Un modèle orienté composants pour les évolutions et défaillances des systèmes hybrides

03/08/2016
OAI : oai:www.see.asso.fr:545:2009-2:17216
DOI :

Résumé

Un modèle orienté composants pour les évolutions et défaillances des systèmes hybrides

Métriques

32
10
421.63 Ko
 application/pdf
bitcache://ddeffe4129b3bd70ce0f306636fda04f1868893e

Licence

Creative Commons Aucune (Tous droits réservés)
<resource  xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
                xmlns="http://datacite.org/schema/kernel-4"
                xsi:schemaLocation="http://datacite.org/schema/kernel-4 http://schema.datacite.org/meta/kernel-4/metadata.xsd">
        <identifier identifierType="DOI">10.23723/545:2009-2/17216</identifier><creators><creator><creatorName>Etienne Craye</creatorName></creator><creator><creatorName>Ahmed Guadri</creatorName></creator><creator><creatorName>Nathalie Dangoumau</creatorName></creator></creators><titles>
            <title>Un modèle orienté composants pour les évolutions et défaillances des systèmes hybrides</title></titles>
        <publisher>SEE</publisher>
        <publicationYear>2016</publicationYear>
        <resourceType resourceTypeGeneral="Text">Text</resourceType><dates>
	    <date dateType="Created">Wed 3 Aug 2016</date>
	    <date dateType="Updated">Wed 3 Aug 2016</date>
            <date dateType="Submitted">Sun 9 Dec 2018</date>
	</dates>
        <alternateIdentifiers>
	    <alternateIdentifier alternateIdentifierType="bitstream">ddeffe4129b3bd70ce0f306636fda04f1868893e</alternateIdentifier>
	</alternateIdentifiers>
        <formats>
	    <format>application/pdf</format>
	</formats>
	<version>28967</version>
        <descriptions>
            <description descriptionType="Abstract"></description>
        </descriptions>
    </resource>
.

1 Un modèle Orienté Composants pour les Évolutions et Défaillances des Systèmes Hybrides Ahmed GUADRI, Nathalie DANGOUMAU, Etienne CRAYE Laboratoire d’Automatique, Génie Informatique et Signal Ecole Centrale de Lille, BP 48, 59651 Villeneuve d’Ascq Cedex, France Ahmed.Guadri@centraliens-lille.org Résumé— Dans ce papier nous proposons et formalisons une approche de modélisation des systèmes dynamiques hybrides sujettes à des défaillances. Ce modèle permet une description détaillée de l’évolution du système tout en permettant un dé- coupage modulaire en composants. Nous introduisons aussi une modélisation exhaustive des défaillances (partielles et totales). Enfin, nous illustrerons ces concepts dans le cas d’un exemple classique de systèmes dynamique. Mots clés— Systèmes hybrides, modélisation en composants, défaillances partielles et totales I. INTRODUCTION Les approches de modélisation des systèmes physiques ont toujours été développés selon certains besoins : des modèles en machines discrètes (automates, machines de Turing...) pour des systèmes informatiques ou manufacturiers, des équations algébrodifférentielles (pour des systèmes conti- nues)... Dans ce papier, nous présentons une approche de modélisation qui permette une prise en compte de possibilités de défaillances partielles ou totales (ce qui nécessite la pré- sentation des possibilités dynamiques induites par les chan- gements qualitatifs ou quantitatifs des modes de défaillance). Ce modèle peut être exploité pour le développement de stratégies de commande et de supervision tolérantes aux fautes. Notre approche de modélisation pour les systèmes phy- siques permet de rendre compte de trois dimensions ma- jeures : La modularité du système (Le système est un assemblage éventuellement hiérarchique de composants), la dimension comportementale hybride (Le comportement de chaque composant intègre une dimension continue et évé- nementielle) et la possibilité de défaillances (ce qui résulte en des modifications d’un sous ensemble de composants). Les deux premières dimensions permettent de garantir la puissance de modélisation puisqu’elles