Réseaux de Petri P-temporels: Modélisation et

validation d’exigences temporelles

Simon Collart-Dutilleul

To cite this version:

Simon Collart-Dutilleul. Réseaux de Petri P-temporels: Modélisation et validation d’exigences tem-
porelles. Automatique / Robotique. Université des Sciences et Technologie de Lille - Lille I, 2008.
�tel-00364666�

HAL Id: tel-00364666

[Link]
Submitted on 26 Feb 2009

HAL is a multi-disciplinary open access L’archive ouverte pluridisciplinaire HAL, est

archive for the deposit and dissemination of sci- destinée au dépôt et à la diffusion de documents
entific research documents, whether they are pub- scientifiques de niveau recherche, publiés ou non,
lished or not. The documents may come from émanant des établissements d’enseignement et de
teaching and research institutions in France or recherche français ou étrangers, des laboratoires
abroad, or from public or private research centers. publics ou privés.
 Numéro d’ordre H642

Université des Sciences et Technologies de Lille

Ecole Doctorale Sciences Pour l’Ingénieur

Mémoire d’habilitation à diriger des recherches

en automatique et informatique
présenté par

COLLART-DUTILLEUL Simon

Les Réseaux de Petri P-temporels :

Modélisation et validation
d’exigences temporelles.

Dirigé par Monsieur CRAYE Etienne

Soutenu publiquement le : 28/11/08

Jury :
MM. CRAYE Etienne, Directeur
COMBACAU Michel Rapporteurs
LOISEAU Jean-Jacques
EL MOUDNI Abdellah
BOIMOND Jean-Louis Examinateurs
ALLA Hassane
COCQUEMPOT Vincent Président
A Patrick Collart Dutilleul qui m’a enseigné le courage.

A Isabelle ma femme qui a cru en moi

A ma famille et aux amis

qui l’ont portée.

A mes frères…
 Remerciements

Remerciements
Le travail que je présente dans ce mémoire a essentiellement été effectué dans le cadre
Laboratoire d’Automatique, Génie Informatique et Signal (LAGIS) de l’Ecole Centrale de
Lille. Je ne voudrais pas omettre de remercier son directeur Philippe Vanheeghe pour le cadre
favorable dont j’ai bénéficié.

C’est aussi l’occasion d’exprimer ma profonde reconnaissance au Professeur Jean-Claude

Gentina qui, a plus d’un titre, a su motiver ce voyage en terres nordiques.

Il m’est agréable d’exprimer ma reconnaissance à Monsieur le Professeur Etienne CRAYE,

Directeur de l’Ecole Centrale de Lille, Directeur de l’équipe Systèmes à Evénements Discrets
(SED) du LAGIS, et directeur de cette habilitation, qui a bien voulu m’accueillir au sein de
son équipe en 1999. Qu’il trouve ici l’expression de ma gratitude pour l’intérêt qu’il a porté à
mes travaux et les conseils éclairés qu’il m’a prodigués.

Je tiens à exprimer ma reconnaissance à Monsieur le Professeur Mohamed Benrejeb,

Directeur du LARA Automatique, qui a bien voulu nous partager sa précieuse expérience et
son goût pour la recherche au travers notamment de co-encadrements de thèses. Qu’il accepte
l’expression de ma gratitude ses pour ses conseils et ses encouragements.

Monsieur le Professeur Michel Combacau, à l'université Paul Sabatier et chercheur au LAAS-

CNRS, est vivement remercié d’avoir accepté de juger mon travail et de participer au Jury en
portant le regard du LAAS sur les réseaux de Petri.

Monsieur le Professeur Abdellah El Moudni de l’université de Technologie de Belfort-Montbéliard,

directeur du Laboratoire « Systèmes et Transports », m’a grandement honoré pour avoir accepté
de juger mon travail et de participer au Jury, amenant ainsi son expertise respectée sur les
transports. Je lui exprime toute ma gratitude.

Je remercie vivement Monsieur Jean-Jacques Loiseau, directeur de Recherche CNRS à

l’IRCCyN, Ecole Centrale de Nantes, d’avoir accepté de juger mon travail et de participer au
Jury en apportant une expertise remarquable quant à la commande.

Je remercie aussi les Professeurs Hassane Alla et Jean-Louis Boimond qui traversent la
France pour participer au jury de soutenance. Merci aussi à Vincent Cocquempot pour son
aimable contribution à ce jury. Votre présence m’honore.

Je salue l’équipe du LAGIS, et le personnel de l’école qui n’a cessé de m’apporter son
soutien. J’adresse à chacun mes remerciements les plus vifs. Merci aussi aux membres de
l’INRETS qui ont toujours un regard favorable pour l’infatigable visiteur.

Enfin, je remercie Jean Paul Denat, mon directeur de thèse de doctorat, pour m’avoir insufflé
l’enthousiasme pour le métier d’enseignant chercheur.

i
ii
 Table des matières

Table des matières

Introduction Générale 1

Première partie – Curriculum Vitae étendu 5

Cursus Universitaire............................................................................................................... 7
Enseignement ......................................................................................................................... 8
1. Heures de TD .................................................................................................. 9
2. Heures de Travaux Pratiques........................................................................... 9
3. Suivi de stages IG2I ...................................................................................... 10
4. Remarque générale........................................................................................ 10
5. Formation continue ....................................................................................... 10
Responsabilités..................................................................................................................... 11
Encadrement......................................................................................................................... 13
6. Thèses............................................................................................................ 13
7. Masters .......................................................................................................... 16
8. Projets d’élèves ingenieurs............................................................................ 17
Activités de recherche .......................................................................................................... 18
Publications .......................................................................................................................... 21
Revues internationales avec comité de lecture.......................................................... 21
Revues nationales avec comité de lecture ................................................................. 21
Conférences internationales avec comité de lecture et publication des actes ........... 21
Conférences nationales avec publication des actes et rapports divers : .................... 24
“Publish or Perish”, Author impact analysis:............................................................ 25
Projets de recherche ............................................................................................................. 26
1. Projet Européen SELCAT :........................................................................... 26
2. Projet RESCIPROC: ..................................................................................... 28
3. Projet ANR-VTT PANSAFER : ................................................................... 29
Activités d’animation scientifique ....................................................................................... 30

Deuxième partie – Rapport de recherche 33

INTRODUCTION DE RECHERCHE

1. Contexte d’évaluation d’un outil 35

1.1 Un modèle ne change pas la nature mathématique .................................................. 35
1.2 Justification d’un outil dans un contexte applicatif.................................................. 36

2. L’ingénierie des exigences 37

2.1 L’élicitation .............................................................................................................. 37

iii
Les Réseaux de Petri P-temporels : modélisation et validation d’exigences temporelles

2.2 L’analyse des exigences ........................................................................................... 37

2.3 La formalisation des exigences ................................................................................ 37
2.4 La conception ........................................................................................................... 38
2.5 La vérification des exigences ................................................................................... 38

3. Mise en perspective d’un outil de modélisation des exigences temporelles 40

CHAPITRE 1
ABREVIATION ET EXTENSIONS DES RESEAUX DE PETRI EN VUE DE L’ANALYSE DES
CONTRAINTES DE TEMPS.

1. Introduction 43

2. Les Réseaux de Petri 43

2.1 Définitions fondamentales........................................................................................ 43
2.2 Propriétés comportementales ................................................................................... 45
2.3 Conclusion................................................................................................................ 47

3. Les Réseaux de Petri et le temps 48

3.1 Définition ................................................................................................................. 48
3.2 Règles de fonctionnement ........................................................................................ 49
3.3 Interprétations........................................................................................................... 49
3.4 La commande temporelle ......................................................................................... 49
3.4.1 Propriétés utiles pour l’évaluation de performance....................................... 50
3.4.2 Commande temporelle et temps de séjours................................................... 51
3.4.3 Conclusion..................................................................................................... 51
3.5 Les réseaux de Petri t-temporels .............................................................................. 51
3.5.1 Définition ...................................................................................................... 51
3.5.2 Etats et règle de tir......................................................................................... 52
3.5.3 Modélisation des exigences de temps de séjour............................................ 53
3.5.4 Conclusions ................................................................................................... 54
3.6 Les Réseaux de Petri P-temporels............................................................................ 55
3.6.1 Définitions..................................................................................................... 55
3.6.2 Propriétés....................................................................................................... 58
3.6.3 Evaluations de performances des GE P-temporels ....................................... 59
3.6.4 Structures de fonctionnement........................................................................ 60
3.7 Conclusion................................................................................................................ 62

CHAPITRE 2
UTILISATIONS DES EXIGENCES ET CONDUITE DE SYSTEMES

1. Introduction 67
1.1 La sécurité ferroviaire .............................................................................................. 67
1.2 Les ateliers à contraintes de temps ........................................................................... 68

iv
 Table des matières

1.3 Présentation des applications ................................................................................... 69

2. Contribution au traitement des exigences de sécurités temporelles : un exemple

ferroviaire 70
2.1 Description du cas d’étude ....................................................................................... 70
2.2 Modélisation des exigences de sécurité ................................................................... 70
2.3 Classes d’états .......................................................................................................... 72
2.4 Classes d’états du modèle des exigences. ................................................................ 73
2.5 Analyse de la solution proposée............................................................................... 74
2.5.1 Description du processus............................................................................... 74
2.5.2 Classes d’état correspondant aux spécifications ........................................... 76
2.6 Discussion ................................................................................................................ 78
2.7 Conclusion................................................................................................................ 78

3. Conduite d’atelier en fonctionnement répétitif 79

3.1 Ordonnancement et galvanoplastie .......................................................................... 79
3.1.1 Le procédé ..................................................................................................... 79
3.1.2 Les résultats................................................................................................... 80
3.1.3 Identification d’une problématique clef. ....................................................... 81
3.2 Problématique de commande. .................................................................................. 82
3.2.1 RdP P-temporels commandés........................................................................ 82
3.2.2 Présentation d’un modèle général de la topologie d’atelier .......................... 83
3.2.3 Robustesse..................................................................................................... 90
3.2.4 Robustesse passive ........................................................................................ 92
3.2.5 Robustesse active .......................................................................................... 94
3.2.6 Conclusion................................................................................................... 102

4. Conclusion 103

CHAPITRE 3
LES RDP A INTERVALLES POUR LES EXIGENCES NON TEMPORELLES

1. Introduction 107

2. Les RdP à Intervalles [COL04] 108

2.1 Définition: .............................................................................................................. 108
2.2 Définition d’un état ................................................................................................ 110
2.3 Calcul de l'état suivant ........................................................................................... 111
2.4 Structures de fonctionnement................................................................................. 112
2.5 Les RdP P-temporels : une sous classe des RdP à intervalles [COL03a] .............. 113
2.6 Les RdP à intervalles et classes d’états [COL03a]................................................. 114
2.7 Exemple d’une chaîne de fabrication de cigarettes ................................................ 115
2.7.1 Présentation du procédé d’alimentation de tabac........................................ 116
2.7.2 Modélisation du procédé et intégration du poids ........................................ 117

v
Les Réseaux de Petri P-temporels : modélisation et validation d’exigences temporelles

2.7.3 Conclusion applicative ................................................................................ 123

3. Conclusion 125

CONCLUSION DE RECHERCHE 127

CONCLUSION GENERALE ET PERSPECTIVES

1. Conclusions 133

2. Perspectives 134
2.1 Rationalisation de ma contribution scientifique..................................................... 134
2.2 Travailler sur la cohérence applicative................................................................... 135
2.3 Collaborations internationales................................................................................ 135
2.3.1 Conforter les liens avec la Tunisie. ............................................................. 135
2.3.2 Exploiter les relations du réseau Eurnex ..................................................... 135
2.3.3 Développer des synergies nouvelles ........................................................... 136

BIBLIOGRAPHIE 137

vi
 Table des matières

Table des tableaux et illustrations

Figure 1 : Une structure de synchronisation dans un RdP t-temporel..................................... 53
Figure 2. Une structure de synchronisation modifiée dans un RdP t-temporel ....................... 54
Figure 3. Différents états d’un jeton dans un RdP P-temporel ................................................ 56
Figure 4. Structures pouvant entraîner la mort d’une marque [KHA97] ................................ 58
Figure 5. RdP P-temporel structure de synchronisation.......................................................... 61
Figure 6. RdP P-temporel structure parallélisme/synchronisation ......................................... 61
Figure 7. Modèle Réseau de Petri P-temporel du passage à niveau........................................ 71
Figure 8. Modèle des exigences temporelles d’un passage à niveaux. .................................... 71
Figure 9: Graphe de classe du réseau de Petri P-temporel ..................................................... 73
Figure 10: Modèle t-temporel de la solution............................................................................ 75
Figure 11: Graphe des classes du modèle t-temporel .............................................................. 76
Figure 12. Ligne de galvanoplastie .......................................................................................... 80
Figure 13. Modèle du procédé de galvanoplastie à 4 bacs...................................................... 80
Figure 14. Exemple d’un atelier multi-produits ....................................................................... 85
Figure 15. Décomposition fonctionnelle de l’atelier................................................................ 87
Figure 16. Gammes opératoires GO1 et GO2 ........................................................................... 88
Figure 17. Un sous chemin monosynchronisé élémentaire Lp1=(p13, t9, p14, t10, p15, t11, p16, t12,
p10, t6) et différentes notations.................................................................................................. 90
Figure 18. Modèles équivalents.............................................................................................. 112
Figure 19. Gamme de fabrication des cigarettes ................................................................... 115
Figure 20. Système d’alimentation du tabac .......................................................................... 117
Figure 21. RdP à « poids valués ».......................................................................................... 119
Figure 22. RdP à intervalle du réglage de niveau.................................................................. 121
Figure 23. Robustesse passive................................................................................................ 121
Figure 24. Marges de validité du système d’alimentation ..................................................... 122
Figure 25. Modèle global du procédé .................................................................................... 123
Figure 26. Politique de commande......................................................................................... 124

vii
Les Réseaux de Petri P-temporels : modélisation et validation d’exigences temporelles

Tableau 1: Classes d’état du modèle P-temporel..................................................................... 74

Tableau 2: Marquage des classes d’état du RdP t-temporel.................................................... 77
Tableau 3. Marge de validité du système d’alimentation du tabac........................................ 122

viii
Introduction Générale

1
Les Réseaux de Petri P-temporels : modélisation et validation d’exigences temporelles

2
 Introduction générale

Introduction générale.
Le présent recueil décrit l’ensemble des enseignements, les charges administratives et des
activités de recherche qui ont été menés depuis la soutenance de mon mémoire de thèse en
1997 au LAMII à Annecy (Laboratoire d'Automatique et de Micro Informatique Industrielle).

