Automatique continue, automatique

discrte, informatique industrielle :

le triangle des Bermudes ?
Paul Caspi
VERIMAG-CNRS
2, avenue de Vignate
F-38610, Gires
caspi@imag.fr
Dans la plupart des systmes automatiques complexes, automatismes continus et discrets sont troitement mls. Pour limplantation sur (rseaux de) calculateurs numriques, les
parties continues reposent sur la thorie bien tablie des systmes chantillonns priodiques
ou multi-priodiques alors que la thorie des systmes vnements discrets est plutt prconise pour les parties discrtes. Devant la difficult de mlanger ces deux types dimplantations,
lexprience montre que les praticiens ont tendance privilgier les chantillonnages priodiques, quitte pallier labsence de thorie satisfaisante dchantillonnage des systmes vnements discrets par des recettes maison . Dans cette prsentation, nous nous interrogeons
sur la signification de ce hiatus thorique qui nous semble rvler un certain manque de communication entre automatique continue, automatique discrte et informatique industrielle.
RSUM.

In most complex control systems, continuous and discrete event controls are closely
mixed. When these systems are to be implemented on (networks of) computers, continuous
parts can be dealt with according to the theory of sampled (and multiply sampled) control
systems while discrete parts rely on the theory of discrete event control systems. But these
two approaches dont easily combine with each other and experience shows that, in practice,
people tend to equally sample both parts. In the absence of a convenient sampling theory for
discrete event systems, people rely on in-house tricks to ensure systems robustness. In this
presentation, we try to partially fill this theoretical gap which seems to indicate some lack of
communication between continuous control, discrete event control and computer people.
ABSTRACT.

MOTS-CLS :

systmes continus, discrets, hybrides, chantillonnage, robustesse.

KEYWORDS:

continuous systems, discrete event systems, hybrid systems, sampling, robustness.

244

RS/hors srie. MSR 2003

1. Introduction
Depuis plus de vingt ans, les ralisations analogiques ou en composants discrets
des systmes de contrle-commande ont cd la place aux ralisations sur calculateurs numriques, voire sur des rseaux locaux de calculateurs et des exemples de
grande qualit peuvent tre cits comme les commandes de vol lectriques des Airbus
partir de lA320 [BRI 94], les contrles-commandes des centrales nuclaires Framatome ralises par Merlin-Grin [BER 88] ou les systmes de mtros automatiques
de Matra-Transport [BEH 98]. Tous ces exemples ont en commun, outre dtre des
systmes critiques exigeant une haute sret de fonctionnement, un certain nombre de
caractristiques :
automatismes continus et vnements discrets y sont intimement mls,
ils sont fonds sur des principes darchitecture logicielle et matrielle que nous
avons qualifis de quasi-synchrones [CAS 99], prsentant les aspects suivants :
- chantillonnage priodique des acquisitions et calculs de chaque calculateur,
- absence de synchronisation entre les priodes des diffrents calculateurs, par
contraste avec la technique dite time-triggered architecture [KOP 97],
- communications entre calculateurs susceptibles de ralisations diverses
(lignes sries, bus de terrain, etc...) mais qui aboutissent au principe fonctionnel de
la mmoire partage.
Outre ces exemples, ces caractristiques se retrouvent sans doute dans un grand
nombre de systmes de contrle-commande, sinon dans une majorit dentre eux.1
Il est donc intressant et important den tudier les fondements thoriques. Cest ce
que nous avons fait au cours du projet europen Crisys (1997-2001) avec, entre autres
partenaires, Schneider Electric, Airbus France, et le laboratoire dautomatique de Grenoble (H.Alla et R.David) et ce sont essentiellement les constatations que nous avons
faites ce sujet que nous prsentons ici. Ces constatations sont les suivantes :
Si la thorie de lchantillonnage priodique est bien tablie et depuis longtemps
en ce qui concerne les systmes continus (voir par exemple [AST 84]), il nen est
pas de mme pour les systmes vnements discrets, et cela pose des problmes
dindterminismes et dalas qui sont mal pris en compte par les outils de validation
fonctionnelle actuels (simulation, test, vrification formelle). Cette constatation est
dveloppe en section 2. Dans cette situation, les praticiens ont recours des recettes
maison que nous dcrivons en section 3 et que nous essayons de thoriser ensuite.
Nous commenons par prsenter une thorie nave de lchantillonnage des signaux et
systmes continus en section 4. Ensuite, en section 5, nous prsentons une approche
empirique de lchantillonnage des signaux discrets. Enfin, nous proposons une fusion
des deux prcdents points de vue en section 6.2
1. Bien que nous ne puissions tayer cette affirmation par des statistiques prcises.
2. Ces travaux ont t soutenus par le projet europen CRISYS, par le rseau dexcellence
ARTIST et par les contrats AIRBUS-VERIMAG.

