Obtener Propiedades de Controladores Lgicos desde FTA para Verificacin de Modelos

Contenido
Introduccin
Anlisis

de arboles de faltas (FTA) de propiedades formales con predicados de lgica temporal con autmatas temporizados

Elaboracin Ejemplo Ejemplo

Conclusiones
Referencias
2

Introduccin

La idea bsica del mtodo, mostrado en la ilustracin 2, es obtener las propiedades formales requeridas para efectuar un mtodo de eliminacin de faltas: Model-Checking de un controlador, desde el resultado de un mtodo de pronostico faltas: Anlisis de Arboles de Falta. Este mtodo incluye dos pasos:
Diseo

de rboles de faltas de propiedades Formales

Elaboracin

Diseo de rboles de faltas

Este rbol de faltas est dirigido a describir todas las causas de un evento no deseado. En caso de sistemas automticos, algunas de estas causas son fallos de componentes fsicos, y otras son causadas por el controlador. El resultado del rbol de faltas incluye compuertas estticas, compuertas dinmicas, si es necesario, descripcin del orden de eventos para describir una falta, y compuertas temporales si se deben de tomar en cuenta limitantes de sincronizacin.
5

Elaboracin de propiedades Formales Una vez que las fallas del controlador fueron extradas del rbol de Faltas obtenido, es posible que para cada una de ellas entreguemos una propiedad formal estableciendo como es que el controlador debe comportarse para no generar esta falta. Las propiedades formales deben ser escritas en lgica temporal CTL (Lgica de Arboles de Computacin) para compuertas estticas y dinmicas, o en la forma de un autmata temporal si se usan compuertas temporales para describir la falla. Estos dos formalismos son usados comnmente en verificadores de modelos temporizados y no temporizados.
6

Obtener las propiedades formales desde un rbol de faltas requiere de tener a su disposicin la definicin formal de cada compuerta as como reglas de composicin formales que permitan traducir cualquier conjunto de compuertas conectadas en un modelo formal, condicionado a que este conjunto sea consistente.

El enfoque tomado en este mtodo usa secuencialmente estas dos tcnicas y se enfoca en las faltas del controlador.

Anlisis de Arboles de Faltas (FTA)

Fundamentos de Arboles de Faltas

FTA se enfoca en encontrar todas los conjuntos asociados de eventos bsicos (conjuntos de corte) en el sistema que puedan causar que un evento importante (un fallo en el sistema de algn tipo) ocurra. Los conjuntos de corte mnimo son las combinaciones ms pequeas de eventos bsicos que pueden provocar el evento no deseado. Los eventos son llamados faltas si son iniciados por otros eventos, y se llaman fallas si ellos son los eventos bsicos que los inician. Un evento bsico es un evento que no es desarrollado en el anlisis. La conexin entre varios eventos bsicos identificados se lleva a cabo por medio de compuertas lgicas.

Anlisis de Arboles de Faltas (FTA)

Arboles de Faltas Dinmicos

10

Los arboles de faltas clsicos estn claramente estructurados, pero son incapaces de modelar algunos aspectos de comportamientos de sistemas reales, tales como la informacin sobre el orden de los eventos. Se dice que un rbol de Faltas es dinmico si este integra tiempo relativo y secuencias de eventos, el cual fuerza un evento particular a suceder antes que otros. Muchos trabajos se han desarrollado para mejorar las capacidades de los Arboles de faltas dinmicos. Se han desarrollado mtodos para generar automticamente arboles de faltas con conjuntos de cortes mnimos conteniendo informacin del orden de los eventos.

11

Este trabajo utilizara compuertas dinmicas como la OR-Exclusiva condicional y la AND con prioridad.

