Pleading for open modular architectures - Lirmm

More documents

Recommendations

Info

nombre de branches dans le parallélisme, la préemption ou la conditionnelle. • Combinaison en profondeur par l'accroissement du niveau d'imbrication. Afin d'avoir un ensemble borné de jeux de tests, nous avons émis un ensemble d'hypothèses: les actions du même type sont interchangeables, l'ensemble des séquences résultant de la combinaison de paires quelconques de primitives est représentatif de l'ensemble des séquences comportant deux ou plus de primitives excepté pour les problèmes de mémoire, etc. Chacune des approches de test appliquées à l'interpréteur a permis de détecter des erreurs de différentes natures (erreur de conception dans la gestion des interruptions logicielles et dans la gestion de la terminaison des actions continues, erreurs de programmation, etc.). Ces erreurs ont été corrigées et très peu de dysfonctionnements ont été observés dans l'utilisation de l'interpréteur depuis ce travail. Bien que les techniques de test statiques et dynamiques décrites ci-dessus se soient révélées très utiles dans la détection et la correction d'erreurs dans les programmes d'interprétation, leur utilisation ne permet pas de garantir la conformité de l'interprétation des plans à la sémantique Préparation de mission et Exploitation de données Navire/ Laboratoire Scientifique Données plongée (Synthèse technique) Navire Opérationnel Engin Autonome - Cartographie - Données Scientifiques - Trajectoires et actions - Validation opérationnelle Superviseur de Surface - Checklist - Diagnostic a) Pont b) Fibre optique c) Lien acoustique - Configuration engin Contrôleur Engin FIG. 2 – Architecture globale First National Workshop on Control Architectures of Robots - April 6,7 2006 - Montpellier Trajectoire et actions “mission” Diagnostic Intelligent de Surface Configuration “plongée” Diagnostic Intelligent Engin Données archivées Données 126 opérationnelle du langage PILOT. Un travail complémentaire a été fait pour pallier cet inconvénient. Il a consisté à modéliser les algorithmes d'interprétation et à vérifier leur conformité par rapport à la sémantique opérationnelle du langage afin de corriger les éventuels dysfonctionnements et de régénérer le code de l'interpréteur à partir du modèle validé. Les réseaux de Petri colorés (RdPC) ont été utilisés pour la modélisation et la vérification. Le support logiciel utilisé a été Design/CPN (http://www.daimi.aau.dk/DesignCPN). Les RdP et plus particulièrement les RdP colorés ont été choisis pour différentes raisons. Leur nature graphique offre la convivialité souhaitée dans le but d'utiliser ultérieurement le modèle comme médium de communication entre les différentes personnes impliquées dans le développement du logiciel de contrôle, afin d'éviter des erreurs dues à la distorsion de l'information. Ils permettent de représenter relativement simplement les différents concepts de l'algorithmique et de la programmation. La disponibilité d'outils, pour la simulation et la vérification des modèles, a également été un critère important. La modélisation a permis de constater que des simplifications sont envisageables tant au niveau de la représentation interne d'un plan, qu'au niveau des algorithmes d'interprétation, et d'appliquer ces dernières au système de contrôle. Des plans de tests ont été générés en s'appuyant sur l'approche adoptée au cours du test dynamique des algorithmes d'interprétation. La simulation de l'exécution de ces plans a permis de détecter des problèmes de terminaison. Cette dernière ne permettant d’explorer, dans la pratique, qu’une partie des chemins d’exécution, un travail complémentaire a été effectué. A partir des RdPC modélisant les algorithmes d'interprétation et d'un plan de test, le graphe des marquages accessibles correspondant aux chemins d'exécutions possibles est généré à l'aide de l'outil Design/CPN. Le graphe des marquages et le plan de test sont ensuite transmis au programme de vérification qui examine, pour chacun des chemins d'exécution, la satisfaction de la