Confrence invite 2

245

Nous concluons enfin en nous tonnant du peu de considration que ces problmes
ont rencontr par le pass, ce qui est pour nous un signe dun manque de communication lintersection des disciplines de lautomatique continue, de lautomatique
discrte et de linformatique industrielle.

2. Echantillonnage des systmes vnements discrets

Dans cette section, nous illustrons les problmes soulevs par lchantillonnage
priodique des systmes vnements discrets.

2.1. Echantillonnage et dterminisme

x
X 000

a)

x
X

b)

X0

X 00

Figure 1. Lchantillonnage nest pas dterministe

La figure 1 montre deux chantillonnages priodiques possibles dun mme couple
de signaux boolens (x, y). Dans le premier cas, x and y passent en mme temps logique de 0 1, alors que dans le second cas il y a un passage intermdiaire.
Comme la phase de lchantillonnage ne peut en gnral pas tre contrle, il en
rsulte une situation indterministe.

246

RS/hors srie. MSR 2003





1


1


x


x , y
3

@
@
@ y
@
@
@ 
R ?
@
2

a) une course non critique

x


3


x , y

y
?


?


4


2


b) une course critique

Figure 2. Exemples de courses

2.2. Courses critiques

Supposons maintenant que le couple (x, y) soit une entre dun automate. La figure 2 illustre le phnomne de course. En 2a, lala dchantillonnage prcdent se
traduit par une divergence transitoire de ltat de lautomate. En revanche, en 2b, la
divergence est plus longue et peut ventuellement conduire des carts dtat permanents. Cest une course critique. Il est clair que les concepteurs de systmes doivent
absolument prendre en compte ce phnomne et le contrler.

2.3. Courses critiques et redondances

Lattention des concepteurs vis--vis des alas dchantillonnage est toujours importante et nous ne voulons pas ici privilgier certaines situations plutt que dautres.
Nanmoins les mthodes de redondance illustrent bien les cueils que cela rserve.
Dans les systmes critiques, il est frquent que les mmes calculs soient rpliqus
sur plusieurs calculateurs des fins de dtections ou de tolrance aux fautes. Lide
est que des dsaccords entre calculateurs permettront soit de dtecter des fautes soit
de les tolrer par des mthodes de votes majoritaires. Supposons que lautomate de la
figure 2b soit ainsi rpliqu sur plusieurs calculateurs, dont les horloges dchantillon-

Confrence invite 2

247

nage ne soient pas synchronises. Pour les mmes entres vues la figure 1, certains
calculateurs vont emprunter le chemin 1 2 tandis que dautres passeront par par
le chemin 1 3 4. On voit que, mme en labsence de faute, des dsaccords durables peuvent survenir, dtruisant ainsi toute proprit de tolrance aux fautes. Ces
phnomnes, bien connus des gens de systmes rpartis, rappellent bien videmment
les problmes dits de gnraux byzantins [PEA 80].