12

Anlisis de Arboles de Faltas (FTA)

Arboles de Faltas Temporales

13

Mientras que las compuertas dinmicas se enfocan en tiempos relativos y comportamientos secuenciales, las compuertas temporales especifican el intervalo de tiempo especfico permitiendo establecer el retraso fsico entre eventos. Algunos trabajos han propuesto la creacin de nuevas compuertas especiales para describir sistemas temporales. El termino de Arboles de Faltas Temporales (TFT) fue acuado para este modelo. La notacin TFT permite al usuario especificar fcilmente dependencias temporales entre eventos y se preserva la simple, cualitativa y naturaleza visual de los rboles de faltas.
14

La semntica de estas series de compuertas temporales adicionales es definida en trminos de la Lgica Temporal Proposicional Linealmente Orientada al Pasado (PLTLP).

PLTLP incluye los operadores no temporales usuales:

(not)

(and)
(or) (implicacin)

(doble implicacin)

15

As como varios operadores temporales pasados orientados a instancias:

() ()

()

Donde es un entero positivo. Una compuerta temporal unaria se propone para cada uno de los conectivos temporales. La ilustracin 1 muestra las compuertas y .

16

Elaboracin de Propiedades Formales

Obteniendo propiedades formales desde compuertas de Arboles de Faltas
17

Model-Checking usa un modelo de autmata de estados del controlador para verificar propiedades. Esta es la razn por la que las propiedades formales referirn a estados y caminos de este autmata usando los cuantificadores de estados F y G y los cuantificadores de camino A y E.

significa que la propiedad estados en un camino.

se mantiene para algunos

significa que la propiedad se mantiene para todos los estados en un camino. significa que la propiedad se mantiene para todos los caminos empezando por el estado actual. significa que la propiedad se mantiene para algunos 18 caminos empezando del estado actual.

Compuertas estticas

La falta de salida de una compuerta esttica es simplemente una expresin combinatoria de sus entradas. No depende del tiempo o de una secuencia de eventos. , Esta propiedad es un invariante que requiere ser considerado solamente con valores en el presente de las variables del controlador.

19

Compuertas dinmicas

Dos casos sern considerados para las compuertas dinmicas: la compuerta AND con prioridad (Priority AND o PAND), y la compuerta OR exclusiva condicional. De acuerdo a la definicin formal de la compuerta AND con prioridad, la falta sucede si los eventos bsicos de entrada ocurren en un orden especfico.
20

AG [aEF ab]

En la ilustracin, la salida de la falta sucede cuando el evento bsico sucede antes que . Esta proposicin formal significa que no existe estado en el cual sea verdadero y desde el cual empiece un camino donde otro estado donde otro estado sea verdadero. Esta propiedad es un invariante que requiere ser considerado tanto para valores presentes como futuros de las variables del controlador.

21

En el caso de la compuerta OR exclusiva condicional, la falta sucede si la entrada condicionada es verdadera mientras la otra entrada es falsa. La propiedad formal que puede ser deducida desde esta compuerta dice que esta proposicin no debe ser verdadera nunca dentro de un autmata de estados modelando el controlador. , -

22

23

Compuertas temporales

La semntica de las compuertas temporales es definida en trminos de PLTLP, pero esta semntica no es reconocida por los verificadores de modelos temporales usuales. Por lo tanto, las propiedades generadas de las compuertas temporales sern representadas por autmatas temporales, el cual es un formalismo usado por los verificadores formales temporizados.

24

Elaboracin de Propiedades Formales

Autmata temporizado

25

El Autmata temporizado es un lenguaje de modelado que permite describir comportamientos de un sistema por medio de un autmata de estados finito, extendido con relojes y limitantes de tiempo. Se utilizara la siguiente notacin para definir el autmata temporizado:

es un conjunto de relojes. es un conjunto de variables de valores enteros.

(, )

y () son conjunciones sobre condiciones simples de la forma c o c, donde , para () y , o para (, ).

y *<, , =, , >+.

(, )

representa la asignacin de valores a los relojes y las variables las cuales suceden en la transicin cuando un autmata cambia su estado.

26

Definicin: Autmata Temporizado Un autmata temporizado es una tupla (, 0 , , , , ), donde:

es un conjunto de estados. es el estado inicial. es el conjunto de relojes. es el conjunto de acciones y de coacciones.

