements discrets.

2.1. Echantillonnage et dterminisme

a) y

x

X X

b) y

x

X X X

Figure 1. Lchantillonnage nest pas dterministe

La figure 1 montre deux chantillonnages priodiques possibles dun mme couplede signaux boolens (x,y). Dans le premier cas, x and y passent en mme temps lo-gique de 0 1, alors que dans le second cas il y a un passage intermdiaire.

Comme la phase de lchantillonnage ne peut en gnral pas tre contrle, il enrsulte une situation indterministe.


1

?

x ,y

2

x

3

y

@@@@@@@R

1

?

x ,y

2

x

3

y

?

4

a) une course non critique b) une course critique

Figure 2. Exemples de courses

2.2. Courses critiques

Supposons maintenant que le couple (x,y) soit une entre dun automate. La fi-gure 2 illustre le phnomne de course. En 2a, lala dchantillonnage prcdent setraduit par une divergence transitoire de ltat de lautomate. En revanche, en 2b, ladivergence est plus longue et peut ventuellement conduire des carts dtat perma-nents. Cest une course critique. Il est clair que les concepteurs de systmes doiventabsolument prendre en compte ce phnomne et le contrler.

2.3. Courses critiques et redondances

Lattention des concepteurs vis--vis des alas dchantillonnage est toujours im-portante et nous ne voulons pas ici privilgier certaines situations plutt que dautres.Nanmoins les mthodes de redondance illustrent bien les cueils que cela rserve.

Dans les systmes critiques, il est frquent que les mmes calculs soient rpliqussur plusieurs calculateurs des fins de dtections ou de tolrance aux fautes. Lideest que des dsaccords entre calculateurs permettront soit de dtecter des fautes soitde les tolrer par des mthodes de votes majoritaires. Supposons que lautomate de lafigure 2b soit ainsi rpliqu sur plusieurs calculateurs, dont les horloges dchantillon-


nage ne soient pas synchronises. Pour les mmes entres vues la figure 1, certainscalculateurs vont emprunter le chemin 1 2 tandis que dautres passeront par parle chemin 1 3 4. On voit que, mme en labsence de faute, des dsaccords du-rables peuvent survenir, dtruisant ainsi toute proprit de tolrance aux fautes. Cesphnomnes, bien connus des gens de systmes rpartis, rappellent bien videmmentles problmes dits de gnraux byzantins [PEA 80].

2.4. Alas dchantillonnage et validation

Ces difficults ont pour effet de rendre la mise au point et la validation de systmeschantillonns trs difficile. Remarquons tout dabord que les outils classiques deconstruction et simulation de systmes, tels que Simulink prennent trs mal en compteces phnomnes : lchantillonnage en Simulink est un chantillonnage idal quine souffre pas des imperfections des horloges physiques disponibles : non matrise dudphasage, drives, etc... Si on fait leffort de modliser ces alas, ce que nous avonsfait dans Crisys en utilisant loutil Scade/Lustre dEsterel-Technologies3 [CAS 01b],on saperoit alors que cela est de peu dutilit car les vnements de courses critiquesse produisent trs rarement et il faudrait donc des temps de simulation exorbitantspour parvenir quelque chose de concluant.4

Les mmes difficults se rencontrent bien videmment si, au lieu de simulations,on utilise des mthodes de vrification formelle. Le pendant de temps de simulationtrs longs est alors lexplosion combinatoire, qui rend les outils extrmement ineffi-caces.

3. Mthodes utilises en pratique

Pour se prmunir contre ces phnomnes, les concepteurs ont recours des recettessouvent maison ou empruntes la thorie des circuits asynchrones [BRZ 95]. Cesmthodes peuvent se classer en deux catgories : adjonctions de retards ou adjonctionsde causalits.5

3. http ://www.esterel-technologies.com4. Cela nest pas tonnant, compte-tenu de lanalogie dj note avec les phnomnes byzantins.Les gens de la communaut dite de la tolrance aux fautes savent que ceux-ci se produisent trsrarement et quon ne doit en tenir compte que dans les systmes trs critiques. En revanche,dans ces derniers, des algorithmes spcifiques et dmontrs une fois pour toutes doivent treemploys.5. Dans le cadre de Crisys, des mthodes de dcouplage et de changement de variables dtatont aussi t tudies [YED 00a, YED 00b], que nous ne rappellerons pas ici.


3.1. Adjonctions de dlais

Reprenions lexemple de la figure 1 et supposons que nous ayons par ailleurs lesinformations suivantes :

les signaux x et y sont variabilit uniformment borne (VUB), cest--direquils ne varient pas trop vite ou, plus prcisment, quil existe un temps minimum Tx(Ty) entre deux changement de valeur du signal,

on connat aussi une borne maximum x (y) de lincertitude avec laquelle cessignaux sont perus par le calculateur.

sup(x,y) 0, > 0,t, t , | t t | | x(t) x(t ) |


()

x x

Figure 3. Un signal uniformment continu

On peut aussi dire quil existe une fonction des erreurs vers les dlais x positive,associe au signal x, telle que :

> 0,t, t , |t t | x() |x(t) x(t )|

4.3. Redatation et chantillonnage

Pour se placer dans un cadre plus fonctionnel, pour des raisons qui apparatrontultrieurement, nous introduisons ici des fonctions de redatation :

Une fonction de redatation r est une fonction non dcroissante de dans . Unetelle fonction peut donc redater un signal par :

x = x r

Ce procd trs gnral permet, en particulier dexprimer lchantillonnage. Parexemple, un chantillonneur priodique de priode T correspond la fonction de re-datation :

r(t) = E(t/T )

o E est la partie entire infrieure(voir figure 4). Ainsi, le signal chantillonn x restebloqu jusquau prochain saut de la fonction de redatation.