permettent de décrire exhaustivement une classe très large de systèmes physique. Divers approches de modélisation ont été réalisés selon un ou plusieurs dimensions parmi les trois présentés. Citons notamment l’automate hybride présenté dans [1], ou le modèle général de Branicky [2]. Ceux-ci décrivent de façon satisfaisante les dynamiques hybrides, et peuvent être exploi- tés pour divers tâches tel que l’analyse d’existence, l’analyse d’atteignabilité... D’autres modèles prenant en compte la mo- dularité ont aussi été avancé. Les exemples les plus connus étant les formalismes visuels tel les statecharts hybrides [3], le modèle comportemental de Lorimier [4], les réseaux de Petri hybrides [5]. L’occurrence d’une défaillance lors du fonctionnement d’un système se traduit par une modification du fonction- nement interne d’un sous ensemble de composants. Si le modèle utilisé est discret, une défaillance peut être repré- sentée par une désactivation, activation ou franchissement de certaines transitions. Dans le cas continu, elle se traduit par un changement de valeur de certains paramètres. À partir de ces approches de modélisation, nous présentons une méthode de modélisation qui allie les trois dimensions cités. Les défaillances seront considérées dans le cas large de changement de mode de défaillance, ce qui implique la description de fautes partielles décrivant une certaine configuration de fonctionnement pour chaque composant. II. LE MODÈLE HYBRIDE L’architecture globale du système hybride commandé est donnée dans Fig. 1. Une couche de commande communique avec le système hybride constitué de composants commu- niquants via une interface. En plus, des entrées des entrées d’environnement (tel que des perturbations) influencent le fonctionnement du système. Notre approche de modélisation orientée composants consiste à décrire le système physique en tant qu’assem- blage de composants hybrides qui reçoivent des entrées continues/discrètes et délivrent des informations à propos de leurs fonctionnement interne. Les interactions de chaque composant et le contrôleur peuvent être classifiées en : – Des entrées/sorties de commande – Des entrées/sorties avec l’environnement L’assemblage des composants hybrides sous une configu- ration fixe de défaillances est un système hybride qui doit pouvoir être écrit selon le modèle général de Branicky. De plus, un composant hybride isolé peut être vu en tant que système hybride élémentaire, avec des entrées sorties avec l’extérieur. Ceux-ci peuvent être affectés indifféremment à des composants voisins ou à une couche de commande. Par exemple, le niveau de régulation du flux d’une pompe peut être considéré comme entrée de commande ou variable partagée en lecture, selon qu’on considère le calculateur e-STA copyright 2009 by see Volume 6, N°2, pp 22-27 Fig. 1. Architecture globale du système hybride commandé transmettant cette information comme étant un composant du système, ou une couche de commande. A. Modélisation d’un composant Hybride La spécifcation de systèmes hybrides orientés composants a été proposée dans divers travaux de recherche ( [3], [4], [6]) et outils (tel que le langage de modélisation MODELICA [7], ou le logiciel CHARON [6]). Chaque composant est souvent considéré en tant que système hybride communi- quant et intéragissant avec d’autres composants voisins et l’environnement. Afin de permettre une telle composition, il est nécessaire de prévoir une conception cohérente de la communication entre composants et avec le contrôleur. Une telle vérifica- tion est souvent difficile puisqu’elle nécessite la vérification d’absence de cycles [8]. Plusieurs approches ont été proposés et implémentées pour la résolution de cette problématique : Une approche naïve est de réduire le système à un système hybride à un seul composant et vérifier si toutes les variables sont bien définies [8]. D’autres approches plus efficaces ont été