sémantique opérationnelle du langage. Une extension de l’environnement Design/CPN a été effectuée pour intégrer notre programme de vérification. Après cette présentation des mécanismes de sûreté offerts par l’environnement PILOT et des approches de tests et de vérification adoptées pour renforcer sa robustesse, nous présentons, dans la section suivante, l’étude et l’intégration de mécanismes de sûreté de fonctionnement dans une architecture globale de préparation, de supervision et d’exécution de missions d’engins sousmarins autonomes (Fig. 2.). Ce travail s’est effectué en collaboration avec la Division Robotique de l’IFREMER Toulon. Nous présenterons les solutions proposées pour la sûreté ainsi que les propositions faites pour leur mise en œuvre aux différents niveaux de l’architecture.
5. Mécanismes de sûreté pour des missions d’engins sous-marins autonomes 5.1 Niveau préparation de mission Deux approches sont abordées pour la sûreté: la vérification de propriétés et la tolérance aux fautes. Nous les abordons dans les sous-sections qui suivent. 5.1.1 Vérification de propriétés Actions de l’engin Description « informelle » de la mission Système de Spécification formelle Données Cartographiques First National Workshop on Control Architectures of Robots - April 6,7 2006 - Montpellier Caractéristiques de l’engin Propriétés spécifiques Description formelle de la mission Contraintes Système de vérification formelle FIG. 3 – Système de spécification et de vérification Résultat Il s’agit de vérifier l’adéquation entre les contraintes issues de la spécification de la mission et les caractéristiques de l’engin et de l’environnement (accessibilité de la zone à explorer, précision des capteurs et de la trajectoire, fréquence d’acquisition des mesures, durée de la mission, énergie, limites de vitesse et d’altitude, capteurs et charges utiles adaptées à la mission, temps de calibration, maintien - si nécessaire - de l’engin dans la zone à explorer), de vérifier la cohérence, en terme d’enchaînement d’actions et de logique d’exécution de la mission spécifiée par le scientifique (par exemple, certaines exécutions ne peuvent être faites en parallèle, les post-conditions d’une action et les préconditions de l’action suivante peuvent être incompatibles), et d’effectuer des diagnostics sur l’engin, le système de contrôle, et leurs modèles éventuels (les données des plongées précédentes pourront être utilisées pour ajuster certains paramètres du diagnostic). La phase de diagnostic pourra permettre, par exemple, de vérifier la terminaison de la mission. La figure 3 montre la structure du sous-système de spécification et de vérification proposé à ce niveau. Différents outils sont envisageables pour la conception et la spécification. Nous pouvons citer l’environnement STOOD de TNI-Europe qui permet par ailleurs de générer des programmes pour différents systèmes de vérification. Au niveau de la vérification, les approches de « modelchecking » et de démonstration peuvent être explorées. Différents outils sont disponibles. Certains outils s’appuient sur l’approche synchrone très utilisée pour la 127 conception de systèmes réactifs dont font partie les systèmes robotiques: outils commerciaux tels que SCADE et ESTEREL [8], SILDEX [11], environnement CELL CONTROL spécialisé pour les automatismes industriels de ATHYS [12]. D’autres formalismes graphiques de spécification et de vérification, synchrones et dédiés au contrôle commande tels que STATECHARTS [16], SYNCCHARTS [3] et GRAFCET [1], ou asynchrones tels que les Réseaux de Petri, offrent également des possibilités intéressantes. L’approche de démonstration a également donné lieu à différents outils de preuves (prouveurs) [14]: Isabelle [29], HOL [15], Coq [7], PVS [37], Boyer-Moore [4]. La plupart de ces systèmes utilisent des logiques d’ordre supérieur qui sont extrêmement souples et expressives. 