4.4. Redatation et continuit uniforme

Un autre intrt de la redatation est de permettre dexprimer la continuit uniformede manire fonctionnelle.


````

. . .

Figure 4. Une redatation priodique

Dfinition 4.1 (Signaux uniformment continus) x est uniformment continu silexiste une fonction positive x des erreurs vers les dlais, telle que, pour tout > 0 etpour toute fonction de redatation r,

||r id|| x() ||x x r|| o id est la fonction identit et o || || est la norme L (qui se ramne la normedu sup pour les fonctions continues : suptR |x(t)|).

4.5. Des signaux aux systmes

Cette approche stend trs naturellement aux systmes en disant quun systme Sest uniformment continu (cf. figure 5) sil existe une fonction positive S des erreursvers les erreurs telle que :

> 0,x,x, ||x x|| S() ||(S x) (S x)||

On peut alors proposer le thorme suivant [CAS 02] :

Thoreme 4.1 Un systme S, stationnaire, uniformment continu, aliment par uneentre x uniformment continue, produit une sortie S(x) uniformment continue avec :

Sx = x SCe thorme permet de propager un calcul derreur de type analyse numrique et dechoisir des priodes dchantillonnage adaptes aux prcisions dsires. Il faut re-marquer aussi que dautres approches sont aussi possibles par exemple fondes sur lanotion voisine de stabilit entre-sortie [SAS 99]


System

()

Figure 5. Un systme uniformment continu

4.6. Gnralisation

Lintrt de lapproche fonctionnelle est de pouvoir se gnraliser nimportequelle distance entre signaux. On dira ainsi quun signal x est uniformment continupour la distance d sil existe une fonction positive x telle que :

> 0,r, ||r id|| x() d(x,x r)

De mme, on dira quun systme S est uniformment continu pour la distance dsil existe une fonction positive S telle que :

> 0,x,x,d(x,x) S() d((S x),(S x))

Et, dans ce contexte gnralis, le thorme 4.1 est encore vrifi.

5. Echantillonnage des signaux discrets

Nous considrons maintenant des signaux boolens et nous cherchons desconcepts analogues la continuit uniforme, permettant de caractriser lchantillon-nage de ces signaux. Naturellement, de mme que nous nous tions limits pr-cdemment aux signaux continus, nous devons maintenant limiter la classe des si-gnaux que nous considrons, par exemple la classe des signaux boolens continuspar morceaux, cest--dire tels quil existe une suite finie ou divergente dinstants{t0, . . . tn, . . .} tels que le signal soit constant dans chaque intervalle ouvert ]tn, tn+1[.

Dans ce contexte, nous pouvons essayer de formaliser la mthode dadjonction dedlais vue en 3.1.

Pour cela, nous introduisons la fonction dct1,t2(x) qui compte le nombre de discon-tinuits du signal x dans un intervalle de temps [t1, t2] :

dct1,t2(x) = card{t | x(t) 6= x(t+) t1 t t2}


x - Tx

- Tx

Figure 6. Variabilit uniformment borne

o, comme dhabitude, x(t),(x(t+)) est la limite gauche ( droite) de x en t.

Cela nous permet de caractriser les signaux boolens chantillonnables, commeceux (cf. figure 6) qui ne varient pas trop vite :

Dfinition 5.1 (Variabilit uniformment borne (VUB)) Un signal boolen x est variabilit uniformment borne sil existe Tx positif, tel que

t, t , |t t | Tx dct,t (x) 1

5.1. VUB et chantillonnage

Nous avons vu prcdemment comment les dlais se transforment en erreurs.Quen est-il pour les signaux discrets ? On peut facilement proposer la relation sui-vante :

x,r, ||r id|| Txr Tx

On voit ainsi comment la priode de stabilit dun signal se rduit sous leffet deretards et dchantillonnages incertains.

5.2. VUB et adjonction de dlais

Considrons deux signaux VUB, x et y avec leurs priodes de stabilit Tx et Tyassocies, et deux redatations bornes

||rx id|| x||ry id|| y

La question des adjonctions de dlais est de produire une fonction, dite de confir-mation , f telle quil existe un retard born global r vrifiant :


f (x rx,y ry) = (x r,y r)Autrement dit, cette fonction vise remplacer des dlais incohrents en dlais coh-rents.

En [SAL 01], nous avons pu montrer que la fonction fx,y dfinie par :

ftaux,y(x,y)(t)= x(t),y(t)=

x(t),y(t) si

{ t , t y < t t x(t) = x(t )t , t x < t t y(t) = y(t )

x(t),y(t) si{ t , t y < t t x(t) 6= x(t )

t , t x < t t y(t) 6= y(t )x(t),y(t) autrement

vrifie la proprit dsire sous rserve de la relation :

sup(x,y)

msr03_2.pdf

Documents