implémentées dans SIMULINK (résolution en temps réel des boucles algébriques grâce à l’algorithme de Newton), dans MODELICA/DYMOLA (recherche des composantes fortement connexes grâce à l’algorithme de Tarjan). Le composant d’un système hybride sera décrit sous la forme d’un automate hybride [1] communicant avec son voisinage. Pour permettre une description des défaillances, nous introduisons un vecteur de paramètres θ et un automate de défaillances. Par la suite une défaillance sera toujours considérée en tant que altération locale de fonctionnement de composants. Definition 1: Un composant est un uplet c.A = (c.Q, c.X, Σ, c.A, Inv, c.Y, c.f, c.U, c.E, c.g, c.q0, c.x0, c.AΦ, c.Θ) avec : – c.Q : un ensemble dénombrable d’états discrets. Un cas important est celui de c.Q fini. Pour une collection de composants, nous définissons : Q = Πc.Q et q le vecteur d’états discrets correspondants. – c.X : l’espace d’état continu avec un nombre de dimen- sions fini. Soit c.x le vecteur correspondant et x = (c1.x...cn.x) – c.Σ : Ensemble fini des événements. ets l’événement silencieux. – c.q0, c.x0 : ensembles d’états discrets et continus pos- sible initialement. – c.AΦ : Automate des modes des défaillances (Def. 2). – c.Θ : est l’espace des paramètres continus associés à des changements du mode de défaillance. Soit c.θ le vecteur correspondant. – c.Y : est l’espace associé au variables d’états continus partagées du composant. c.y est la variable continue associée. L’ensemble des variables en partage peut être divisé en des variables en écriture c.yw et en lecture c.yr. – c.inv : associe à chaque état q ∈ c.Q une région de X. – A = {q.A}q∈Q : est une collection de partitions finis pour les invariants {q.inv}q∈c.Q. – c.f = {c.fq}q∈Q : la spécification du flux pour chaque état q. q.f(x) consiste en l’ensmeble des dérivatives – c.U : l’espace d’entrées continues pour c.A – c.E : est un ensemble fini de transitions. e = (q, q , σ, g, reinit, θ) est une transition caractérisée par un état source q, un état destination, σ est l’événement déclencheur (éventuellement ), g est fonction continue de c.x. reinit est la fonction de réinitialisation et est fonction de c.x et c.θ. – q.g, q ∈ c.Q : est la fonction de partage associée à l’état q de c.Q. Elle est fonction de l’état courant continu c.x et du vecteur de paramètres c.θ. Nous définissons par la fonction q(t) l’état du contrôleur à l’instant t. Étant donnée que q est constante durant une étape n, on peut définir la fonction q[n]. la valeur de c.x ne peut cependant être définie sur n car elle varie au cours du temps continu. Notons que l’occurrence de plusieurs transitions en même instant est possible dans le cas du modèle 1. Ceci implique que les valeurs c.x, c.q n’est pas un point dans l’espace d’état correspondant, mais plutôt ensembles de points. La définition des modes possibles de défaillances doit pré- server les possibilités de modélisation continues et discrètes. e-STA copyright 2009 by see Volume 6, N°2, pp 22-27 Chaque mode de défaillance dans l’automate caractérise la désactivation et activation de quelques transitions. Definition 2: pour un composant c.A = (c.Q, c.X, Σ, c.A, Inv, c.Y, c.f, c.U, c.E, c.g, c.q0, c.x0, c.AΦ, c.Θ), AΦ est l’automate de modes de défaillances AΦ = (Φ, Φ0, δΦ, ΣΦ, EN, DI) avec : – Φ : est l’ensemble de modes de défaillances. – Φ0 : est le mode initial correspondant à un état non défaillant. – δΦ : la fonction de transition. – ΣΦ : l’ensemble d’événements déclenchant des dé- faillances. – EN : est la fonction associant à chaque mode de défaillances φ ∈ Φ un ensemble de transitions activés EN(φ). – DI : est la fonction associant à chaque mode de dé- faillances φ ∈ Φ un ensemble de transitions désactivés EN(φ). Plusieurs remarques peuvent être faite à propos de cette définition : – Dans cette version, nous n’avons pas retenu les délais de franchissement utilisés dans divers modèles tel que le modèle général de Branicky [2]. Ceci afin de préserver la simplicité du modèle du composant. Des délais de franchissement peuvent cependant être implémentés de façon artificielle en ajoutant des états intermédiaires. – En général, c.