Le corps de ce travail a été grandement influencé par mon intégration dans le laboratoire
LAGIS (Laboratoire d’iAutomatique, Informatique et Signal) pour la recherche et dans
l’Ecole Centrale de Lille pour l’enseignement à la rentrée 1999.

C’est ainsi que les efforts de recherche se sont peu à peu recentrés autour de la commande-
supervision des systèmes tolérants aux perturbations temporelles pour la recherche, et vers les
systèmes d’informations pour l’enseignement. Il faut ainsi voir la marque de la culture
scientifique de l’équipe « Système à Evénement Discret », dirigée par le Professeur Etienne
Craye, dans ma capacité à ouvrir la problématique scientifique initiale.

Classiquement, le document se décompose en deux parties.

La première est un curriculum vitae détaillé qui décrit l’ensemble des travaux de manière
synthétique, mais complète. Tous les aspects du métier d’enseignant chercheur y sont
abordés, à savoir l’enseignement, les activités administratives, les responsabilités
pédagogiques et en recherche et enfin la production scientifique en tant que telle. Cette
section permet d’avoir une vision globale sur un cheminement scientifique articulé autour des
activités de recherche mais aussi d’enseignement, et qui concerne une réflexion sur
l’utilisation des modèles au sein de l’activité d’ingénierie.

La deuxième partie s’intéresse aux travaux scientifiques en cherchant à en illustrer la logique

plus que la chronologie. De fait, l’opportunité d’une belle application industrielle, la
performance et la motivation d’un étudiant-chercheur ou les synergies scientifiques du
moment sont autant de facteurs qui doivent être intégrés dans la planification du travail. Ils
ont ainsi influé sur le cours effectif des recherches.

La production scientifique s’est donc construite autour de la volonté de développer, valoriser

et diffuser un outil de modélisation des systèmes à événements discret comportant des
contraintes de temps de séjours. Il s’agit des Réseaux de Petri P-temporel introduits dans la
thèse de Waël Khansa en 1997 dans un laboratoire de l’université de Savoie qui s’appelle
aujourd’hui le LISTIC (Laboratoire d’Informatique, Systèmes, Traitement de l’Information et
de la Connaissance). Le déroulement de mon doctorat est concurrent et en collaboration avec
celui de W. Khansa . Ils sont d’ailleurs dirigés par JP Denat dans les deux cas. Les travaux de
Khansa portaient sur la création et la formalisation de l’outil de modélisation. Les miens

3
Les Réseaux de Petri P-temporels : modélisation et validation d’exigences temporelles

portaient sur le cahier des charges en amont et les applications en aval. C’est donc
logiquement que je revendique une compétence particulière sur les raisons d’être du modèle,
tout en faisant systématiquement référence aux travaux de Khansa. L’éclairage original
qu’apportent les Réseaux de Petri P-temporels est donc celui de la modélisation des exigences
temporelles qui sont extraites du cahier des charges, notamment lors d’une phase de
conception.

4
Première partie –
Curriculum Vitae étendu
Cursus Universitaire............................................................................................................... 7
Enseignement ......................................................................................................................... 8
1. Heures de TD .................................................................................................. 9
2. Heures de Travaux Pratiques........................................................................... 9
3. Suivi de stages IG2I ...................................................................................... 10
4. Remarque générale........................................................................................ 10
5. Formation continue ....................................................................................... 10
Responsabilités..................................................................................................................... 11
Encadrement......................................................................................................................... 13
6. Thèses............................................................................................................ 13
7. Masters .......................................................................................................... 16
8. Projets d’élèves ingenieurs............................................................................ 17
Activités de recherche .......................................................................................................... 18
Publications .......................................................................................................................... 21
Revues internationales avec comité de lecture.......................................................... 21
Revues nationales avec comité de lecture ................................................................. 21
Conférences internationales avec comité de lecture et publication des actes ........... 21
Conférences nationales avec publication des actes et rapports divers : .................... 24
“Publish or Perish”, Author impact analysis:............................................................ 25
Projets de recherche ............................................................................................................. 26
1. Projet Européen SELCAT :........................................................................... 26
2. Projet RESCIPROC: ..................................................................................... 28
3. Projet ANR-VTT PANSAFER : ................................................................... 29
Activités d’animation scientifique ....................................................................................... 30

5
Les Réseaux de Petri P-temporels : modélisation et validation d’exigences temporelles

6
 CV Etendu – Simon Collart-Dutilleul

Simon COLLART-DUTILLEUL
Né le 02/09/1970, marié, trois enfants Tél : 03-20-67-60-31 (LAGIS)
2 rue du 19 mars – 62410 Wingles Email : dutil@[Link]

Cursus Universitaire

1999-2008 Maître de Conférences à l’Ecole Centrale de Lille, dans le département

IG2I, membre de l’équipe Système à Evénement Discrets (SED),
titularisation en juin 2000.
- Correspondant de l’équipe pour le pôle 2 (exploitation) et le pôle 6
(sécurité) du réseau d’excellence européen EURNEX (domaine
ferroviaire, 2005-07).
- Leader du workpackage 2.3 du projet européen SELCAT (ferroviaire)
- Correspondant du LAGIS, convention de recherche RESCIPROC
(Modèles et outils d’aide à la maîtrise des risques ferroviaires, 2008-10),
avec la SNCF et l’INRETS.
- Correspondant du LAGIS depuis 2006 pour le pôle régional CISIT
(Campus International Sécurité et Intermodalité des Transports) thème 2
axe 1 (depuis 2007).
- Membre élu du C.A. de Centrale, membre élu du conseil de département
de l’IG2I, membre élu de la Commission de Spécialistes de 2005 à 2007.
- Publications : 6 revues internationales, 3 revues nationales et 44
conférences.
- Encadrement : 2 thèses soutenues et 3 thèses en cours

1997 Doctorat d'Electronique, Electrotechnique et Automatique au Laboratoire

d’Automatique Micro-Informatique Industrielle à Annecy. Titre :
« Commande robuste d’ateliers à contrainte de temps de séjour: application
à la galvanoplastie »

1993 DEA d’Automatique Industrielle à l’INSA de LYON

1992 Maîtrise d'Electronique, Electrotechnique et Automatique, USTL Montpellier

7
Les Réseaux de Petri P-temporels : modélisation et validation d’exigences temporelles

Enseignement

1999-2008 Maître de conférences :

ƒ Cours d’informatique et d’informatique industrielle à l’IG2I et à Centrale Lille
¾ Aujourd’hui les enseignements concernent surtout l’architecture des
systèmes d’information en s’appuyant sur l’architecture JAVA/J2EE.
¾ Une réflexion sur la modélisation des systèmes est une autre
thématique d’enseignement (je suis responsable du cours UML de
troisième année).

ƒ Un nombre important d’heures d’enseignement a été effectué (Cf tableau ci-

dessous en équivalent Travaux Dirigés). C’est une conséquence de la stratégie
qui vise à proposer rapidement en enseignement les technologies émergeantes.
Il y a souvent carences de compétences et de ressources pédagogiques sur le
marché. C’est un avantage pour le diplômé, mais un défi pour le pédagogue
(voir la section suivante concernant les « Responsabilités »).

Année Niveau Licence Niveau Master Total

2006 / 2007 307 128 435

2007 /2008 258,6 123 381,6

ƒ 160 heures (TD) d’enseignements nouveaux à créer à la rentrée de 1999

(soit 80% du service initial). Les matières concernées tournaient autour des
systèmes d’exploitation, de la programmation multimédia.

1998-99 Maître auxiliaire au Lycée ECA, BTS Informatique Industrielle et de

Gestion. : deux mi-temps dans deux sections de BTS
1997-98 ATER à temps plein en informatique : réseaux et programmation objet à l’IUT
GTR (Génie des Télécommunications et Réseaux) d’Annecy –le-Vieux.
1996-97, 93-95 Informatique à l'université de Savoie : 3 années de monitorat
1995-96 Service National : enseignant en bureautique et réseaux multimédia, Paris au
Collège Inter Armée de Défense (CID). Il s’agissait de former aux outils
informatiques les futurs hauts cadres de l’armée Française, qu’ils soient
gendarmes, de l’armée de l’air ou de l’armée de terre.

8
 CV Etendu – Simon Collart-Dutilleul

Mon activité d’enseignement est soutenue, avec une production ou adaptation des supports de
cours continue.

Les intitulés et contenus des enseignements évoluent continuellement à l’IG2I ou j’effectue

l’essentiel de mon service. Aussi ai-je fais le choix de décrire une année particulière (cf
tableau ci-dessous).

Ce n’est donc qu’une photographie instantanée. En 2008, le cours de SOC3 n’existe plus et
les cours d’IOD4/SDR4 sont partiellement descendus en troisième année. Un nouveau cours
tournant autour des applications s’appuyant sur les réseaux informatique est créé.

Détail du service de 2006/2007

1. Heures de TD
Intitulé Titre du cours et contenu Nb heures
POO2 Programmation orientée objet, IG2I deuxième année 14
Application du cours de modélisation objet : programmation Java
UAS2 Utilisation avancée de systèmes IG2I deuxième année 8
Cours de système d’exploitation et manipulations sous unix
ISIM1 Introduction aux système d’Informations Multimédias, IG2I 32
première année.
Programmation événementielle, programmation web
BCO1 Bilan de compétence, première année 12
Epreuves orales et bilan de compétence
POO3 Programmation orientée objet, IG2I troisième année 16
Application du cours UML(MOO3) et API spécifique JAVA
SDR4 Systèmes de Données Relationnelles, Quatrième année, IG2I 6
option GI
Je fais spécifiquement dans ce cours l’accès aux données avec le
langage JAVA
MIN2 Micro Informatique, IG2I deuxième année 14
Programmation assembleur et C d’un PIC.
MOO3 Modélisation Objet, IG2I troisième année 10
MOO2 Modélisation Objet, IG2I deuxième année 10
On voit la partie statique de la modélisation UML en première année
et la partie fonctionelle et dynamique en deuxième année (je suis
responsable de ce cours)
PRT5 Projets techniques de cinquième année, IG2I option GI 27
On demande une mise en œuvre des outils d’intégration pour la
gesion d’une architecture J2EE.
INFO1 Informatique première année de Centrale Lille 36
Algorithmique et programmation en C : c’est le seul cours que
j’effectue à la formation « Ecole Centrale ».

2. Heures de Travaux Pratiques

Intitulé Titre du cours Nb heures
POO2 Programmation orientée objet, IG2I deuxième année 14
MPI1 Mini projet Informatique, IG2I première année 16
UAS2 Utilisation avancée de systèmes IG2I deuxième année 10
POO3 Programmation orientée objet, IG2I troisième année 16
ISIM1 Introduction aux système d’Informations Multimédias, 32
IG2I première année.
SDR4 Systèmes de Données Relationnelles, Quatrième année, 6
IG2I option GI
MIN2 Micro Informatique, IG2I deuxième année 16

9
Les Réseaux de Petri P-temporels : modélisation et validation d’exigences temporelles

SOC3 Programmation Socket (réseaux), IG2I troisième année 20

SDA1 Structure de donnée et algorithmique, IG2I première année 52
PALC3 Programmation avancée en langage C, IG2I troisième année 26
ILC4 Programmation en langage C++, IG2I option GI 20
IOD4 Introduction aux objets distribués, IG2I option GI 12

3. Suivi de stages IG2I

L1, 3 élèves de première année 3
L2, 2 élèves de deuxième année 4
L4, 1 élève de quatrième année 4
L5, 2 élèves de cinquième année 4

4. Remarque générale

On pourra remarquer l’absence de cours magistraux dans ce service. C’est en fait un choix
pédagogique effectué pour les matières informatiques. Un certain nombre d’intitulés
apparaissent d’ailleurs en heures de TD et TP indifféremment. En fait, la distinction n’est pas
faite formellement et les parties théoriques (cours à base de transparents) et pratiques (TP sur
machines) alternent à l’initiative de l’enseignant durant la séance. On appelle cela du Demi-
Séminaire.