2.4. Alas dchantillonnage et validation

Ces difficults ont pour effet de rendre la mise au point et la validation de systmes
chantillonns trs difficile. Remarquons tout dabord que les outils classiques de
construction et simulation de systmes, tels que Simulink prennent trs mal en compte
ces phnomnes : lchantillonnage en Simulink est un chantillonnage idal qui
ne souffre pas des imperfections des horloges physiques disponibles : non matrise du
dphasage, drives, etc... Si on fait leffort de modliser ces alas, ce que nous avons
fait dans Crisys en utilisant loutil Scade/Lustre dEsterel-Technologies3 [CAS 01b],
on saperoit alors que cela est de peu dutilit car les vnements de courses critiques
se produisent trs rarement et il faudrait donc des temps de simulation exorbitants
pour parvenir quelque chose de concluant.4
Les mmes difficults se rencontrent bien videmment si, au lieu de simulations,
on utilise des mthodes de vrification formelle. Le pendant de temps de simulation
trs longs est alors lexplosion combinatoire, qui rend les outils extrmement inefficaces.

3. Mthodes utilises en pratique

Pour se prmunir contre ces phnomnes, les concepteurs ont recours des recettes
souvent maison ou empruntes la thorie des circuits asynchrones [BRZ 95]. Ces
mthodes peuvent se classer en deux catgories : adjonctions de retards ou adjonctions
de causalits.5

3. http ://www.esterel-technologies.com
4. Cela nest pas tonnant, compte-tenu de lanalogie dj note avec les phnomnes byzantins.
Les gens de la communaut dite de la tolrance aux fautes savent que ceux-ci se produisent trs
rarement et quon ne doit en tenir compte que dans les systmes trs critiques. En revanche,
dans ces derniers, des algorithmes spcifiques et dmontrs une fois pour toutes doivent tre
employs.
5. Dans le cadre de Crisys, des mthodes de dcouplage et de changement de variables dtat
ont aussi t tudies [YED 00a, YED 00b], que nous ne rappellerons pas ici.

248

RS/hors srie. MSR 2003

3.1. Adjonctions de dlais

Reprenions lexemple de la figure 1 et supposons que nous ayons par ailleurs les
informations suivantes :
les signaux x et y sont variabilit uniformment borne (VUB), cest--dire
quils ne varient pas trop vite ou, plus prcisment, quil existe un temps minimum Tx
(Ty ) entre deux changement de valeur du signal,
on connat aussi une borne maximum x (y ) de lincertitude avec laquelle ces
signaux sont perus par le calculateur.
sup(x , y ) <

inf(Tx ,Ty )
2

La technique dinsertion de dlai est alors la suivante :

Dans le cas de la figure 1a, il ny a rien faire : le calculateur voit les deux
signaux changer simultanment.
Dans le cas de figure 1b, en revanche, le calculateur voit dabord le changement
de valeur de x. Lide est alors dattendre le dlai y ou le changement de y avant
de prendre en compte le changement de x. Ainsi, les changements de valeurs de x
et y seront pris en compte simultanment, sauf sils diffrent de plus de lincertitude
temporelle associe leurs variations. En effet, dans ce dernier cas, on peut tre certain
que lon nintervertit pas lordre des changements.
On voit ici que lon a donc insr un dlai variable en fonction des valeurs dentres reues, ce qui requiert une certaine intelligence, spcifique du logiciel. Nous
avons montr en [CAS 00] que cette technique est assez puissante pour rsoudre les
problmes dalas dchantillonnage dans certains systmes redondants.