θ peut être dépendante du temps (dé- faillance progressive imprévisible par examen anté- rieur), totale (lorsque le paramètre c.θ est saturé dans c.Θ), ou partielle. Cependant, il est plus pratique de considérer c.θ comme étant un vecteur constant qui est réinitialisé ponctuellement a chaque occurrence d’une nouvelle défaillance. L’identification de ce paramètre suppose une connaissance préalable des défaillances pouvant apparaître dans le composant analyse. – L’événement déclenché à chaque instant sera représenté par une fonction dépendante du temps σ(t). Dans le cas ou aucun événement n’est déclenché, σ(t) = . – L’exécution des composants hybrides d’un système n’est pas synchrone. En effet, l’injection d’un événe- ment de commande permet le franchissement de toutes les transitions activées des différents composants sans restriction particulière. La composition n’est effective que grâce à la communication des paramètres continus. – Dans le cas général, l’occurrence d’une défaillance change l’évolution d’un sous ensemble de composants du système selon une nouvelle évolution incertaine. C’est la raison pour laquelle nous permettons au vec- teurs caractérisant l’état du composant c.θ, c.q, c.x de résider dans des régions des espaces de phase corres- pondants. – Étant donnée que π est constante durant une étape n, on peut définir la fonction π[n]. – Une condition importante est le caractère Lipchitzien des fonctions de flux, de garde et de réinitialisation. Avant de pouvoir spécifier l’architecture globale du sys- tème hybride, il est nécessaire de définir le niveau de commande implémentée pour le système. B. La couche de commande Fig. 1 spécifie la manière selon laquelle communique la couche de commande avec le système hybride. Cette couche est découpée en un contrôleur discret servant à implémenter la stratégie de commande sous forme symbo- lique et l’interface dont le rôle est d’abstraire les évolutions du système hybride en des informations qualitatives (grâce au générateur) et traduire l’état discret du contrôleur en des commandes continues et discrètes. Cette décomposition en interface+contrôleur a été envisagée dans de nombreux travaux afin de traiter les problématiques de commande et supervision des systèmes réelles avec des méthodologies issues du discret (voir par exemple [9] et [10]). 1) Le contrôleur: Definition 3: Le contrôleur est un automate à états finis déterministe AΠ = (Π, R, δΠ, π0) avec : – Π est l’ensemble d’états du contrôleur. Chaque état π ∈ Π caractérise un mode de commande particulier. – R = 2Q est l’ensemble de parties de Q avec Q l’ensmeble d’états discrets du système défini dans 1. – δΠ est la fonction de transition sur l’automate de com- mande. – π0 est l’état initial du contrôleur. Nous définissons par la fonction π(t) l’état du contrôleur à l’instant t. Étant donnée que π est constante durant une étape n, on peut définir la fonction π[n]. L’évolution du contrôleur est donnée par Def. 4. Definition 4: – π(n) = π1 – δΠ(π1, reinit) = π2 – q(n + 1) ∈ r Alors π(n + 1) = π2 2) Le générateur: Le générateur a la possibilité d’accéder à une vue partielle du fonctionnement. Cette vue est réalisée grâce à des modules d’identification/diagnostic implémentés en dessus du système. L’implémentation du générateur est réalisée à partir de deux sous ensembles : l’ensemble de modes discrets du système qu’on peut détecter et l’espace de variables en partage qu’on peut observer, avec les vecteurs correspondants (qg, yg) et représente une vue partielle de l’évolution du systeme. L’occurrence d’une défaillance peut provoquer une incertitude sur le fonctionnement du système, ce qui veut dire que l’état perçu du système peut désormais résider dans un ensemble d’états possible : c.q ∈ 2c.Q , c.x ∈ 2c.X , c.