5. Formation professionnelle

Enfin, le reste de mon enseignement se déroule à l’Ecole des Douanes de Tourcoing en

formation continue, pour les futurs informaticiens du service des Douanes (niveau Master).

L’Ecole Centrale est le prestataire des formations en informatique de cet établissement.

Le cours que j’enseigne s’intitule « JAVA » : En s’appuyant sur le langage JAVA, on va

jusqu’à la programmation internet et l’interface avec les bases de données. Le contenu de ces
cours est « sur mesure » en fonction du niveau des élèves (certains sont ingénieurs, d’autres,
employés de bureau ayant réussi un concours interne) et de leurs futures affectations. Je suis
seul intervenant de l’école sur ce cours.

10
 CV Etendu – Simon Collart-Dutilleul

Responsabilités

2006-2008 Responsable de l’option Génie Informatique de l’IG2I

- Validation des sujets de stages industriels effectués par les élèves

- Choix des grandes orientations pédagogiques dont :

i. Intégration d’un partenariat avec l’Université d’Artois en vue de
favoriser l’accession des élèves de l’option au master de
recherche.
ii. Construction d’un partenariat avec SUN autour de l’architecture
J2EE.
iii. Développement de partenariats industriels (Société informatique
SOPRA) : l’évolution des partenaires pédagogiques de l’école
(Utilisation d’un conseil de perfectionnement) est une des
attributions du responsable d’option.
¾ Enseignement de Java RT effectués par Sun en dernière
année
¾ Enseignement .Net effectués par Microsoft
¾ Introduction d’un cours en MDE en cinquième année
a. Intégration des partenaires industriels :
− cours : groupe Siemens,
− Travaux pratiques : groupe SOPRA
iv. Coordinateur du groupe de travail sur la réforme des
enseignements informatique à l’IG2I. La cohérence et
l’adéquation des enseignements des trois premières années avec
les deux dernières années d’options sont à la charge des
responsables d’options.
¾ Réflexions autour des approches orientées modèle
(MDE, MDA..).
¾ Etude d’une réorientation vers SOA d’une partie des
enseignements informatiques d’option

2006-2008 Membre élu du Conseil d’Administration de Centrale, membre élu du conseil

de département de l’IG2I.

2005-2007 Membre élu de la Commission de Spécialistes.

11
Les Réseaux de Petri P-temporels : modélisation et validation d’exigences temporelles

Synthèse

Cette section a donné lieu à la description d’un engagement assez complet dans le
management pédagogique. En effet, la première étape consiste à identifier un référentiel
pédagogique pertinent en s’appuyant notamment sur les partenaires industriels et
institutionnels. La deuxième étape consiste à proposer et à négocier ce projet devant les
instances décisionnaires (l’équipe de direction élargie de l’IG2I et le conseil de
département d’abord, puis le C.A. en dernière instance). Enfin la sélection de candidats en
adéquation avec ledit référentiel passe par la commission de spécialiste.

L’intégration de partenaires industriels répond à un triple besoin :

1. D’abord ces derniers interviennent dans des domaines pointus où le marché manque
de compétences. Seul un spécialiste peu justifier d’un retour d’expérience effectif sur
une matière aussi jeune.

2. Ensuite, le recul d’un industriel expérimenté sur ces domaines très dynamiques est
particulièrement précieux pour l’élève ingénieur. Il faut cependant noter que le point
de vue du chercheur n’est pas moins pertinent. Il faut que ces deux points apports
coexistent.

3. Enfin, c’est un bon moyen de recruter des compétences nouvelles.

12
 CV Etendu – Simon Collart-Dutilleul

Encadrement

6. Thèses
1) DHOUIBI Hedi
• Titre : Utilisation des Réseaux de Petri pour la régulation d’une
qualité : application à une manufacture de Tabac
• Co-directeurs: Craye E.. 50% Collart-Dutilleul S. 50%
Date de début : 01/11/2001
Date de fin : 16/12/2005
• Jury :
- Michel COMBACAU, Professeur des Universités, Université
Paul Sabatier : Rapporteur
- Mohamed ANNABI, Professeur des Universités, Ecole
Supérieure des Sciences et Techniques de Tunis : Rapporteur
- Etienne CRAYE, Professeur des Universités, Ecole centrale de
Lille : Directeur de thèse
- Jean-Louis BOIMOND, Professeur des Universités, Université
d’Angers : Examinateur
- Vincent COCQUEMPOT, Maître de Conférences HDR à
l’Université des Sciences et Technologies de Lille: Examinateur
- Lotfi NABLI, Maître assistant à L’Ecole Nationale d’Ingénieur de
Monastir : Examinateur
- Simon COLLART-DUTILLEUL, Maître de conférences à
L’Ecole Centrale de Lille : Co-encadrant

Cette thèse fournit un nouveau modèle à la littérature : les Réseaux de Pétri à Intervalles. Ils
sont présentés dans le chapitre 3 du rapport de recherche. Le contexte de cette thèse était très
intéressant car l’étudiant était le responsable de la ligne qui a servi de support au modèle
présenté dans la thèse. Nous avons donc pu fournir une validation industrielle forte en ayant
accès aux données réelles de production.
L’étudiant a fait sa thèse en 4 ans tout en gardant un poste de cadre dans l’industrie
tunisienne. Le doctorant a pu concrétiser son projet professionnel : il est aujourd’hui
enseignant dans le supérieur en Tunisie et il publie toujours [DHO08a], [DHO08b].
Un certain nombre de résultats ont été présentés en Tunisie, afin de valoriser nationalement
les travaux de l’étudiant.

2) JERBI Nabil
• Titre : Apports et intégration de la robustesse pour la supervision de
systèmes manufacturiers
• Co-directeurs: Craye E.50% Collart-Dutilleul S. 50%
Date de début :01/10/03
Date de fin : 08/12/06
• Jury :
- Noureddine ELLOUZE Professeur des universités de
l’université El Manar de Tunis, TUNISIE : Président

13
Les Réseaux de Petri P-temporels : modélisation et validation d’exigences temporelles

- Jilani KNANI Maître de Conférence en Tunisie (Professeur des

universités deuxième classe en France) de l’université El Manar
de Tunis, TUNISIE: Rapporteur
- Jean-Louis FERRIER, Professeur des universités, directeur du
Laboratoire d'Ingénierie des Systèmes Automatisés (LISA):
Rapporteur.
- Mohamed Naceur ABDELKRIM, Maître de Conférence en
Tunisie (Professeur des universités deuxième classe en France)
directeur de l'Ecole Nationale d'Ingénieurs de Gabès,(ENIG ),
Tunisie : Examinateur
- Etienne CRAYE, Professeur des universités, Ecole Centrale de
Lille, Laboratoire d'Automatique, Génie Informatique & Signal
(LAGIS), Directeur
- Mohamed BENREJEB, Professeur des universités, université El
Manar de Tunis, Directeur du Laboratoire de Recherche en
Automatique (LARA, TUNISIE : Directeur
- Simon COLLART-DUTILLEUL, Maître de Conférences de
l’Ecole Centrale de Lille : Co-Encadrant

3) MHALLA Annis

• Titre : Robustesse des ateliers à contraintes de temps.

• Co-directeurs: Craye E. 50% Collart-Dutilleul S. 50%

• Date de début : 01/10/07

• Date de fin : prévision au 01/10/10

Ces deux dernières thèses s’inscrivent dans une collaboration avec le laboratoire tunisien
LARA. Cette collaboration est documentée dans la section de présentation générale des
« activités de recherches ». Le corps de ce travail est commenté dans la section 3.2,
« Problématique de commande. » du chapitre 2 du mémoire de recherche.
Le contexte de travail de ces thèses où le doctorant est un enseignant en poste en Tunisie
demande une organisation très rigoureuse.
Jerbi Nabil maintient une activité scientifique de bon niveau [JER08a], [JER08b].
Certains travaux ont été et seront présentés sur le sol tunisien pour valoriser nationalement le
travail des doctorants.

Organisation des cotutelles avec la Tunisie

Ces trois premières thèses ont en commun un contexte singulier. En effet, l’étudiant est en
poste en Tunisie comme responsable de production, assistant à l’université ou technologue
dans un institut supérieur.
Le travail doit donc être décomposé suivant la nature des travaux : ceux qui peuvent être
développés « hors ligne » et ceux qui nécessitent la proximité du directeur de thèse.
Les périodes de disponibilité du doctorant introduisent un deuxième paramètre critique.
L’étudiant viendra pendant les périodes de fin d’année (en juillet) pour un séjour d’au moins
quinze jours pendant lequel la plupart des verrous scientifiques de l’année doivent être levés.
Il faut donc que le directeur de thèse soit disponible à au moins à 50% pour l’étudiant. Deux

14
 CV Etendu – Simon Collart-Dutilleul

étudiants de ce type ne peuvent donc être présents en même temps.

En dehors de ces périodes, le directeur de thèse doit se déplacer au moins une fois dans
l’année, pour éviter de laisser trop longtemps l’étudiant livré à lui-même (les contacts par
courriel ont leurs limites). J’ai donc effectué des séjours en Tunisie :
• une semaine en 2002
• une semaine en 2004.
• une semaine en 2005.
• deux fois une semaine (février et novembre) en 2006.
Les durées de déplacement du directeur de thèse sont donc courtes, pour être compatibles
avec les disponibilités de chacun, mais particulièrement denses et planifiées. Il faut effectuer
un savant dosage des temps consacrés aux différents étudiants pour permettre à chacun
d’intégrer les éléments nouveaux, puis de reconstruire.
Enfin, la soutenance de la thèse n’étant pas une fin en soi, cette organisation perdure
partiellement. Le lecteur constatera que les publications cosignées se poursuivent et que leurs
matières dépassent l’ancien sujet de thèse.

4) DEFOSSEZ François

• Titre : Modélisation discrète et formelle pour l'évaluation et la

validation de la sécurité des passages à niveaux.
• Co-directeurs: Bon P. 50% Collart-Dutilleul S. 50%
Date de début : 01/12/06
Date de fin : Prévision 01/10/09

5) FAKHFAKH Nizar
• Titre : Système multi-capteurs pour la détection et la reconnaissance de
situations potentiellement dangereuses : Application à la sécurité aux
passages à niveau
• Co-directeurs: Khoudour L. 40%, El Koursi M. 40% % Collart-
Dutilleul S. 20%
Date de début : 01/11/2007
Date de fin : Prévision au 01/11/2012

Ces deux thèses du domaine ferroviaire s’inscrivent dans le cadre des projets Européens
SELCAT et ANR-VTT PANSAFER qui s’intéressent au passage à niveau. Ces projets sont
présentés dans la section « Projets », page 26, et la synergie générale est décrite dans la
section « Activités de recherche », page 18. Ces travaux sont par ailleurs évoqués dans la
première section du chapitre 2 du mémoire de recherche (2, « Contribution au traitement des
exigences de sécurités temporelles : un exemple ferroviaire »).
La thèse de F. Defossez a déjà donné lieu à 5 publications de conférences dont je suis co-
auteur.

15
Les Réseaux de Petri P-temporels : modélisation et validation d’exigences temporelles

7. Masters
1) FATHI KAROUI Mohamed:
• Titre : Evaluation de la robustesse pour un atelier linéaire
• Co-directeurs: E. Craye. 50% Collart-Dutilleul S. 50%
• Année : 2003/2004
• Lien : collaboration tunisienne. Cette collaboration est décrite dans le
thème 2 de la section « Activités de recherche ». Une publication dans
le Congrès IFAC World Congress 2005 a notamment été effectuée.

2) LECURU Thibault:
• Titre : Supervision d'un atelier de production automobile
• Co-directeurs: E Craye. 50% Collart-Dutilleul S. 50%
• Année : 2004/2005
• Lien : collaboration avec Renault (Transport)

3) DEFOSSEZ François :
• Titre : Modélisation discrète et formelle pour l'évaluation et la
validation de la sécurité des passages à niveaux.
• Co-directeurs: Bon P. 50% Collart-Dutilleul S. 50%
• Année : 2005/2006
• Lien : Projet SELCAT Ferroviaire

Il faut noter que ce dernier travail a ouvert sur un travail de thèse de doctorat (voir le
paragraphe précédent sur l’encadrement des thèses).

16
 CV Etendu – Simon Collart-Dutilleul

8. Projets d’élèves ingenieurs

Seuls les travaux ayant un lien direct avec les projets de recherche sont mentionnés dans ce
paragraphe. L’encadrement de stagiaires fait partie de l’activité normale d’enseignement. Il
m’est arrivé d’être tuteur de 13 stagiaires ingénieurs la même année. La liste intégrale, sur 9
années à l’Ecole Centrale, comporte sensiblement 90 noms. Ces stagiaires sont l’occasion de
régler l’adéquation de la formation avec les attentes le milieu professionnel (voir les sections
« Enseignement » et « Responsabilités »).

1) Projet Client IG2I option Réseaux- multimédia (6 élèves):

• Titre : Transmission Technologies : Decision Analysis and Resolution
• Encadrant: Collart-Dutilleul S. 100%
• Année : 2005/2006
• Lien avec la recherche : Projet Européen SELCAT. Ces travaux ont
permis d’initier les débats de la tâche 2.3.