3.2. Adjonctions de causalits

En revanche, ces techniques ne sont pas assez puissantes pour viter les problmes
de courses critiques en gnral. Prenons par exemple le cas des systmes redondants
dcrit en 2.3. Il est peu prs clair que, quelque soit le dlai quon impose entre
les changements de x et y pour les considrer comme non simultans, lorsque les
changements de x et y ont lieu aux environs de ce dlai, certains calculateurs pourront
considrer, du fait des incertitudes de lchantillonnage, que ce dlai est coul alors
que dautres considreront le contraire et le systme de vote divergera pareillement.
Lautre technique pour rsoudre ce problme de course critique est dinterdire les
courses, cest--dire dinterdire les changements simultans des deux signaux. Cela
peut se faire au moyen dinsertions de causalits : si on sait que y ne peut changer que
si on a prcdemment positionn un autre signal z une certaine valeur, si cette valeur
nest pas positionne, le changement ne pourra pas se produire et aucune ambigut
ne pourra rsulter de lchantillonnage.

Confrence invite 2

249

Cette technique peut paratre trs lmentaire mais elle est en fait trs employe car
elle sapparente celle des protocoles de communication : typiquement, dans un protocole, je nattends une rponse que si jai pos une question et toute rponse qui me
parviendrait sans que jaie pos la question ne pourrait provenir que dune erreur. Cette
technique sapparente aussi aux techniques de construction de circuits asynchrones
partir de Signal Transition Graphs [BRZ 95].

4. Echantillonnage des signaux continus

Dans cette section, nous partons dune thorie nave de lchantillonnage des signaux continus pour la gnraliser aux signaux discrets et hybrides.
Daprs [AST 84], la thorie usuelle de lchantillonnage de Nyquist-Shannon
nest pas exactement celle utilise pour la commande temps-rel ; en effet, la reconstruction correspondante nest pas causale. En ralit, les priodes dchantillonnage
considres en temps-rel correspondent aux calculs derreurs des mthodes dintgration pas fixe utilises et sont en gnral plus courtes que celles prvues par
Nyquist-Shannon.

4.1. Signaux et systmes

Dautre part, nous considrons des systmes qui doivent fonctionner sur des horizons de temps trs longs comme, par exemple, des centrales nuclaires ou des commandes davions devant voler pendant des heures. Ainsi, nous considrons des signaux
sur un horizon non born. Dans ces conditions un signal x est pour nous simplement
une fonction de vers (fixe une valeur de repos avant une date de dbut dactivit) et un systme S une fonction transformant causalement des signaux en dautres
signaux, cest--dire telle S(x)(t) nest fonction que des x(t 0 ) avec t 0 t.

4.2. Echantillonnage
Quest-ce quun signal chantillonnable ? Cest intuitivement un signal que lon
peut approximer par une fonction constante par morceaux avec une erreur dapproximation que lon peut contrler. Cela peut se reformuler ainsi : pour toute erreur
positive, il existe un pas dchantillonnage positif, tel que deux chantillons quelconques x(t), x(t 0 ) voisins de moins de en temps diffrent de moins de en valeur.
Exprim ainsi, on a reconnu la dfinition classique de la continuit uniforme (cf.
figure 3) :
> 0, > 0, t,t 0 , | t t 0 | | x(t) x(t 0 ) |

250

RS/hors srie. MSR 2003

()

Figure 3. Un signal uniformment continu

On peut aussi dire quil existe une fonction des erreurs vers les dlais x positive,
associe au signal x, telle que :
> 0, t,t 0 , |t t 0 | x () |x(t) x(t 0 )|

4.3. Redatation et chantillonnage

Pour se placer dans un cadre plus fonctionnel, pour des raisons qui apparatront
ultrieurement, nous introduisons ici des fonctions de redatation :
Une fonction de redatation r est une fonction non dcroissante de dans . Une
telle fonction peut donc redater un signal par :
x0 = x r
Ce procd trs gnral permet, en particulier dexprimer lchantillonnage. Par
exemple, un chantillonneur priodique de priode T correspond la fonction de redatation :
r(t) = E(t/T )
o E est la partie entire infrieure(voir figure 4). Ainsi, le signal chantillonn x0 reste
bloqu jusquau prochain saut de la fonction de redatation.