θ ∈ c.Θ. 3) L’injecteur: À chaque étape, ce module interprète l’état discret du contrôleur pour choisir une entrée continue et un événement de commande à injecter à partir d’une liste prédé- finies de fonctions et événements de commande. Pour celà, un ensemble de fonctions prédéfinies W = (w1, ..., w|W |) est utilisé. Chaque fonction wi est une fonction des variables observables yg. En plus, la commande injectée est réalisée grâce à une fonction α(n) = (α1(π[n]), ..., α|α|(π[n])) dépendante de l’état du contrôleur à l’étape n. On a alors u(t) = α(π(t)) × WT . C’est à dire : À chaque instant t, u(t) = |W | i=1 αi(π(t))w(yg(t)) (1) e-STA copyright 2009 by see Volume 6, N°2, pp 22-27 Ainsi, la commande continue est construite à chaque état à partir de l’état discret du contrôleur. Par contre, l’événement de commande est construit à partir de l’état du contrôleur grâce à une fonction σ(t) = σ(π(t)). C. L’architecture globale du système hybride La description d’un système hybride commandé à l’aide de composants (voir le paragraphe subsection :composant) et interface (voir paragraphe II-B) nécessite une spécification de la communication et initialisation des composants. L’initia- lisation spécifiée doit être compatible avec la spécification d’initialisations acceptables selon II-A. Definition 5: L’architecture du système hybride est don- née par S = (C, ⇐, Π, INTERFACE, γ, INIT) avec : – C = {c1, ..., c|C|} est l’ensemble de composants du système. – ⇐ est une relation associant des variables partagées en lecture à des variables partagées en écriture selon c.yri ⇐ c.ywj, c.yri étant une composante du vecteur c.yr alors que c.ywj est une composante de c.yw de même dimension que c.yri. – Π est un contrôleur défini selon Def. 3. – INTERFACE contient la spécification du géné- rateur INTERFACE.generateur et de l’injecteur INTERFRACE.injecteur selon 3. – γ est l’entrée de l’environnement. – INIT ⊂ Q × X est le sous ensemble correspondant à l’initialisation de q et x. Q and X are defined by Q = c∈C c.Q, X = c∈C c.X Def. 5 décrit l’architecture complète du système hybride commandé en tant que assemblage de composants (avec la relation ⇒) qui est commandée par une couche de commande de haut niveau (Π + INTERFACE). En plus le système interagit avec son environnement via les paramètres d’en- vironnement (par exemple des perturbations). Dans le cas d’un système clos, tous les variables partagées en lecture sont associées avec des variables partagées en écriture. L’association entre les variables en lecture et en écriture est réalisée selon Def. 6. Definition 6: Soit c1, c2 ∈ C, y1 est une variable partagée en lecture de c1, y2 une variable partagée en écriture de c2. Si c1.y1 ⇒ c2.y2 alors : c2.y2(t) := c1.y1(t), ∀t ≥ 0 III. EXÉCUTION DU SYSTÈME HYBRIDE A. Le temps hybride L’adoption des deux échelles temporelles (selon le temps continu t et l’index n) permet de distinguer à chaque instant l’évolution continue (régie par le temps continu t) et les différentes évolutions discrètes (impliquant des incrémenta- tions à chaque changement). Cependant l’utilisation de ces deux échelles peut être insuffisante afin de rendre compte de Fig. 2. Système hybride avec plusieurs exécutions dans le même instant l’évolution du système dans le cas de transitions autonomes successives comme celui de l’automate présent dans Figure 2 (c’est un automate assez particulier sans sauts commandés ou entrées de commande). La variable x est augmentée depuis -1 jusqu’à atteindre 1 à t=2, puis entame un cycle de franchissements entre -1 et 2 à t=2 dans une durée nulle. Pour décrire une telle évolution, nous utilisons le temps hybride introduit dans [11] et [12]. Le temps hybride est une combinaison du temps continu t et de l’index n en (t, n). Par la suite, les variables continues seront notés en temps hybride (par exemple