2) Projet Client IG2I option Génie-Informatique (4 élèves):

• Titre : Etude d’un outil CMS (« Content Managment System » ou
« Système de gestion de contenu ») pour la traçabilité des règles de
chantiers
• Encadrant: Collart-Dutilleul S. 100%
• Année : 2007/2008
• Lien avec la recherche : Projet RESCIPROC. L’objectif est de proposer
une maquette fonctionnelle qui fera réagir les experts du métier.

17
Les Réseaux de Petri P-temporels : modélisation et validation d’exigences temporelles

Activités de recherche

1998-2008 Mes activités suivent trois thèmes directeurs :

1. La constitution d’un axe de coopération internationale sur la commande
en présence de contraintes de temps.
2. La généralisation des avancées obtenues en galvanoplastie à d’autres
applications.
3. L’élargissement fonctionnel de l’utilisation des propriétés mathématiques
RdP P-temporels.

Ces thèmes sont détaillés ci-dessous :

1. C o o p é r a t i o n i n t e r n a t i o n a l e sur la commande robuste et

flexible à contrainte de temps. Cet axe concerne trois équipes de
recherches :

A. L’université Canadienne de Moncton s’intéresse à l’ordonnancement

et à la production flexible.
ƒ 4 conférences internationales co-signées (IECIE’01, SMC’02,
MCPL’04, IMACS’05, revue IJMSP’07)

B. Le LISTIC de l’université de Savoie consolide les acquis de la

galvanoplastie en s’appuyant sur des collaborations industrielles.
ƒ 9 conférences internationales et une revue (SM’C98, ECC’99,
revue JESA’99, IFAC’99, MCPL’00, LSS’01, SMC’02, CESA’03,
MCPL’04, IMACS’05, revue IJMSP’07).

C. Le LAGIS, Ecole Centrale de Lille valorise son expérience de

l’utilisation des RdP
ƒ Toutes mes publications comprises entre 1998 et 2001 sont co-
signées par au moins un membre de ces autres laboratoires

Ce travail coopératif s’est vu reconnaître en 2001 par l’université de Moncton.

18
 CV Etendu – Simon Collart-Dutilleul

2. G é n é r a l i s a t i o n d e l a c o m m a n d e r o b u s t e de la
galvanoplastie à d’autres applications.

A. Les premiers résultats concernent l’industrie alimentaire (MCPL’97,

BASYS’98, LSS’01) et sont cosignés par Chetouane F. de l’université
de Moncton. Une autre assise applicative a été fournie par un projet
régional « MOST » avec le port fluvial de Lille, auquel j’ai participé.

B. Plusieurs outils du formalisme des Réseaux de Petri sont utilisés pour la

conduite robuste de systèmes discrets. Un master de recherche (F.
Karoui) et la thèse de Jerbi N. (co-tutelle avec l’université de Tunis El
Manar soutenue en 2006) ont amené 10 conférences, 2 revues publiées
(IJCCC et SIC ) et une revue à paraitre (JESA).

Trois sessions invitées ont aussi été organisées :

ƒ « Industrial application of time Petri Nets » au congrès IMACS’05
en collaboration avec le LAAS (M. Combacau)
ƒ « Analysis and evaluation of time extension of Petri Nets » au
congrès CESA’06 en collaboration avec J. LEE (Changwon
National University, Corée)
ƒ « Réseaux de Petri et contraintes temporelles - Outils et
applications » au congrès CIFA’A08 en Collaboration avec P
Moreau du LISTIC (Responsable du groupe RdP du GDR MACS).

C. Le dernier domaine applicatif concerne le ferroviaire. Deux thèses en

cours prennent place dans le cadre d’un projet européen SELCAT.
Une intégration dans les projets régionaux CISIT (deux projets en
phases de démarrage) devrait créer une synergie intéressante avec le
projet ANR PANSAFER (labélisé par le pôle de compétitivité Itrans).
ƒ 5 conférences ont déjà été publiées et deux sessions invitées ont
été organisées :
1. Congrès CESA’06 : « Discrete Event modelling for
exploitation of transport systems » en collaboration avec
l’université de Rome «La sapienza » (S. Impestato).
2. Congrès CIFA’08 « Sécurité routière et ferroviaire :
rencontre au passage à niveau » en collaboration avec
avec le directeur de l’unité de recherche INRETS/ESTAS,
El-Miloudi El Koursi.
ƒ Collaboration en cours avec la SNCF et l’INRETS/ESTAS dans le
cadre de la convention de recherche RESCIPROC (Modèles et
outils d’aide à la maîtrise des risques ferroviaires).

19
Les Réseaux de Petri P-temporels : modélisation et validation d’exigences temporelles

3. E n r i c h i s s e m e n t f o n c t i o n n e l de la portée des propriétés

mathématiques. Élargissement de l’étude des RdP P-temporels vers les RdP
à contraintes.

Un étudiant en thèse (Dhouibi H, soutenue en 2005) dont les recherches

prennent pour support la manufacture de tabac de Kairouan :

7 conférences et 3 revues acceptées et une revue soumise (e-JTA).

20
 CV Etendu – Simon Collart-Dutilleul

Publications

Revues internationales avec comité de lecture

1. N. Jerbi, S. Collart-Dutilleul, E. Craye et M. Benrejeb, "Time Disturbances and Filtering
of Sensors Signals in Tolerant Multi-product Job-shops with Time Constraints",
International Journal of Computers, Communications & control, Vol. I, n° 4, pp. 61–72,
2006.
2. N. Jerbi, S. Collart-Dutilleul, E. Craye et M. Benrejeb “Localization Algorithm of Time
Disturbances in Tolerant Multi-product Job-shops” Studies in Informatics Control (SIC)
Vol 16 N°1, 2007
3. Chetouane F; Denat J-p; Collart-Dutilleul Simon , “A flexible control for manufacturing
automated electroplating lines”, International Journal for Manufacturing Science &
Production, 2007, VOL 8; NUMB 1, pages 33-48
4. H. Dhouibi, S. Collart-Dutilleul, L. Nabli, E. Craye “ Using Interval Constrained Petri
Nets for Reactive Control Design” International Journal for Manufacturing Science &
Production, à paraître.
5. Nabli L., Dhouibi H, Collart-Dutilleul S., Craye E., "Using Petri Net models for
regulation: case of assembly process mechanics" International review for Automatic
Control, à paraître.
6. Nabli L., Dhouibi H, Collart-Dutilleul S., Craye E., "Using Interval Constrained Petri Nets
for Regulation of Quality: The Case of Weight in Tobacco Factory", IJICS -
International Journal of Intelligent Control and Systems, à paraître.

Revues nationales avec comité de lecture

1. Collart-Dutilleul S., Denat J.P., Khansa W. « Commande robuste d'un atelier à flot sans
stocks et sans attentes» APII, Vol 28 n°6, 1994, pp 625-644. Période de thèse
2. Collart-Dutilleul S.,. J.P. Denat. « Réseaux de Petri P-temporels et commande robuste
d'ateliers avec contraintes de temps de séjours ». JESA vol.33, n° 5-6, 1999, pp 593-610.
3. Jerbi Nabil; Collart-Dutilleul Simon; Craye Etienne; Benrejeb Mohamed, « Commande
robuste des ateliers manufacturiers à contraintes de temps », Journal Européen des
Systèmes automatisés (JESA) , à paraître

Conférences internationales avec comité de lecture et

publication des actes
1. Collart-Dutilleul S., Denat J.P. "Use of Periodic Controlled Petri Net for Discrete event
Dynamical System Control Synthesis", ECC95, Rome, Septembre 1995, pp 2060-2065.
2. Khansa W., Denat J.P. et Collart-Dutilleul S. "Analysis of robustness using the periodic
functioning of Timed Event Graphs" CIMAT96, Grenoble, France, p180-185.
3. Khansa W., Denat J.P. et Collart-Dutilleul S. "P-Time PN for Manufacturing Systems"
Congrès IEE WODES’96, Edinburg , UK, p94-102.
4. Pascal Aygalinc, Soizick Calvez, Wael Khansa, Collart-Dutilleul S. "Using P-Time PN
for robust control of manufacturing systems with staying time constraints" MIM’96 IFAC
workshop, février 1996, Vienne, Autriche, pp 75-80.

21
Les Réseaux de Petri P-temporels : modélisation et validation d’exigences temporelles

5. Collart-Dutilleul, S., J.P Denat. "P-time Petri Nets and robust control of electroplating
lines using several hoists". CIS’97 congrès IFAC-IFIP-IMACS, Belfort, Mai 1997,
France, pp 501-506.
6. Collart-Dutilleul S. ,Chetouane F., J.P Denat. "Control robustness towards staying time
constraints applied to food distribution". MCPL’97 congrès IFAC-IFIP, Canpinas, Aout
1997, Brazil.
7. Aygalinc P., S. Calvez, S. Collart-Dutilleul, W. Khansa "A robust control of
manufacturing systems to smooth disturbances", MCPL’97 congrès IFAC-IFIP, Canpinas,
Aout 1997, Brazil.

*********Fin de la période de thèse********

8. Collart-Dutilleul S. and Chetouane F. "Human Integration and participation in time

constraint workshop with limiting transportation resources", IEEE BASYS'98, August
1998.
9. Collart-Dutilleul S. and Denat J-P. "P-time petri Nets and the Hoist Scheduling Problem"
invited session "Optimisation of industrial Systems", IEEE SMC' 98, San-Diego, October
1998.
10. Collart-Dutilleul S.,. J.P. Denat. "Control robustness and electroplating line with multi-
manufacturing process ", IFAC99 Worldcongress, Bejing , Jully 1999.
11. Collart-Dutilleul S.,. J.P. Denat. "Integration of the chemist expertise in electroplating line
Automation", ECC’99 Karlsruhe.
12. Denat J.P., Collart-Dutilleul S., Marteau S., "A Static Robust Control of an electroplating
line with a periodic output objective", 2nd Conference IFAC/IFIP/IEEE Management and
Control of Production and Logistics (MCPL'2000), France, Grenoble, July 5-8, 2000
13. Chetouane F., Denat J-P, Collart-Dutilleul S., “A robust decomposition and control
approach for Multi-Hoist surface treatment lignes” Proceedings of the 28TH International
Conference on Computers and Industrial Engineering. Florida, U. S. A., March 2001.
14. Collart-Dutilleul S., J.P. Denat. “Periodic patterned control and periodic output flows” 9th
IFAC/IFORS/IMACS/IFIP on Large Scale Theory and Application LSS 2001, Bucarest,
Roumanie, juillet 2001, pp 108-113.
15. Collart-Dutilleul S., Denat J-P, Chetouane F. « External Robust Control of Eletroplating
Line » Conference on Systems, Man, and Cybernetics (SMC’02), Hamamet, Tunisie,
2002.
16. Collart-Dutilleul S., H. Dhouibi, E. Craye, « Internal Robustness of Discret Event System
with internal constraints in repetitive functionning mode ». ACS’2003 conference,
Miedzyzdroje, October 2003, Poland.
17. Collart-Dutilleul S. and Denat J-P “Valid transient mode with respect to time constraints
in a bufferless flow shop with single transportation resource” Computational Engineering
in Systems Applications cesa2003, Lille, France, 2003.
18. Collart-Dutilleul S., P. Yim., “Time window specification and validation with Petri nets”,
9th IEEE International Conference on Emerging Technologies and Factory Automation,
Lisbone, pp232 - 237 vol.1, Portugal, 16-19/09/2003.