4.4. Redatation et continuit uniforme

Un autre intrt de la redatation est de permettre dexprimer la continuit uniforme
de manire fonctionnelle.

Confrence invite 2

251

...
`
`
`
`

Figure 4. Une redatation priodique

Dfinition 4.1 (Signaux uniformment continus) x est uniformment continu sil
existe une fonction positive x des erreurs vers les dlais, telle que, pour tout > 0 et
pour toute fonction de redatation r,
||r id|| x () ||x x r||
o id est la fonction identit et o || || est la norme L (qui se ramne la norme
du sup pour les fonctions continues : suptR |x(t)|).
4.5. Des signaux aux systmes
Cette approche stend trs naturellement aux systmes en disant quun systme S
est uniformment continu (cf. figure 5) sil existe une fonction positive S des erreurs
vers les erreurs telle que :
> 0, x, x0 , ||x x0 || S () ||(S x) (S x0 )||
On peut alors proposer le thorme suivant [CAS 02] :
Thoreme 4.1 Un systme S, stationnaire, uniformment continu, aliment par une
entre x uniformment continue, produit une sortie S(x) uniformment continue avec :
Sx = x S
Ce thorme permet de propager un calcul derreur de type analyse numrique et de
choisir des priodes dchantillonnage adaptes aux prcisions dsires. Il faut remarquer aussi que dautres approches sont aussi possibles par exemple fondes sur la
notion voisine de stabilit entre-sortie [SAS 99]

252

RS/hors srie. MSR 2003

()

System

Figure 5. Un systme uniformment continu

4.6. Gnralisation
Lintrt de lapproche fonctionnelle est de pouvoir se gnraliser nimporte
quelle distance entre signaux. On dira ainsi quun signal x est uniformment continu
pour la distance d sil existe une fonction positive x telle que :
> 0, r, ||r id|| x () d(x, x r)
De mme, on dira quun systme S est uniformment continu pour la distance d
sil existe une fonction positive S telle que :
> 0, x, x0 , d(x, x0 ) S () d((S x), (S x0 ))
Et, dans ce contexte gnralis, le thorme 4.1 est encore vrifi.

5. Echantillonnage des signaux discrets

Nous considrons maintenant des signaux boolens et nous cherchons des
concepts analogues la continuit uniforme, permettant de caractriser lchantillonnage de ces signaux. Naturellement, de mme que nous nous tions limits prcdemment aux signaux continus, nous devons maintenant limiter la classe des signaux que nous considrons, par exemple la classe des signaux boolens continus
par morceaux, cest--dire tels quil existe une suite finie ou divergente dinstants
{t0 , . . .tn , . . .} tels que le signal soit constant dans chaque intervalle ouvert ]tn ,tn+1 [.
Dans ce contexte, nous pouvons essayer de formaliser la mthode dadjonction de
dlais vue en 3.1.
Pour cela, nous introduisons la fonction dct1 ,t2 (x) qui compte le nombre de discontinuits du signal x dans un intervalle de temps [t1 ,t2 ] :
dct1 ,t2 (x) = card{t | x(t ) 6= x(t + ) t1 t t2 }

Confrence invite 2

253

0 Tx
x

Tx

-

Figure 6. Variabilit uniformment borne

o, comme dhabitude, x(t ), (x(t + )) est la limite gauche ( droite) de x en t.
Cela nous permet de caractriser les signaux boolens chantillonnables, comme
ceux (cf. figure 6) qui ne varient pas trop vite :
Dfinition 5.1 (Variabilit uniformment borne (VUB)) Un signal boolen x est
variabilit uniformment borne sil existe Tx positif, tel que
t,t 0 , |t t 0 | Tx dct,t 0 (x) 1

5.1. VUB et chantillonnage

Nous avons vu prcdemment comment les dlais se transforment en erreurs.
Quen est-il pour les signaux discrets ? On peut facilement proposer la relation suivante :
x, r, ||r id|| Txr Tx
On voit ainsi comment la priode de stabilit dun signal se rduit sous leffet de
retards et dchantillonnages incertains.