x(t, n), y(t, n)...) puisqu’elles sont susceptibles de varier instantanément. Par contre, on peut confondre les variables q(t, n), π(t, n)... avec q[n], π[n]... puisqu’elles ne varient pas au cours d’une étape n. σ(n) est l’événement de commande qui est injecté au début de l’étape n. En appliquant cette notation au cas de l’automate, on a x(t ≤ 2, n = 1) = −1 + t, q(t ≤ 2, n = 1) = q1, x(t = 2, n = 2) = −1, q(t = 2, n = 2) = q2, x(t = 2, n = 3) = 1, q(t = 2, n = 3) = q3 Par la suite, nous noterons par n(t) les étapes discrète associées à l’instant t. Par contre t[n] est l’instant de début de l’étape n. Dans le cas de l’exemple, t[1] = 0 (l’étape 1 commence à 0) et n(2) = 1, 2, 3 qui est l’ensemble d’étapes à t = 2. B. Cohérence La cohérence du système peut être réalisée si on respecte les conditions suivantes : 1) La fonction de réinitialisation doit assurer que les variables réinitialisées respectent l’invariant de l’état destination. Ce qui veut dire : ∀c ∈ C, ∀e = (q, q , σ, g, reinit), reinit(g ≥ 0 ∩ q.inv) ⊆ q .inv 2) Pour c ∈ C, q ∈ c.Q, l’évolution dynamique doit rester dans q.inv ou causer une transition autonome (transition avec pour événement déclencheur σ = ). 3) Il n’y a pas de boucles algébriques. Des méthodes pour adresser cette problématique sont citées dans II-A. e-STA copyright 2009 by see Volume 6, N°2, pp 22-27 4) Il n’y a pas de boucles de transitions autonomes qui puissent être déclenchés par l’évolution du système. Notons que les conditions 1 et 2 peuvent ne plus être respectées après une défaillance. Cependant, nous supposons que ces conditions sont toujours vérifiées. Avant de décrire l’exécution le système, il est aussi néces- saire de spécifier de façon plus formelle la notion de temps hybride et de trajectoire. C. Trajectoire en temps hybride Definition 7: Une trajectoire en temps hybride est une séquence finie ou infinie d’intervalles τ = {Ii}N i=0 avec : – Ii = [τi, τi ], ∀i < N ; – Si N < +∞, alors IN = [τN , τN ], ou IN = [τN , τN [ ; – τi ≤ τi+1 = τi+1 forall i. ({τi}i est l’ensemble d’instants ou les transitions discrètes sont déclenchées. Dans [τi, τi ], aucune transition n’est fran- chie. Chaque intervalle [τi, τi ] correspond à une étape n = i. D’ou la notation : < Ii >=< [τi, τi ] >= i, < τ >= ∪i < Ii >. It is proven that the use of hybrid time preserve the notion of time ordering. Nous définissons la durée d’une exécution comme étant |τ| = 0→ Q est une fonction constante par morceaux et x = {xi : i ∈< τ >} est une collection de fonctions différentiables xi : Ii → X avec : – (q(0, 0), x(0, 0)) = (q[0], x0 (0)) ∈ INIT ; – Pour tout instant défini du temps hybride (t, n), ∀c ∈ C, c.yw := q(t, n).g(c.x, c.y, c.θ). – ∀t ∈ [τi, τi [, c. ˙xi (t) = f(q(i), c.xi (t), c.θ) and (c.xi (t)T , c.yi (t)T )T ∈ c.q[i].inv ; – ∀i ∈< τ > −{N}, il existe un composant c ∈ C et une transition e = (q, q , σ, a, reinit) ∈ c.E, avec c.q[i] = q, c.q[i + 1] = q , x(τi , i) ∈ a et x(τi+1, i + 1) = reinit(x(τi , i)) ; IV. EXEMPLE Considérons le cas du système à deux réservoirs dé- crit dans Fig. 3. On peut modéliser ce système en tant qu’assemblage de différents composants selon le paragraphe II-A. Par exemple, on peut le décrire par S = (C, ⇐ , Π, INTERFACE, γ, INIT) avec : – C = {P, T1, V1, V2, T2}. Voir par exemple V1 et T2 dans Fig. 5 et 4. Fig. 3. L’automate hybride correspondant au système au deux réservoirs Fig. 4. modèle du composant V1 – ⇐ est la relation d’association des variables partagées. Par exemple, V1.Qrout ⇒ T2.Q1in et T2.h2out ⇒ V1.lh2. – Π et INTERFACE sont respectivement le contrôleur et interface du système. – γ = amin amax = 0 1 – INIT = ((P1low, V 1C, V 2C, T1low, T2low), (0, 0, 0)), avec x = (QP , h1, h2). Par la suite nous présentons les modèles de V1 et T2. Une défaillance partielle possible dans un tel système est lorsque amin est une valeur incertaine dans un intervalle (Par exemple amin ∈ [0.1, 0.3]). Une telle postulation introduit un