22
 CV Etendu – Simon Collart-Dutilleul

19. Collart-Dutilleul S., E. Craye,., “ Performance and Tolerance evaluation with respect to
forbidden states” Proc. of IFAC Safeprocess'03, Washington D.C., Juin 2003.
20. N. Jerbi, S. Collart-Dutilleul, E. Craye et M. Benrejeb, "Robust Control of Multi-product
Job-shops in Repetitive Functioning Mode", IEEE Conference on Systems, Man, and
Cybernetics (SMC’04), The Hague, Vol. 5, pp. 4917–4922, Octobre 2004.
21. Collart-Dutilleul S., H. Dhouibi, E. Craye. « Tolerance analysis approach with interval
constrainted Petri nets ». European Simulation and Modelling Conference (ESMc) 2004
conference, Paris.
22. Chetouane F., Collart-Dutilleul S., Denat J-P “Modelling And Analysis Of Time
Constraints Using P-Time Petri Nets For A Multi-Hoist Electroplating Line”, Conference
IFAC/IFIP/IEEE Management and Control of Production and Logistics MCPL’04, pp.
279-284, Santiago (Chili), novembre 2004.
23. H. Dhouibi, S. Collart-Dutilleul, L. Nabli, E. Craye « Utilisation de la simulation pour
valider la robustesse d’un système hybride » MHOSI’05, Méthodologies et Heuristiques
pour l’Optimisation des Systèmes Industriels », Hammamet Tunisie, Avril 2005.
24. H. Dhouibi, S. Collart-Dutilleul, E. Craye « Computing intervals of Intervals Constrained
Petri Nets » 17 th IMACS World Congress, Paris, Juillet 2005.
25. H. Dhouibi, S. Collart-Dutilleul, L. Nabli, E. Craye « Méthode de Surveillance Indirecte
d’un Système de Production par la logique floue : cas d’une manufacture de tabac ».
JISPME05, Journées Internationales Scientifiques et Pédagogiques de Mécanique et
d’Energétique », Tozeur Tunisie, Décembre 2005.
26. Denat J.P., Collart-Dutilleul S., Chetouane F., “Cycle time calculation for electroplating
lines steady state operation using P-time Strongly Connected Event Graphs”, 17th IMACS
World Congress (IMACS'2005), CD-ROM T4-1-99-0639, Paris, France, July 2005.
27. Fathi Karoui Mohamed, Collart-Dutilleul S., Craye E., « Robustesse des ateliers linéaires:
cas d'un atelier de jouets »., SETIT'2005, 27-31 march 2005, Sousse Tunisie.
28. Fathi Karoui Mohamed, Collart-Dutilleul Simon, Craye Etienne, "Robustness of the linear
workshop to the change of ratio", 16th IFAC World Congress ,CD-ROM Th-A17-
TO/1,Prague, Czech Republic, July 4-8, 2005.
29. N. Jerbi, S. Collart-Dutilleul, E. Craye et M. Benrejeb, "Observability of Tolerant Multi-
product Job-shops in Repetitive Functioning Mode", 17th IMACS Word Congress on
Scientific Computation, Applied Mathematics and Simulation, Paris, CD ROM, Juillet
2005.
30. N. Jerbi, S. Collart-Dutilleul, E. Craye et M. Benrejeb, "Robustesse d’un atelier à tâches
sans assemblage en fonctionnement répétitif", Séminaire d’Automatique – Industrie
(SAI’06), Gabès – Matmata Tunisie, CD ROM, Février 2006.
31. N. Jerbi, S. Collart-Dutilleul, E. Craye et M. Benrejeb, "Commandabilité de systèmes
manufacturiers à contraintes de temps", JTEA’06, Hammamet Tunisie, CD ROM, Mai
2006.
32. N. Jerbi, S. Collart-Dutilleul, E. Craye et M. Benrejeb, "Intégration de la robustesse dans
la supervision de systèmes manufacturiers à contraintes de temps", Conférence
Internationale Francophone d’Automatique (CIFA’06), Bordeaux, CD ROM, Mai 2006.

23
Les Réseaux de Petri P-temporels : modélisation et validation d’exigences temporelles

33. Nabli L., Dhouibi H., Collart-Dutilleul S., Craye E., « Utilisation de la logique floue pour
la surveillance prédictive indirecte d’un système de production : cas d’une manufacture de
tabac ». JTEA 2006.,, Tunisie, Mai 2006.
34. N. Jerbi, S. Collart-Dutilleul, E. Craye et M. Benrejeb, "Localization of Time
Disturbances in Tolerant Multi-product Job-shops Without Assembling Tasks",
Computational Engineering in Systems Applications (CESA’06), Beijing, pp. 45–50,
Octobre 2006.
35. Collart-Dutilleul, F. Defossez, P. Bon "Safety requirements and p-time Petri nets: A
Level Crossing case study" : Conférence, Computational Engineering in Systems
Applications (CESA’06), Beijing, CD-ROM T4-I-35-0490 , Octobre 2006.
36. Defossez F., Collart-Dutilleul S., P. Bon “Formal methods and temporal safety
requirement: a level crossing application”, Forms/format'07, Braunschweig, 26-28 Janvier
2007, Allemagne.
37. Risto Öörni, Simon Collart-Dutilleul , Louahdi Khoudour , Marc Heddebaut “Use of fixed
and wireless communication technologies in LC safety application”,Proceeding of 2nd
SELCAT Safer European Level Crossing Appraisal and Technology Workshop,
Marrakech , , Maroc, 22 Novembre 2007.
38. S. Collart-Dutilleul, N. Jerbi,, E. Craye et M. Benrejeb, “Robust Control of Multi-product
Job-shops in Repetitive Functioning Mode”, proceeding of MCPL`07, Sibiu, Roumanie,
septembre 2007.
39. Defossez F., Collart-Dutilleul S., P. Bon « Synthèse de contrôle de systèmes à
événements discrets temporisés : application au passage à niveau » Conférence
Internationale Francophone d’Automatique CIFA08, Bucarest (Roumanie), septembre
2008.
40. Defossez F., P. Bon, Collart-Dutilleul S., «Taking advantage of some complementary
modeling methods to meet critical system requirement specification» Eleventh
International Conference on Computer System Design and Operations in the Railway and
Other Transit Systems (COMPRAIL 2008), Tolède (Espagne), Septembre 2008
41. Defossez F., Collart-Dutilleul S., P. Bon « Temporal requirements checking in a safety
analysis of railway systems », ”, Eleventh International Conference on Computer System
Design and Operations in the Railway and Other Transit Systems Forms/format'08),
Budapest Hongrie, Octobre 2008.
42. H. Dhouibi, S. Collart-Dutilleul, L. Nabli, E. Craye, «Utilisation des Réseaux de Petri à
Intervalles pour la régulation: cas d’assemblage mécanique » Conférence Internationale
Francophone d’Automatique CIFA08, Bucarest (Roumanie), septembre 2008.
43. N. Jerbi, S. Mhalla A., Collart-Dutilleul, E. Craye et M. Benrejeb, « Rejet de perturbation
et commandabilité de systèmes manufacturiers à contraintes de temps » Conférence
Internationale Francophone d’Automatique, CIFA08, Bucarest (Roumanie), septembre
2008.

Conférences nationales avec publication des actes et rapports

divers :
1. Collart-Dutilleul S. "Contribution à l’observation de la propagation de défaillances dans
un système par les Réseaux de Petri Colorés" rapport de DEA, LAI INSA de Lyon, 1993.

24
 CV Etendu – Simon Collart-Dutilleul

2. Collart-Dutilleul S., Denat J.P. "Hierarchical Control and Robustness" Rapport interne du
LAMII, 1995.
3. Collart-Dutilleul S., Denat J.P. "Robustesse de conduite d’ateliers à contraintes
temporelles" Rapport interne du LAMII, 1995.
4. Collart-Dutilleul S., Denat J.P. "Conduite robuste d'atelier sans stocks et sans attentes"
conf GT3, Bulletin n°10, Paris, Janvier 1995.
5. Collart-Dutilleul S. « Commande robuste d’ateliers à contrainte de temps de séjour:
application à la galvanoplastie» mémoire de thèse, Université de Savoie, LAMII, 15
décembre 1997.
• - Rapporteurs : Gourgand M. et Ladet P.
• - Examinateurs : Denat J.P., Foulloy L., Frydlender L.
• - Président : Ferrier J.L.
6. Livrable du projet SELCAT: D2 “Report about Examination of actual and potential
Technologies for Level Crossings” Parmi les co-auteurs: S Collart-Dutilleul
7. Rapport de contrat RESCIPROC : « Management de la sécurité au sein de la SNCF : le
système de prescription ».

“Publish or Perish”, Author impact analysis:

Papers: 35 Cites/paper: 2.20 h-index: 3 AWCR: 7.37

Citations: 77 Cites/author: 30.00 g-index: 6 AW-index: 2.71
Years: 15 Papers/author: 15 Hc-index: 2 AWCRpA: 2.66
Cites/year: 5.13 Authors/paper: 2.83 hI-index: 1.13
hI,norm: 2
Remarques:
Les analyses sont faussées par des erreurs dans les référencements faits par des tiers : il n’y a
en fait que 31 publications différentes et non 35. Certains auteurs me référencent en effet sous
« S. C. Dutilleul » au lieu de « S. Collart-Dutilleul »
De cette façon, certains articles apparaissent deux fois. En corrigeant ces erreurs de
référencement, on obtient les valeurs suivantes :
Cites per paper : 2,48
H-index : 4
G-index : 7
Le papier initial de présentation des RdP P-temporel publié dans WODES’96 est référencé
31 fois dans “Publish and Perish”. Ce fait n’a absolument aucun impact sur mon H-index.
Comme il n’existe essentiellement qu’une seule publication centrée sur la présentation des
RdP P-temporel, cette dernière à un taux de référencement très important. Les applications
qui sont publiées poussent visiblement vers l’utilisation de l’outil (et donc de sa définition).

25
Les Réseaux de Petri P-temporels : modélisation et validation d’exigences temporelles

Projets de recherche

Le choix a été fait de ne décrire dans cette section que les projets où l’auteur peut revendiquer
une responsabilité personnelle clairement identifiée. Les participations aux projets régionaux
émanant de CISIT (Campus International pour la Sécurité et l’Intermodalité des Transports)-
POPliv par exemple- ou auparavant les projets ST2, ne sont pas documentés pour cette raison.

1. Projet Européen SELCAT :

• Titre : Safer European Level Crossing Appraisal and Technology
• Partenaires:
18 partenaires de 9 pays Européens
6 partenaires associés venant de Chine, Russie, Inde, Maroc, et Japon.
• Nature: Projet Européen FP6 2002 Transport 3B Co-ordination Action
Coordinateur du Projet: Prof. Dr.-Ing. E. Schnieder, Technical University
Braunschweig, Institute for Traffic Safety and Automation Engineering
(Allemagne)
• Work Package 2 : “Level Crossing Technology providing an analysis of the
relevant FP6 projects results for identification of new technologies to improve
the level crossing safety”
• Tâche 2.3 : “(..) how to increase the human awareness and respect to the level
crossing safety system connected with proposed technical solutions.(..)”
• Durée : 24 mois
• Rôle personnel : Animateur de la tâche 2.3 du Work Package 2

Le rôle d’animateur dans un projet Européen d’une telle ampleur peut être décomposé en trois
parties.
1. D’une part, il a la charge de faire l’interface avec les autres activités du projet.
¾ Ainsi, j’ai assisté et effectué une présentation en septembre 2007 dans le cadre du
work package 1 en Bulgarie. Il s’agissait là de bien gérer la transition avec le work
package qui précédait le nôtre. De la même façon, je me suis rendu en Allemagne
en Février 2008 pour faciliter un passage de témoin avec le work package 3 (alors
que le livrable concernant ma tâche était déjà rédigé).
¾ Evidemment, j’ai assisté à toutes les réunions du work package 2 et j’avais une
présentation spécifique pour chacune dont l’architecture générale était : (1) rapport
d’avancement - (2) perspectives à cours terme.
¾ J’ai effectué des présentations au workshop qui scellait la fin du work package 2 :
l’une en temps que responsable de tâche, l’autre comme contributeur technique.

26
 CV Etendu – Simon Collart-Dutilleul

2. D’autre part, il faut créer des synergies et proposer une architecture dorsale au travail
qui va être effectué par les différents participants de la tâche. Des arbitrages doivent
être effectués en fonction de nombreux critères :
1. Quelle est la visibilité d’un partenaire sur le domaine concerné ?
2. Quelle est la compétence effective du partenaire et de ses représentants au
regard de la tâche ?
3. Quels crédits a-t-il obtenus pour participer au projet ? Ce dernier est parfois
aimablement encouragé à justifier sur le terrain les hommes-mois qu’il a
demandés et obtenus.
4. Quels bénéfices annexes peuvent amener un partenaire à prendre une
responsabilité ? Je donnerai deux exemples.
¾ Le premier, c’est le mien. J’ai accepté la responsabilité de la tâche 2.3 car
je souhaitais asseoir la visibilité Européenne du laboratoire LAGIS/EC-
Lille auprès des participants aux pôles 2 et 6 d’Eurnex. Sur les deux projets
suivants (RESCIPROC et PANSAFER), je dispose de fait d’une bien
meilleure visibilité et de moyens plus en rapports avec ma contribution.
¾ Le deuxième exemple, c’est la possibilité de retombées scientifiques. Un
jeune ingénieur de recherche sera sensible à cet aspect.
3. Enfin, il faut savoir arrêter les travaux pour en faire une synthèse à intégrer dans le
livrable final (En l’occurrence il s’agit du D2 consigné dans la rubrique « Conférences
nationales avec publication des actes et rapports divers » de la section « Publication »
de ce mémoire).