5.2. VUB et adjonction de dlais

Considrons deux signaux VUB, x et y avec leurs priodes de stabilit Tx et Ty
associes, et deux redatations bornes
||rx id||

||ry id||

La question des adjonctions de dlais est de produire une fonction, dite de confirmation , f telle quil existe un retard born global r vrifiant :

254

RS/hors srie. MSR 2003

f (x rx , y ry ) = (x r, y r)
Autrement dit, cette fonction vise remplacer des dlais incohrents en dlais cohrents.
En [SAL 01], nous avons pu montrer que la fonction fx ,y dfinie par :

ftaux ,y (x, y)(t) = x0 (t), y0 (t) =

t 0 ,t y < t 0 t x(t) = x(t 0 )

0
0
0
 t 0 ,t x < t 0 t y(t) = y(t0 )
t ,t y < t t x(t) 6= x(t )
x(t), y(t)
si
t 0 ,t x < t 0 t y(t) 6= y(t 0 )
0

x (t ), y (t ) autrement

x(t), y(t)

si

vrifie la proprit dsire sous rserve de la relation :

sup(x , y ) <

inf(Tx , Ty
)
2

Cette proprit peut tre vue comme un analogue du thorme 4.1 pour les signaux
discrets en ce quil autorise un calcul de dlais dans les rseaux acycliques doprateurs.

6. Echantillonnage des signaux hybrides : distance de Skorokhod

Malheureusement, le concept de variabilit borne nest pas topologique. Nous
avons montr en [CAS 02] que la distance de Skorokhod pouvait en partie pallier
cette difficult.

6.1. Distance de Skorokhod

Cette distance [BIL 99] a t propose comme gnralisation de la distance usuelle
L pour prendre en compte les discontinuits dans la convergence faible de lois de
probabilits. Elle a t introduite dans les systmes hybrides en [BRO 98].
Dfinition 6.1 (Distance de Skorokhod)
dS (x, y) = infredatation bi jective r ||r id|| + ||x y r||
On voit ici lide de cette dfinition : au lieu de comparer des signaux aux mmes instants, on sautorise des glissements dinstants (redatations), pourvu que ceux-ci soient
limits et quon ne rate aucun instant. Cest pourquoi on se restreint aux redatations
bijectives.

Confrence invite 2

255

6.2. Distance de Skorokhod et variabilit uniformment borne

En [CAS 02], nous avons pu montr le thorme suivant, qui tablit un lien entre
les thories de lchantillonnage de signaux continus et celles de lchantillonnage des
signaux discrets :
Thoreme 6.1 Un signal boolen a une variabilit uniformment borne si et seulement si il est uniformment continu pour la distance de Skorokhod.
Lide de la preuve est la suivante : si un signal a une variabilit uniformment
borne, toute redatation borne, ventuellement discontinue, peut tre compense par
une autre redatation bijective, donc continue. Dans lautre sens, si un signal na pas de
variabilit uniformment borne, une redatation discontinue, mme borne peut effacer des points de discontinuit, quune redatation bijective, donc continue, ne pourra
pas compenser.

6.3. Distance de Skorokhod et systmes hybrides

Dautre part, il est immdiat de voir que la distance de Skorokhod domine la distance || || :
x, y, dS (x, y) ||x y||
Do,
Thoreme 6.2 Un signal uniformment continu lest aussi pour la distance de Skorokhod
On voit donc que la distance de Skorokhod peut caractriser lchantillonnage la fois
des signaux continus et des signaux discrets. Cela veut dire aussi quelle peut caractriser lchantillonnage des signaux hybrides , cest--dire des signaux continus par
morceaux.