niveau d’incertitude dans l’évolution continue du système, puisque la dérivée de h2 et h1 dépends directement de amin. Dans le cas ou on veut présenter des défaillances totales, on peut faire abstraction des changements continues causés par la défaillance et introduire des événements observables mais non commandables dans c.H qui conditionnent le changement de mode de défaillance. Les changements de fonctionnement seraient alors illustrés par l’automate de e-STA copyright 2009 by see Volume 6, N°2, pp 22-27 Fig. 5. modèle du composant T2 Fig. 6. Automate de défaillances correspondant à V1 comportement de V1 dans Fig. 6 avec : – Désactivation des transitions entrants vers qV1C dans le mode FV 1BO. – Désactivation des transitions sortants de qV1C dans le mode FV 1BC. V. CONCLUSION Dans ce papier, nous avons proposé, formalisé et illustré une méthodologie de modélisation qui inclut une dimension modulaire, des dynamiques hybrides et décrit la possibilité de défaillances partielles (grâce au changement de paramètres continues) ou totales (en activant/désactivant des transitions dans l’automate comportemental). Cette approche de modéli- sation s’avère assez puissante pour la description de systèmes complexes. De plus, elle englobe assez d’informations à propos des défaillances prévues par les experts et constitue alors un outil intéressant pour la description et l’élaboration de méthodologies de supervision et reconfiguration. Plusieurs limites peuvent être adressées à ce modèle. D’abord, ce modèle ne présente pas d’hiérarchie, ce qui est assez gênant dans le cas de systèmes à grand échelle. De plus, on ne dispose que de mécanismes réduit pour la vérification de la cohérence lors de la composition du système. REFERENCES [1] T. A. Henzinger, “The theory of hybrid automata,” Symposium on Logic in Computer Science, 1996. LICS ’96. Proceedings., Eleventh Annual IEEE, pp. 278–292, 1996. [2] M. S. Branicky, V. S. Borkar, and S. K. Mitter, “A unified frame- work for hybrid control : Model and optimal control theory,” IEEE Transactions on Autoamtic Control, vol. 43, no. 1, pp. 31 – 45, 1998. [3] Y. Kesten and A. Pnueli, “Timed and hybrid statecharts and their textual representation,” in Formal Techniques in Real-Time and Fault- Tolerant Systems 2nd International Symposium (J. Vytopil, ed.), vol. 571, (Nijmegen, The Netherlands), pp. 591–, Springer-Verlag, 1992. [4] L. Lorimier, La caractérisation dynamique des défaillances, Une nouvelle approche pour la gestion active des défaillances au sein des systèmes physiques industriels complexes. PhD thesis, Ecole Centrale de Lille et Université des Sciences et Technologies de Lille, 2005. [5] R. David and H. Alla, “On hybrid petri nets,” Discrete Event Dynamic Systems, vol. 11, pp. 9–40, 2001. [6] R. Alur, R. Grosu, Y. Hur, V. Kumar, and I. Lee, “Modular specifica- tion of hybrid systems in charon,” Hybrid Systems, Computations and Control, pp. 6–19, 2000. [7] M. Tiller, Introduction to Physical Modeling with Modelica. Norwell, MA, USA : Kluwer Academic Publishers, 2001. [8] J. Zaytoon, Systèmes dynamqiues hybrides. hermes-sciences, 2001. [9] X. Koutsoukos, P. J. Antsaklis, J. Stiver, and M. Lemmon, “Super- visory control of hybrid systems,” Proceedings of the IEEE, vol. 88, pp. 1026–1049, July 2000. [10] J. A. Stiver, P. J. Antsaklis, and M. D. Lemmon, “Interface and controller design for hybrid control systems,” in Hybrid Systems II, (London, UK), pp. 462–492, Springer-Verlag, 1995. [11] R. Goebel, J. Hespanha, A. R. Teel, C. Cai, and R. Sanfelice, “Hybrid systems : Generalized solutions and robust stability,” Stuttgart Symposium on Nonlinear Control Systems, 2004. [12] J. Lygeros, K. Johansson, S. Sastry, and M. Egerstedt, “On the existence of executions of hybrid automata,” Decision and Control, 1999. Proceedings of the 38th IEEE Conference on, vol. 3, pp. 2249– 2254 vol.3, 1999. e-STA copyright 2009 by see Volume 6, N°2, pp 22-27