En ce qui concerne la tâche 2.3, parmi les acteurs pertinent se trouvaient , le professeur
Sato (Railway Technical Research Institute of Japan) qui amenait un éclairage original sur
de nombreuses techniques (le Japon semble en avance quant à la mise ne œuvre de
solutions techniques sur le passage à niveau), les chinois de l’institut CARS (China
Academy of Railway Science ) auteurs de rapport concernant les technologie sans fils,
VTT (Centre de recherche technique Finlandais) et son expertise télécom,
l’INRETS/LEOST (France) et MULTITEL (Centre de recherche au tour du traitement du
signal situé en Belgique) pour l’analyse d’image. Enfin, une expertise sur le facteur
humain a été fournie par l’Ecole Mohammadia d’Ingénieurs "EMI" (Maroc).
Les gestionnaires d’infrastructure et les opérateurs routiers et ferroviaires (DB, RFI etc…)
ainsi que les opérateurs ferroviaires (ADAC, UIC..) ne sont pas mentionnés ici. Leur
implication effective est pourtant le garant de l’adéquation des travaux proposés avec la
réalité du métier. L’intégration des métiers et des cultures est donc un facteur clé pour la
réussite de cette classe de projets.
L’utilisation de conférences téléphoniques et les outils Internet sont une aide précieuse au
suivi du projet, tant les acteurs sont nombreux et dispersés.
Enfin, en dépit de toutes ces spécificités, la réussite d’un projet passe en grande partie par
la constitution d’une équipe qui prend un réel plaisir à travailler ensemble. Dans ce cas, le
projet du jour est le tremplin de ceux de demain. C’est précisément ce que j’attendais de
SELCAT. Je pense ne pas avoir échoué...
¾ J’ai aujourd’hui deux thèses en cotutelle avec l’INRETS, sur le passage à niveau.
Le lecteur intéressé par cette problématique de recherche lira la première partie du

27
Les Réseaux de Petri P-temporels : modélisation et validation d’exigences temporelles

deuxième chapitre de la partie recherche du présent mémoire. Enfin, SELCAT se

prolonge nationalement par un projet ANR-VTT qui est décrit dans les lignes qui
suivent. J’ai d’ailleurs organisé à Bucarest (CIFA’08) une session sur la sécurité
autour du passage à niveau prenant en compte les aspects ferroviaires et routier
avec le directeur de l’INRETS/ESTAS. C’est typiquement le sujet du projet
PANSAFER qui va démarrer.
¾ J’ai par ailleurs organisé à Pékin au congrès CESA’06 une session sur les modèles
à événements discrets utilisés pour l’exploitation ferroviaire en collaboration avec
le leader de la tâche 2.2 Stefano Impestato de l’université de Rome « La Sapienza »
(DITS). C’est précisément l’objet du projet de recherche RESCIPROC.
Les retombées de cette implication dans SELCAT sont donc très positives, en termes de
collaborations passées et futures.

2. Projet RESCIPROC:
• Titre : RESCIPROC :«Modèles et outils d’aide à la maîtrise des risques
ferroviaires»
• Nature: Convention de recherche (04-09-2007)
Coordinateur du Projet: Directeur de Recherche J. Rodriguez, INRETS/ESTAS
• Partenaires : SNCF, INRETS, Ecole Centrale de Lille
• Effort total : 20 Hommes-mois
• Durée : 24 mois
• Rôle personnel : Responsable de la tâche 5 : « Raffinements et traçabilité »

Bien que ce projet se situe dans un cadre strictement national, sa thématique se situe
exactement à l’intersection des centres d’intérêts du pôle 2 « Exploitation » et pôle 6
« Sécurité » auquel j’ai participé dans le réseau EURNEX. Il rentre particulièrement bien dans
la thématique TA3 « Modélisation des règle » du Pôle 2 que j’ai animée. Il faut d’ailleurs
remarquer que le responsable du Pôle 6 d’EURNEX n’est autre que Miloudi El Koursi,
directeur de l’Unité de recherche ESTAS de l’INRETS et partenaire du projet. Ce projet se
situe clairement dans un domaine où l’ingénierie des exigences de sécurité devrait donner des
résultats intéressants. Cet aspect est discuté dans l’introduction du mémoire de recherche.

28
 CV Etendu – Simon Collart-Dutilleul

3. Projet ANR-VTT PANSAFER :

• Titre : PANsafer « Vers un passage à niveau plus sûr »
• Nature: Projet ANR-VTT 2008 (Véhicule pour les Transports Terrestres)
• Partenaires : INRETS, Ecole Centrale de Lille et Université Technologique
de Belfort Montbéliard, l’opérateur de transport de référence sur le sujet
(RFF/SNCF), un bureau d’Etudes institutionnel (CERTU) et une PME
industrielle (INFODIO).
• Budget et efforts total prévu : 2 872 036 Euros/137,00 homme-mois
Dont EC-lille prévu: 166 943 Euros /21 homme-mois
• Durée : 36 mois
• Rôle personnel : Responsable de la tâche 5 : « Implémentation et Evaluation»
Ce projet est la suite naturelle des préconisations du projet SELCAT. En s’appuyant sur une
solide étude Européenne, une implantation nationale sur un site de production sera effectuée.
De manière anecdotique pour le projet, mais particulièrement intéressante pour ma thématique
de recherche, une évaluation à l’aide d’outils formels est prévue. Elle pourra s’appuyer sur
deux thèses en cours et un post-doc qui reste à recruter.

29
Les Réseaux de Petri P-temporels : modélisation et validation d’exigences temporelles

Activités d’animation scientifique

- Correspondant de l’équipe pour le pôle 2 (exploitation) et le pôle 6 (sécurité) du réseau

d’excellence européen EURNEX (domaine ferroviaire) de 2005 à 2007.

- Animateur de la thématique TA3 « Modelling operation rules » du pôle 2 d’EURNEX de

2005 à 2007.
Un pré-projet a été proposé par le LAGIS sur les règles opératoires du personnel de
bord pour les trains transfrontaliers. Ce pré-projet a été abandonné au profit du pré-
projet AURORE ("Assessment for the Use of Rules for Operations Running
ERTMS"), porté par la DLR (German Aerospace Center, Institute of Transportation
Systems). Ce pré-projet est en attente d’un meilleur soutien des gestionnaires
d’infrastructures et opérateurs (UIC, DB..).
Le LAGIS et l’INRETS travaillent nationalement avec la SNCF autour du projet
RESCIPROC sur une sous-thématique moins ambitieuse.
- Correspondant du LAGIS pour le pôle régional CISIT (Campus International Sécurité et
Intermodalité des Transports) thème 2 axe 1 depuis 2006.

Relecture d’articles pour les conférences : SMC’02, CESA’03, WODES’04, IMACS’05,

CESA’06, CIFA’06, CIFA’08 et pour un numéro spécial « Réseau de Petri » de IEEE
Transaction on Automatic Control (relecture en 2001).

Chairman de session dans les congrès :

• SMC’02 (1 session)
• SMC’04 (2 sessions)
• IMACS’05 (2 sessions invitées thématique RdP),
• CESA’06 (2 sessions invitées, 1 thématique RdP+ 1 thématique Ferroviaire),
• CIFA’08 (2 sessions invitées, 1 thématique RdP + 1 thématique ferroviaire)

Organisations de sessions invitées :

• IMACS’05 : deux sessions « Réseau de Petri et le temps »
• CESA’06 : une session « Réseau de Petri et le temps », une session ferroviaire
• CIFA’08 : une session « Réseau de Petri et le temps », une session « Transport »

30
 CV Etendu – Simon Collart-Dutilleul

Synthèse

Au-delà de l’organisation de sessions, la finalité de ces activités est de promouvoir la

recherche utilisant les outils Réseaux de Petri P-temporel et Réseaux de Petri à Intervalle. La
démarche est la même pour les SED et les transports.

La soutenance de deux thèses concernant les P-temporels au LISA est un signe encourageant
pour la pertinence de l’outil ([OUE05, [DID05]).

De la même manière la publication d’une revue internationale sur l’utilisation des Réseaux de
Petri à Intervalle par le Laboratoire Tunisien ASTID est un indicateur positif de diffusion du
modèle [NAB08].

D’un point de vue plus pragmatique, les systèmes à contraintes de temps ou à contraintes
d’intervalles sont une thématique de recherche particulièrement pertinente. Par contre, il faut
assumer que ce sujet est pointu et spécialisé. L’organisation de sessions est un moyen efficace
de réunir les spécialistes d’horizons divers dans une même salle et de permettre des débats
enrichissants. L’inconvénient du procédé est le peu de retour visible de l’activité.
L’organisation de numéros spéciaux de revue serait de nature à donner plus de crédibilité
scientifique à la thématique. C’est le prochain défi.

Un autre moyen serait le montage d’un projet ANR blanc sur les outils discrets et temporels.
La gestation a été initiée à Bucarest dans le contexte de la session invité à CIFA08.

Concernant les Réseaux Européens, la taille des projets et l’importance des enjeux rendent
difficiles les montages de projets. Il semble que la patience soit une qualité requise…de même
que la sagesse de savoir profiter des synergies du réseau pour s’impliquer sur des opérations
de moindre envergure.

31
Les Réseaux de Petri P-temporels : modélisation et validation d’exigences temporelles

32
Deuxième partie – Rapport de recherche

Introduction de recherche
1 Contexte d’évaluation d’un outil 35
1.1 Un modèle ne change pas la nature mathématique .................................................. 35
1.2 Justification d’un outil dans un contexte applicatif.................................................. 36

2 L’ingénierie des exigences 37

2.1 L’élicitation .............................................................................................................. 37
2.2 L’analyse des exigences ........................................................................................... 37
2.3 La formalisation des exigences ................................................................................ 37
2.4 La conception ........................................................................................................... 38
2.5 La vérification des exigences ................................................................................... 38

3 Mise en perspective d’un outil de modélisation des exigences temporelles 40

33
Les Réseaux de Petri P-temporels : modélisation et validation d’exigences temporelles

34
 Introduction de recherche

Le présent rapport décrit les travaux de recherche qui ont été développés dans le but d’asseoir
l’utilisation des Réseaux de Petri P-temporels (RdP P-temporels). Le corps de ce travail
concerne donc la modélisation des systèmes à événements discrets. Il s’intéresse par ailleurs
en quasi exclusivité à la gestion des contraintes de temps de séjour – ce qui constitue un cas
bien spécifique de la gestion des contraintes de temps maximum.

Un premier axe a été de positionner cet outil par rapport à ceux de l’état de l’art. Une
deuxième tâche a été de prouver un certains nombre de propriétés mathématiques dans
l’optique de permettre des applications industrielles efficaces. Au delà de la stricte recherche
de propriété, l’extension du champ applicatif, vers le domaine du ferroviaire par exemple, a
pris une part très importante. Une troisième activité a débouché sur la caractérisation des
limites du modèle et la proposition d’extension fonctionnelle ou de rapprochement de l’outil
de modélisation vers des modèles existants.

1. Contexte d’évaluation d’un outil

L’introduction de ce mémoire revêt un caractère particulier car les travaux qui y sont décrits
tournent autour de l’utilisation d’un outil. En l’occurrence il s’agit d’un outil de modélisation
de systèmes à événements discrets à contraintes de temps. Clairement, la pertinence d’un outil
spécifique se mesure en fonction de l’utilisation pour laquelle il été conçu. Le contexte
d’application devra donc être défini avec la plus grande précision afin de permettre une
évaluation appropriée.

1.1 Un modèle ne change pas la nature mathématique

Cette belle affirmation vient souvent se heurter à l’aspect intuitif des travaux scientifiques,
particulièrement lorsqu’ils sont dans leur genèse. C’est justement une des finalités de ce
mémoire que de prendre du recul pour expliciter une démarche. De fait, les Réseaux de Petri
P-temporels se sont souvent vus justifiés par les résultats qu’ils permettaient de produire
[KHA96], [COL99]. Cette approche a ses limites conceptuelles qui sont bien connues.

« Tous ces ronds, ces flèches et ces rectangles, est ce vraiment indispensable ? » (entendu
pendant une réunion de travail du projet national CORRINE, 1996 [COR96]).

D’un point de vue purement mathématique, l’auteur de cette sentence a indubitablement

raison : l’utilisation d’un modèle graphique ne change rien au système mathématique sous-
jacent, ni aux méthodes de résolutions qui peuvent être appliquées. Or c’est ce point de vue
qui préoccupe probablement le spécialiste de recherche opérationnelle.

En outre, le formalisme d’une algèbre de matrice a plus de signification pour le

mathématicien qu’un modèle graphique, aussi simple et ergonomique soit-il.

Pour chercher à convaincre le spécialiste des mathématiques appliquées, une autre voie de
justification est avancée. De fait, un modèle graphique permet de capturer de manière
naturelle la structure mathématique d’un problème ; ce problème étant par ailleurs une
restriction du système réel. L’extraction du modèle à partir d’un cahier des charges, puis la
validation, notamment fonctionnelle, sont une partie essentielle du travail à effectuer. C’est
sur cet aspect que la contribution sera indiscutable.

35
Les Réseaux de Petri P-temporels : modélisation et validation d’exigences temporelles

1.2 Justification d’un outil dans un contexte applicatif

Il est certes intéressant de présenter une série d’applications effectives, en même temps que
l’on présente un nouvel outil. Néanmoins, il est encore plus pertinent d’en décrire l’emploi
systématique lors d’une tâche de conception d’un système de grande envergure.

Le mot envergure a été préféré à dimension, pour éviter une terminologie commune aux
mathématiques combinatoires. En fait, ce qui se profile derrière ce terme vague, ce sont les
différents points de vues, les différents métiers, les imbrications et les collaborations
éventuelles, les acteurs incontournables, le cycle de vie du système etc. Le domaine de
l’ingénierie système et, plus particulièrement, celui de l’ingénierie des exigences est donc
pointé du doigt.

Les différents aspects seront plus ou moins bien mis en évidence par les modèles de la
littérature. Cette dernière contient des outils ou des approches pour lesquels la qualité
recherchée est une certaine généralité. En ce qui nous concerne, les RdP P-temporels se
contentent d’être un outil de modélisation des systèmes à événements discrets dédié à la prise
en compte des contraintes de temps de séjour exprimées sous forme d’intervalles. Leur apport
est donc restreint. En outre, une classe bien particulière de contraintes est traitée.
Premièrement, il faut que ces dernières soient de nature temporelle, ce qui constitue un cas
très particulier. Bien plus, ces contraintes doivent être modélisables à l’aide d’intervalles
associés aux places du RdP. Seul un certain type de contraintes de temps de séjour est donc
modélisé.