5.1.2 Tolérance aux fautes Il s’agit ici de prendre en compte les défaillances envisageables afin de permettre, au niveau de la définition de la mission, de prévoir des actions de recouvrement. L’environnement de conception de plans de missions devra fournir des moyens permettant d’intégrer les réactions aux défaillances (mécanismes de recouvrement). Dans l’élaboration du plan de mission, on pourra prévoir 2 cas de figures: • Introduction de la redondance pour pallier certaines défaillances, par exemple modification de la trajectoire initiale suite à la détection d’un obstacle. Il s’agit dans ce cas de créer un plan de « repli » pour la partie jugée critique. La gestion d’un tel aspect dépend également de la richesse du système de contrôle qui peut déjà être équipé d’un mécanisme automatique de contournement d’obstacle. • Classement des actions par niveau de « criticité » de façon à prendre les actions de compensation appropriées en cas de dysfonctionnement (abandon et passage à l’action suivante, abandon de la mission, saut à une action spécifique ou à un point particulier du plan de mission, …). L’approche proposée pour l’intégration de mécanismes de traitement d’erreur consiste, après construction du plan de mission standard (c’est-à-dire ne prenant pas en compte la gestion de fautes autres que celles spécifiées lors de la création des actions), à spécifier pour chaque action ou primitive le traitement de fautes correspondant. La primitive est sélectionnée et les conditions de fautes, ainsi que les réactions associées sont définies. Le système de spécification se sert alors du plan et des données saisies pour générer le fichier de plan de mission incorporant le traitement de fautes. Au niveau des actions, les conditions et traitements de fautes initiaux de l’action sont étendus en cas de besoin pour prendre en compte de nouvelles conditions de fautes et leur associer les traitements souhaités. Les conditions de fautes sont des expressions logiques basées sur des
Page 4 and 5:
Organization This first national wo
Page 6 and 7:
Contents Organization…………
Page 8 and 9:
Program April 6, 2006 8:30-9:00 Rec
Page 10 and 11:
First National Workshop on Control
Page 12 and 13:
Page 14 and 15:
1 User requirements defined 2 Syste
Page 16 and 17:
Page 18 and 19:
Page 20 and 21:
Page 22 and 23:
Page 24 and 25:
Page 26 and 27:
Page 28 and 29:
Figure 6. Interface for local map (
Page 30 and 31:
Figure 8. Map and robot trajectory
Page 32 and 33:
Page 34 and 35:
Page 36 and 37:
Page 38 and 39:
Decision Planning Navigation Guidan
Page 40 and 41:
Page 42 and 43:
• Three Petri nets model level 3:
Page 44 and 45:
Page 46 and 47:
Page 48 and 49:
Abstract First National Workshop on
Page 50 and 51:
eginning of the next one. A guidanc
Page 52 and 53:
Figure 5 - Supervision interface Fi
Page 54 and 55:
On-going tests First National Works
Page 56 and 57:
Page 58 and 59:
Page 60 and 61:
Page 62 and 63:
Page 64 and 65:
Page 66 and 67:
Page 68 and 69:
Page 70 and 71:
Page 72 and 73:
Page 74 and 75:
Page 76 and 77: DES (Data Exchange System), a publi
Page 78 and 79: First National Workshop on Control
Page 94 and 95: Pilote Expérimenté:Télépilote F
Page 100 and 101: A multi-level architecture controll
Page 106 and 107: The autonomous parts Basic levels F
Page 110 and 111: cluster of the perception part of t
Page 118 and 119: An ultrasound probe of a sonographe
Page 120 and 121: Abstract First National Workshop on
Page 132 and 133: 2 The Orccad architecture 2.1 Basic
Page 140 and 141: 5.3 Real-time structures At compile
Page 142 and 143: From a software engineering perspec
Page 176 and 177:
Page 178 and 179:
Page 180 and 181:
Page 182 and 183:
Page 184 and 185:
Page 186 and 187:
Stopped destination reached destina
Page 188 and 189:
� ��
Page 190 and 191:
Page 192 and 193:
Abstract Horocol language and Hardw
Page 194 and 195:
Page 196 and 197:
• langage.xml which describe the
Page 198 and 199:
Coordination programming in Horocol
Page 200 and 201:
[F8] resume [F9] restart [F10] reev
Page 202 and 203:
References First National Workshop
Page 204 and 205:
Page 206 and 207:
TABLE I PROBABILITY VALUES FOR PERC
Page 208 and 209:
show all

Pleading for open modular architectures - Lirmm

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?