, , es el conjunto de aristas con una accin, un resguardo (guard, condicin de disparo) y un conjunto de relojes a ser reiniciados. () asigna invariantes a locaciones.
27

Un resguardo satisface las siguientes condiciones:

Evala Solo Los

entregando un valor booleano.

se referencian constantes, valores enteros y relojes.

resguardos sobre relojes son esencialmente conjunciones.

Una variable de asignacin es una lista separada por comas de expresiones que solo se refieren a relojes, variables enteras y constantes, y solo asignan valores enteros a relojes y variables enteras.
28

Compuerta AND con prioridad (PAND)

La definicin de esta compuerta determina que una falta sucede si sus eventos bsicos de entrada ocurren en un orden especfico. La falta de salida sucede si y solo si y ocurren, ocurriendo antes que . Aqu se incluye la nocin de persistencia de eventos, esto es, debe ser persistente cuando sucede. Esto significa que si desaparece antes que aparesca , ninguna falta ser detectada en la salida de la compuerta.

29

El primer arco muestra la accin de la ocurrencia del evento . La guardia es la condicin de que no sea verdadero. El arco lleva al estado de falta tiene la accin de ocurrencia del evento . Su guardia es la limitante de que sea persistente.

Por lo tanto, el autmata alcanza un estado de falta si los eventos ocurren en un orden dado.
Un tercer arco produce el regreso al estado inicial. Esto simboliza la condicin de que el evento debe permanecer persistente cuando sucede . Si este no es el caso, la falta no se producir.
30

31

Compuerta OR Exclusiva con condiciones en una de las entradas

En esta compuerta, la falta se produce si la condicin de la compuerta aparece antes que el evento que puede producirse despus o no del todo.

El estado de falta es alcanzado si existe un arco ascendente de (ocurrencia del evento) con siendo falso actuando como una guardia.
La propiedad a verificar obtenida de esta compuesta es lograr que el estado de falta nunca sea alcanzado.
32

33

Compuerta temporizada

La salida de esta compuerta es verdadera si un evento es verdadero en el momento actual y por las ltimas unidades de tiempo en el pasado. El reloj se incrementa automticamente con el tiempo fsico. Tan pronto como sucede (un arco ascendente) es inicializado. Una transicin lleva del estado inicial a un estado intermedio.

34

Desde este estado intermedio, donde el valor del reloj debe ser menor o igual a , dos transiciones son posibles: una de ellas lleva de regreso al estado inicial dependiendo si el evento es trascendido o se vuelve falso (arco decreciente) antes de que el reloj alcance el valor de . El segundo arco lleva a un estado de falta si es igual a , esto es, siempre es verdadero durante las unidades de tiempo. La propiedad a verificar es que el estado de falta nunca sea alcanzado.

35

Compuerta temporizada

En este caso, la falta sucede si es verdadera tanto en este momento, como en algn instante entre las ltimas unidades de tiempo. El autmata propuesto se comporta de la siguiente manera: en el primer arco, una seal llamada iniciar determina el comienzo del intervalo entre = 0 y = (al mismo tiempo que es inicializado).
36

El estado de falta es alcanzado si un arco ascendente de es producido dentro de este intervalo. En el caso contrario, cuando no sucede en el intervalo, el autmata regresa al estado inicial. La propiedad a verificar es que el estado de falta nunca sea alcanzado.

37

Preguntas?
38

Gracias!
39

Referencias

[1] Barragan, I. and J.M. Faure (2005). From Fault Tree Analysis to Model Checking of controllers. Proceedings of the 16^th IFAC WC 2005, 6 pages, July 4-8, Prague, Czech Republic. [2] Barragan, I., Roth M., and J.M. Faure (2006). Obtaining temporal and timed properties of logic controllers from fault tree analysis. 12^th IFAC Symposium on Information Control Problems in Manufacturing, 6 pages, May 17-19, Saint Etienne, France.

40