Une démarche d’ingénierie des exigences va donc être présentée sommairement dans les
lignes qui suivent. Aucune contribution effective au corps même de cette approche ne peut
être revendiquée : il est juste question ici de décrire une cadre de travail qui va permettre de
mettre en évidence les apports et la pertinence de l’outil que nous avons choisi de porter.

36
 Introduction de recherche

2. L’ingénierie des exigences

Pendant le développement d’un système, la démarche est de passer à travers plusieurs phases:
l'élicitation des exigences, l’analyse des exigences, la spécification des exigences, la
conception, l’intégration et la validation.

2.1 L’élicitation
La première phase est donc l’« élicitation ». Elle consiste en la mise en évidence des
exigences.

Définition : une exigence est une contrainte que le système doit satisfaire.

Lors de l’énoncé d’une exigence, il faudra donc chercher à associer un critère ou une
procédure qui permettra de vérifier le respect de cette dernière.

On peut distinguer deux classes d’exigences en première approche :

• les exigences système sont de haut niveau. Elles doivent être extraites du cahier des
charges lors de la phase d’élicitation.

• les exigences techniques sont relatives à un choix architectural ou technologique. Ces

choix technologiques peuvent être établis au sein d’une des diverses étapes de raffinement
de la solution proposée. Il est alors primordial que les exigences sources restent garanties.

2.2 L’analyse des exigences

Après l’exécution du processus d’élicitation, il faut lancer le processus d'analyse d’exigences
en étudiant l’ensemble des exigences soumis par les parties prenantes pour les analyser, les
compléter, les arranger, les tracer, et pour éliminer l’ambiguïté et la redondance entre les
exigences [MAC01]. Tout cela pour obtenir à la fin un document cohérent, qui sera présenté
essentiellement en langage naturel.

La spécification présentée dans ce document définit complètement le problème auquel les

activités de conception devront apporter une solution. Les échecs au niveau de la mise en
œuvre sont presque toujours dus à une spécification inadéquate, et à une mauvaise exécution
de ce processus.

2.3 La formalisation des exigences

Le processus de formalisation est exécuté afin de donner une solution pour l’ensemble des
exigences soumises. Après la phase d’analyse, il faut construire un modèle du système, en
intégrant toutes les exigences. De fait, une exigence peut être décrite par de nombreux
modèles. Par exemple, pour le métier logiciel, les développeurs ont utilisé des représentations
formelles basées sur des notations mathématiques (B, Z, Réseaux de Petri …).

Soulignons que parmi la liste des outils formels spontanément énumérés, les réseaux de Petri
sont ceux qui décrivent le plus naturellement les aspects dynamiques et comportementaux du

37
Les Réseaux de Petri P-temporels : modélisation et validation d’exigences temporelles

système. Cette remarque inclut évidemment les aspects temporisés et temporels où la

littérature scientifique des extensions des réseaux de Petri est très riche.

2.4 La conception
Le processus de développement de la solution peut être découpé de manière temporelle en
différentes phases correspondant à une séquence. Le modèle du cycle en V est couramment
utilisé notamment dans le domaine du ferroviaire [BOU06], où la partie descendante
correspond à l’activité de conception alors que la partie remontante est liée aux aspects
vérifications et validations.

Dans certains cas, la spécification d’une solution peut être systématiquement extraite du
modèle du système et de ses exigences. Plus précisément, en présence d’exigences
temporelles exprimables sous forme d’intervalles, il est possible de spécifier la commande à
partir du modèle RdP P-temporel en exploitant ses propriétés mathématiques. Divers outils
pourront alors être mis en œuvre comme la théorie des graphes ou les algèbres de dioïdes
[KHA96], [DID05], [OUE05]. La synthèse d’une solution sur la base de méthodes formelles
permet de faciliter la vérification des exigences à l’aide de preuves. La campagne de test qui
devra être menée sera alors de moindre dimension. La nécessité de vérifier les exigences fait
l’objet du paragraphe suivant.

2.5 La vérification des exigences

L’objectif de ce processus est de vérifier que la conception correspond aux exigences du
système, et que l’implémentation correspond à son tour à la conception développée et
proposée par les développeurs. Le processus de la vérification doit être incorporé entre les
différentes phases du développement du système.

Cette action continue de vérification nécessite la mise en œuvre de la traçabilité des

exigences.

Concrètement, deux types d’actions sont à effectuer :

• Celles qui consistent à documenter la raison d’être d’une contrainte donnée sur la base
d’exigence « sources ».

• Celles qui vérifient que l’ensemble des exigences sources est bien implémenté dans la
solution préconisée et sa mise en œuvre. Le processus de vérification fait partie de la
traçabilité.

La traçabilité des exigences est une nécessité :

a) La recherche d’une solution complexe s’effectue souvent par itérations successives. Le

processus comprend donc de nombreux allers-retours avec des remises en cause de
plus en plus partielles des choix effectués. C’est dans ces phases de raffinement que la
justification des contraintes au regard des exigences sources est importante : il
convient, en effet, de dissocier clairement les choix opérationnels de bas niveau, qui
sont l’objet de négociation, des contraintes impératives du cahier des charges. Dans le
cas contraire, on pourrait être amené à reconstruire l’ensemble du système.

38
 Introduction de recherche

b) [Link] croit que la traçabilité n'a pas besoin d'être vue comme une charge durant
les processus du développement mais plutôt comme un perfectionnement durant le
cycle de vie du système [RAM95].

En fait, les traces peuvent documenter le cycle de vie d'une exigence [JON03]. Au début, la
traçabilité des exigences a été établie comme un mécanisme afin d'assurer que les objectifs
ont été satisfaits après la réalisation du système. Aujourd'hui, les utilisations courantes de la
traçabilité des exigences incluent la garantie de la qualité, la réutilisation des composants,
l'essai, l'entretien, et l'analyse d'impact du changement.

La nécessité de documenter la justification des choix effectués a donc été soulignée. Un

deuxième aspect mérite aussi d’être mis en avant. L’utilisation éventuelle de deux modèles
différents pour représenter les exigences d’une part, et pour spécifier une solution d’autre part,
est particulièrement critique.

En effet, ces deux modèles sont profondément opposés dans leur nature :

• Le modèle des exigences doit impérativement ne contenir que ce qui est exprimé dans
le cahier des charges. L’outil de modélisation doit donc être capable de représenter les
incertitudes et les descriptions partielles.

• A l’inverse, une solution correspond le plus souvent à un processus bien particulier

qu’il faut spécifier de manière exacte et non ambigüe.

Cette dernière remarque amène à envisager des outils distincts pour la construction des ces
modèles spécifiques. Elle amènera, par exemple, à proposer une utilisation conjointe des
différentes extensions des Réseaux de Petri, l’une pour modéliser les exigences, l’autre pour
spécifier une solution.

39
Les Réseaux de Petri P-temporels : modélisation et validation d’exigences temporelles

3. Mise en perspective d’un outil de modélisation des

exigences temporelles
Parmi les écueils que comporte l’exercice qui consiste à représenter un cahier des charges, il y
a la tentation d’orienter la modélisation en vue d’une solution présélectionnée. S’il est clair
qu’avoir une bonne compréhension du système amène souvent à appréhender certaines pistes
comme pouvant mener à des solutions, le risque d’exclure a priori des alternatives est réel.

Il est donc utile de s’appuyer sur une approche instrumentée comportant des étapes clairement
identifiées. Les RdP P-temporels sont présentés dans ce rapport come un outil appuyant cette
démarche. Ce modèle ne comporte pas de fonctionnement pas défaut comme le
« fonctionnement au plus tôt ». Il faut remarquer que cette caractéristique est conforme à ce
qui a été discuté plus haut.

Les Réseaux de Petri (RdP) sont un outil de modélisation des systèmes à évènements discrets
dont la capacité à modéliser des mécanismes comme la synchronisation ou le parallélisme de
manière graphique et explicite est définitivement reconnue. Ils sont relativement proches des
modèles états-transition qui sont utilisés par les approches gravitant autour du langage UML
(Unified Meta Langage).

Parmi toutes les contraintes pouvant trouver leur place dans un cahier des charges, les
exigences temporelles sont des plus courantes et des plus critiques. Ces exigences viennent
affiner la demande une fois que les grandes fonctions du système ont été explicitées et que les
acteurs qui interagissent avec elles sont identifiés. En ce point du processus de recherche
d’une solution, il est important de disposer d’un langage à la fois explicite, voire graphique, et
permettant l’expression d’une certaine abstraction.

Le premier chapitre présente les différents modèles - extensions et abréviations des RdP - en
vue de la gestion d’exigences temporelles. Les différents modèles de la littérature seront
sommairement décrits et comparés en fonctions de leurs potentielles utilisations.

Le deuxième chapitre présente l’aspect applicatif de l’outil RdP-temporel. La partie

modélisation et analyse prend pour support une application ferroviaire.

Une deuxième partie décompose de manière fonctionnelle une problématique de conduite de

système en plusieurs couches fonctionnelles. La première partie s’intéresse à la modélisation
et la validation des exigences dans le transport ferroviaire. La deuxième partie se concacre à
la conduite des ateliers à contraintes de temps.

Le troisième chapitre s’attache à explorer les possibilités d’extension fonctionnelles des outils
décrits dans le chapitre précédent pour envisager un élargissement du champ applicatif.

40
Chapitre I

Abréviation et extensions des Réseaux de Petri

en vue de l’analyse des contraintes de temps.
1. Introduction 43

2. Les Réseaux de Petri 43

2.1 Définitions fondamentales........................................................................................ 43
2.2 Propriétés comportementales ................................................................................... 45
2.3 Conclusion................................................................................................................ 47

3. Les Réseaux de Petri et le temps 48

3.1 Définition ................................................................................................................. 48
3.2 Règles de fonctionnement ........................................................................................ 49
3.3 Interprétations........................................................................................................... 49
3.4 La commande temporelle ......................................................................................... 49
3.5 Les réseaux de Petri t-temporels .............................................................................. 51
3.6 Les Réseaux de Petri P-temporels............................................................................ 55
3.7 Conclusion................................................................................................................ 62

41
Les Réseaux de Petri P-temporels : modélisation et validation d’exigences temporelles

Bibliographie dédiée :
1. Collart Dutilleul S., Denat J.P. "Use of Periodic Controlled Petri Net for Discrete event Dynamical System
Control Synthesis", ECC95, Rome, Septembre 1995, pp 2060-2065.
2. Khansa W. , Denat J.P. et Collart Dutilleul S. "Analysis of robustness using the periodic functioning of
Timed Event Graphs" CIMAT96, Grenoble, France, p180-185.
3. Khansa W. , Denat J.P. et Collart Dutilleul S. "P-Time PN for Manufacturing Systems" Congrès IEE
WODES’96, Edinburg , UK, p94-102.
4. Collart Dutilleul S., J.P. Denat. “Periodic patterned control and periodic output flows” 9th
IFAC/IFORS/IMACS/IFIP on Large Scale Theory and Application LSS 2001, Bucarest, Roumanie, juillet
2001, pp 108-113.
5. Collart Dutilleul S., E. Craye, “Performance and Tolerance evaluation with respect to forbidden states”
Proc. of IFAC Safeprocess'03, Washington D.C., Juin 2003.

42
 Chapitre I

1. Introduction
Lors de l’étude des systèmes à événement discrets plusieurs modèles se présentent, parmi
lesquels nous citons : les automates à état fini et les Réseaux de Petri (RdP). Les automates à
états finis ont pour avantage une littérature importante et de très haute qualité concernant la
synthèse de commande [RAM87]. Néanmoins, l’étude des systèmes à contraintes de temps de
séjour contient une problématique singulière qui survient lorsqu’on est en présence d’un
mécanisme de synchronisation. Il se trouve que les automates, par définition, ne représentent
pas de manière explicite les structures de synchronisation. Dans le cas particulier qui nous
intéresse, cela constitue un inconvénient majeur qui nous amène à leur préférer les RdP. En
effet, les RdP sont reconnus comme étant un outil puissant de modélisation des parallélismes,
des conflits et des partages de ressources, en présence de synchronisations.

La première section de ce chapitre est consacrée au rappel de propriétés fondamentales des

RdP autonomes tirées de la littérature scientifique. Ces rappels permettent de nourrir la
discussion sur la modélisation des contraintes de temps de séjour de la section suivante.
L’accent est mis sur les propriétés comportementales des RdP autonomes.

La prise en compte du temps dans un outil de modélisation discret est un problème délicat,
qui a cependant été très vite étudié [RAM74]. Toujours en exploitant l’état de l’art, les forces
et les limitations des RdP temporisés puis des RdP temporels sont rapidement décrites. Enfin,
l’apport des RdP P-temporels vis-à-vis des deux modèles précédents est présenté. La
possibilité d’utilisation conjointe dans le cadre d’une démarche de gestion des exigences est
alors évoquée.

2. Les Réseaux de Petri

Les RdP ont été introduits par Carl Adam Petri en 1962. Ils constituent un puissant outil
graphique de représentation de phénomènes complexes et des mécanismes séquentiels
[PET62]. Ils sont largement utilisés pour l’analyse et la modélisation des systèmes à
événements discrets [MUR89].