7. Conclusion
Nous avons essay de montrer ici que le problme de co-existence de composantes
continues et discrtes dans les systmes de commande pose des problmes compliqus
de ralisation. En particulier, lchantillonnage priodique des systmes vnements
discrets pose des problmes dalas et dasynchronismes qui obligent les praticiens
recourir des astuces maison . Nous avons ensuite essay de montrer que la distance de Skorokhod tait un bon candidat pour fonder une thorie unifie de lchantillonnage des systmes continus, discrets et mme hybrides.

256

RS/hors srie. MSR 2003

Controller

Figure 7. Un systme instable

Cependant, beaucoup reste faire en ce sens. En particulier, on peut noter les

points suivants :
Systmes multi-dimensionnels : la question des systmes discrets plusieurs
entres nest pas encore bien traite par lapproche toplogique, malgr les indications
fournies en [CAS 00].
Liens avec la stabilit : mme lapproche suivie en section 4.5 nest pas totalement satisfaisante, en ce quelle ne sapplique qu des systmes stables. Or, beaucoup
de systmes de commande, comme, par exemple les PID, ne sont pas stables en euxmmes(figure 7), mais ne le deviennent quen boucle ferme avec le procd quils
sont senss commander (figure 8). Ce problme va se poser sans doute de faon similaire dans notre approche, et pose la question de la caractrisation de la stabilit et
de la stabilisation par feed-back dans le cas des systmes hybrides. En particulier, il
est tentant dinterprter ([CAS 01a]) les techniques de protocoles et dvitement de
courses critiques en ce sens.
Mais, au del de ces perspectives, on peut sinterroger sur la signification des
constatations que nous faisons quant ltat des communications entre les diverses
communauts qui se partagent lenseignement et la recherche en automatique continue, automatique discrte et informatique industrielle. Les problmes que nous avons
mentionns ne sont pas nouveaux : par exemple les commandes de vol dites lectriques sur calculateurs numriques des Airbus A320 ont t conues dans les annes
80. Cependant, il ne semble pas que ces problmes aient reu une attention suffisante
de la part de ces communauts. Les consquences nen sont pas toujours heureuses :
Les tudiants sortent des coles avec un solide bagage dans chacune de ces trois
disciplines ; mais, arrivs dans lindustrie, ils se retrouvent devant des situations imprvues, comme de devoir implanter des systmes de commande mixtes, discrets et
continus sur des calculateurs numriques et ils ne disposent daucune thorie satisfaisante pour ce faire. Les entreprises ont alors recours des formations maison pour
pallier cette situation.
Les outils de conception, validation (simulation, mise au point) dont les concepteurs disposent ne permettent pas dobserver de faon prcise et reproductible les phnomnes dalas dchantillonnage qui risquent de perturber leurs conceptions.

Confrence invite 2

257

()

U
Controller

Plant
Z

Figure 8. Stabilisation par feed-back

La communication entre les divers intervenants dans la conception de systmes

complexes risque dtre obscurcie par labsence de savoirs solides et partags dans
ce domaine. Cest le cas, par exemple, entre concepteurs et autorits de certifications
pour les systmes critiques. Soient ils ont partag les mmes formations, et la communication peut tre biaise, soit ils nont pas la mme culture et certains problmes
peuvent tre ignors.
Il est vrai que lapparition de la discipline dite des systmes hybrides la fin
des annes 90, a amen un certain progrs en la matire. Mais laspect implantation
(informatique industrielle) y est encore peu reprsent.
Cest pourquoi il parat important, pour lenseignement et la recherche, dexplorer
cette mer inconnue qui se trouve au centre du triangle form par ces trois disciplines.

Remerciements
Je voudrais remercier ici Albert Benveniste de lINRIA-IRISA et Chiheb Kossentini dAirbus-France pour leurs contributions ce travail. Oded Maler de Verimag,
Alberto San Giovanni-Vincentelli de luniversit Berkeley, Jan van Schuppen de CWI
et Herv le Berre dAirbus-France nous ont aids de leurs conseils et encouragements.

8. Bibliographie
[AST 84] A STRM K., W ITTENMARK B., Computer Controlled Systems,
1984.

Prentice-Hall,

[BEH 98] B EHM P., D ESFORGES P., M EYNADIER J., MTOR : An Industrial Success in
Formal Development , B ERT D., Ed., B98 : Recent Advances in the Development and
Use of the B Method, vol. 1393 de Lecture Notes in Computer Science, Springer, 1998.

258

RS/hors srie. MSR 2003

[BER 88] B ERGERAND J., P ILAUD E., SAGA ; a software development environment for
dependability in automatic control , SAFECOMP88, Pergamon Press, 1988.
[BIL 99] B ILLINGSLEY P., Convergence of probability measures, John Wiley & Sons, 1999.
[BRI 94] B RIRE D., R IBOT D., P ILAUD D., C AMUS J., Methods and specification tools
for Airbus on-board systems , Avionics Conference and Exhibition, London, December
1994, ERA Technology.
[BRO 98] B ROUCKE M., Regularity of solutions and homotopic equivalence for hybrid systems , Proceedings of the 37th IEEE Conference on Decision and Control, vol. 4, 1998,
p. 42834288.
[BRZ 95] B RZOZOWSKI J. A., S EGER C.-J. H., Asynchronous Circuits, Springer-Verlag,
1995.
[CAS 99] C ASPI P., M AZUET C., S ALEM R., W EBER D., Formal Design of Distributed
Control Systems with Lustre , Proc. Safecomp99, vol. 1698 de Lecture Notes in Computer Science, Springer Verlag, September 1999.
[CAS 00] C ASPI P., S ALEM R., Threshold and Bounded-Delay Voting in Critical Control
Systems , J OSEPH M., Ed., Formal Techniques in Real-Time and Fault-Tolerant Systems,
vol. 1926 de Lecture Notes in Computer Science, September 2000, p. 6881.
[CAS 01a] C ASPI P., Embedded control : from asynchrony to synchrony and back ,
H ENZINGER T., K IRSCH C., Eds., First International Wokshop on Embedded Software,
vol. 2211 de Lecture Notes in Computer Science, 2001.
[CAS 01b] C ASPI P., M AZUET C., R EYNAUD -PARIGOT N., About the design of distributed
control systems : the quasi-synchronous approach , Proc. Safecomp01, vol. 2187 de
Lecture Notes in Computer Science, Springer Verlag, September 2001.
[CAS 02] C ASPI P., B ENVENISTE A., Toward an Approximation Theory for Computerised
Control , S ANGIOVANNI -V INCENTELLI A., S IFAKIS J., Eds., 2nd International Wokshop
on Embedded Software, EMSOFT02, vol. 2491 de Lecture Notes in Computer Science,
2002.
[KOP 97] KOPETZ H., Real-Time Systems Design Principles for Distributed Embedded Applications, Kluwer, 1997.
[PEA 80] P EASE M., S HOSTAK R., L AMPORT L., Reaching Agreement in the Presence of
Faults , Journal of the ACM, vol. 27, no 2, 1980, p. 228237.
[SAL 01] S ALEM -H ABERMEHL R., Rpartition de programmes synchrones temps-rel ,
Thse de doctorat, Universit Joseph Fourier, Grenoble, octobre 2001.
[SAS 99] S ASTRY S., Nonlinear systems - Analysis, stability, and control, No 10 Interdisciplinary Applied Mathematics, Springer-Verlag, 1999.
[YED 00a] Y EDDES M., Contribution une approche robuste pour la distribution de systmes synchrones , Thse de doctorat, Institut National Polytechnique de Grenoble, novembre 2000.
[YED 00b] Y EDDES M., A LLA H., DAVID R., The Partition Method for the Orderinsensitivity in a Synchronous Distributed Systems , IEEE, ISCC2000, Antibes (France),
July 2000.