2.1 Définitions fondamentales

Définition 1

Un RdP non marqué est un graphe biparti constitué de places, de transitions (correspondant
aux sommets du graphe) et d’arcs qui relient les transitions aux places et les places aux
transitions. Il est représenté par un quadruplet Q=<P, T, I, O> tel que [RAM80], [LAF91],
[DAV92], [DIC93] :
P : est un ensemble fini et non vide de places.
T : est un ensemble fini et non vide de transitions.
P∩T=Φ : les ensembles P et T sont disjoints.

43
Les Réseaux de Petri P-temporels : modélisation et validation d’exigences temporelles

I : est l’application d’incidence avant : I : P×T → IN (ensemble des entiers naturels),

correspondant aux arcs directs des places vers les transitions.
I(p,t) > 0 signifie qu’il existe un arc orienté de p vers t et I(p,t) est la valuation de
cet arc.
I(p,t)=0 indique l’absence d’arc orienté reliant la place p à la transition t.
O : est l’application d’incidence arrière : O : T×P → IN correspondant aux arcs
directs liant les transitions aux places.
O(t,p) > 0 signifie qu’il existe un arc orienté de t vers p et O(t,p) est la valuation de
cet arc.
O(t,p)=0 indique l’absence d’arc orienté reliant la transition t à la place p.

Si O(t,p) > 0 (respectivement I(p,t) > 0), la transition t est une transition de sortie
(respectivement d’entrée) de la place p. La place p est dite place d’entrée (respectivement de
sortie) de la transition t.

Lorsque les applications I et O prennent leurs valeurs dans la paire {0, 1}, le réseau est dit
ordinaire. Dans la suite, nous supposons que le RdP considéré est ordinaire.

Notations

t° (respectivement °t) : l’ensemble des places de sortie (respectivement d’entrée) de la

transition t,

p° (respectivement °p) : l’ensemble des transitions de sortie (respectivement d’entrée) de la

place p.

Définition 2 [DAV92]

Un RdP marqué est un doublet R=<R’, M0> dans lequel R’ est un RdP non marqué et M0 un
marquage initial.

Dans un RdP marqué, chaque place contient un nombre entier (positif ou nul) de marques ou
jetons. Le nombre de marques contenu dans une place pi est noté M(pi). Le marquage du
réseau M est défini par le vecteur de ces marquages. Le marquage à un certain instant définit
l’état du RdP, ou plus précisément l’état du système décrit par le RdP.

Règle de fonctionnement

Une transition t est dite franchissable ou tirable ou validée pour un marquage M si et

seulement si :
∀ p∈°t, M(p) ≥ I(p,t)

La mise à feu d’une transition t a pour conséquence :

• de retirer I(p,t) marques de chaque place d’entrée p de la transition t,
• d’ajouter O(t,p) marques dans chaque place de sortie p de la transition t.

Le tirage de la transition t provoque le passage d’un marquage M à un marquage M’ tel que :

44
 Chapitre I

∀ p∈P, M’(p)=M(p) + O(t,p) − I(p,t)

On appelle matrice d’incidence avant la matrice :

W − = (w -ij ) où w -ij =I(pi,tj)

On appelle matrice d’incidence arrière la matrice :

W + = (w ij+ ) où w ij+ =O(tj,pi)

On appelle matrice d’incidence la matrice : W= W + − W − . Une colonne de cette matrice

correspond à la modification du marquage apportée par le franchissement de la transition
correspondante.

Pour une séquence de franchissement s, suite de transitions qui sont franchissables

successivement (sans autres franchissements de transitions), partant d’un marquage initial M0
et conduisant au marquage M, l’équation fondamentale du RdP s’écrit :
M=M0 + W.S

où S est le vecteur caractéristique correspondant à la séquence de franchissements s.

L’équation fondamentale donne le marquage final connaissant le marquage initial et la

séquence de transitions franchies. Mais elle ne permet pas de vérifier si le franchissement
d’une séquence donnée est possible. Elle constitue alors une condition nécessaire
d’accessibilité.

2.2 Propriétés comportementales

Définition 3

Une place p est dite bornée ou k-bornée pour un marquage initial M0 s’il existe un entier
naturel k, tel que pour tout marquage accessible M0, le nombre de marques dans p reste
inférieur ou égal à k.

Définition 4

Un RdP est k-borné pour un marquage initial M0, si toutes les places sont k-bornées pour
M0 .

Un RdP est dit sauf (ou binaire) s’il est 1-borné.

Remarque

La propriété de bornitude est une propriété importante qui donne lieu à de nombreux travaux.
En effet, lorsque le marquage n’est pas borné, le nombre d’états différents susceptibles d’être
atteints est infini. Dans notre étude, nous voulons garantir les temps de séjour des jetons dans
les places. En l’absence de résultats sur la borne du RdP, le problème qui nous concerne n’est
pas calculable.

45
Les Réseaux de Petri P-temporels : modélisation et validation d’exigences temporelles

Définition 5

Un RdP marqué est vivant si et seulement si pour tout marquage accessible, et pour toute
transition t, il existe une séquence de franchissements de transitions qui contient t.

Définition 6

Un blocage (ou état puits) est un marquage tel qu’aucune transition n’est validée.

Remarques

• Lorsqu’aucune solution n’existe pour la mise à feu d’une transition, cela signifie
souvent qu’une opération prévue initialement ne peut pas être effectuée. La vivacité
est donc une qualité souhaitable.

• Un blocage caractérise un état où le système ne peut plus évoluer. Dans le cas d’un
système en production répétitive, c’est absolument à éviter.

Définition 7

Un RdP a un état d’accueil Ma pour un marquage initial M0 si pour tout marquage accessible,
il existe une séquence de franchissements de transitions tel que l’on puisse accéder à Ma.

Définition 8

Un RdP est réinitialisable pour un marquage M0 si pour tout marquage accessible, il existe
une séquence de franchissements de transitions telle que l’on puisse accéder à M0.

Définition 9

Un conflit structurel correspond à un ensemble de transitions qui ont au moins une place
d’entrée en commun.

Définition 10

Un conflit effectif correspond à l’existence d’un conflit structurel et d’un marquage M tel que
le nombre de marques dans la place du conflit est inférieur au nombre demar que nécessaire à
la mise à feu de toutes transitions de sortie de cette place qui sont validées par M.

Remarques

• Considérant le problème de fonctionnement répétitif qui nous intéresse, les propriétés

ci-avant sont particulièrement importantes. En effet, pour ne pas manipuler un très
grand nombre d’états, il doit être possible de revenir régulièrement dans des états
d’accueil.

• En présence de choix, la nécessité de garantir un certain nombre d’états d’accueil pose

un problème généralement NP-difficile.

46
 Chapitre I

Définition 11

Un Graphe d’Evénement (GE) est un RdP dans lequel chaque place a exactement une
transition d’entrée et une transition de sortie. Il est caractérisé par l’absence de conflits
structurels.

Définition 12

Un Graphe d’Evénements est Fortement Connexe (GEFC) si et seulement si il existe un

chemin orienté qui relie tout sommet (place ou transition) à tout autre sommet.

Remarque

• L’introduction d’un choix pour modéliser une contrainte peut détruire les invariants
préexistants. Trivialement le modèle obtenu après cette modification ne peut être un
GE.

2.3 Conclusion
En définitive, l’ensemble des propriétés souhaitées est assuré lorsque le modèle est un GEFC
ayant un marquage initial correct. Si nous supposons qu’une première étape
d’ordonnancement cyclique a fourni ce GEFC, il n’existe plus de problèmes à résoudre du
point de vue des RdP autonomes.

Ce dernier point prendra une dimension toute particulière lorsque les contraintes de temps de
séjour seront introduites. En effet, si pour modéliser ces dernières, un mécanisme de choix est
introduit, le modèle du système ne correspond plus à un GEFC. Dans ce cas là, la situation est
étrange, puisqu’il n’existe plus de problème de commande au sens des RdP autonomes, mais
que des choix subsistent dans le réseau. Il y aura donc des conflits structurels au sens des
RdP, alors que d’un point de vue fonctionnel, ces conflits n’existent pas. Par ailleurs, en
introduisant le temps de cette façon, l’existence de P-invariants dans le système est
structurellement masquée. Or certains invariants du système font partie intégrante du cahier
des charges.

Lorsque la commande du RdP autonome est définitivement résolue, en ce qui concerne la

gestion du temps, une série de problèmes s’annonce : l’évaluation de performance, la
modélisation des contraintes temporelles, la synthèse d’une commande temporelle (c'est-à-
dire le réglage des instants de tirs des transitions), la vérification du respect des contraintes
etc. Les outils permettant de traiter cette problématique feront l’objet de la section qui va
suivre.

47
Les Réseaux de Petri P-temporels : modélisation et validation d’exigences temporelles

3. Les Réseaux de Petri et le temps

Historiquement les premiers modèles qui intégraient le temps relevaient d’une logique
spécifique qui consistait à décrire le temps nécessaire à une opération. Cette approche permet
de représenter les mécanismes temporels associés à un processus.

Nous sommes donc en face d’un outil performant pour la spécification et la validation des
systèmes comportant des temps minimum.

Le temps peut être associé indifféremment aux transitions (modèle RdP t-temporisé)
[RAM74] ou aux places (modèle RdP p-temporisé) [SIF77a] [SIF77.b]. Nous considérons
dans nos développements les réseaux de Petri p-temporisés où le temps est associé aux places.

3.1 Définition

Définition 13

Un réseau de Petri temporisé avec n places et p transitions est un doublet RT= <R, D>
avec:
R est un réseau de Petri < P, T, Pre, Post> avec un marquage initial M0
D est la fonction durée minimale de séjour d’une marque dans une place donnée :
D:P Q+

qui à chaque place fait correspondre un nombre rationnel positif décrivant la durée
d’indisponibilité des jetons.

La sémantique est que les marques doivent rester dans la place pi au moins le temps di associé
à cette place. Pendant di la marque est indisponible ; elle ne participe pas à la validation des
transitions. di représente donc :

• la durée d’indisponibilité de la marque pour la validation des transitions

• le temps minimum de séjour d’une marque dans une place.

La littérature définit les réseaux de Petri stochastiques (RdPS) qui sont obtenus à partir des
réseaux de Petri classique [VAL92] en associant des durées de franchissement aléatoires aux
transitions pour l'évolution du marquage [ZIE96]. Ce type de RdPS est bien adapté pour la
modélisation des phénomènes aléatoires où le temps entre deux événements n'est pas fixe.
C'est le cas par exemple de bon fonctionnement (entre 2 pannes) d'une machine ou de
mouvement d’un robot (répétabilité imparfaite). Il permet de prendre en compte l’occurrence
des défaillances et leur influence sur le comportement du système.

Dans les lignes qui suivent nous développons, seulement, les RdP temporisés déterministes
car nous nous intéressons à donner une preuve de non occurrence d’un événement brisant les
spécifications.

48
 Chapitre I

En effet, les durées associées aux transitions ou aux places du réseau représentent une partie
de l’ensemble des contraintes à respecter (les états interdits tels que l’arrêt de l’usine ou la
sécurité des personnes..). Ces durées peuvent correspondre soit à des valeurs fixes dans le cas
des durées d’un RdP temporisé déterministe, soit des valeurs moyennes dans le cas des RdP
stochastiques. Par conséquent même si le processus n’est pas déterministe, il faut trouver un
résultat qui garantit le bon fonctionnement sur une plage.

3.2 Règles de fonctionnement

On utilisera la notion d’état pour caractériser la situation du réseau à un instant donné.

Définition 14

Un état est un doublet < M, I> où

• M est une application de marquage, assignant à chaque place du réseau un
certain nombre de marques
∀p ∈ P, M ( p ) ≥ 0
• I est une application de temps d’indisponibilité, assignant à chaque marque k
dans la place pi un temps θ ik

• θ ik est la durée qui reste à la marque k pour terminer son temps de séjour
minimal dans la place pi.

Les temporisations associées aux places permettent de prendre en compte les durées
opératoires minimales. Par conséquent une transition validée au sens des RdP autonome ne
peut pas être obligatoirement franchie. Une transition est franchissable si elle est validée au
sens des RdP autonomes et si les marques qui la valident sont disponibles.

3.3 Interprétations
L’état de disponibilité d’un jeton permet de spécifier la durée nécessaire pour effectuer une
opération sur un produit donné,

L’état de disponibilité d’un jeton permet de modéliser l’état d’un produit disponible pour la
prochaine tâche,

Le temps minimum de séjour d’une marque dans une place peut être exprimé en termes de
contraintes de positivité [CHR83] :

∀ n∈ N et soient op la transition d’entrée de p et po sa transition de sortie, Sop(n) est l’instant

du nième franchissement de op, mp est le nombre de marque dans la place p et S po(n) l’instant
du nième tir de po.
Sp°(n+mp) ≥ S°p(n) + d ∀n∈N

3.4 La commande temporelle

Ce problème de commande va se consacrer uniquement au respect des contraintes de temps,
assumant que le comportement est correct d’un point de vue des RdP autonomes. Pour ce

49
Les Réseaux de Petri P-temporels : modélisation et validation d’exigences temporelles

faire, il est possible d’utiliser de nombreux outils et une littérature riche et abondante. On
notera par exemple les excellents travaux de Laurent Hardoin utilisant des algèbres tropicales
[HAR04].

3.4.1 Propriétés utiles pour l’évaluation de performance

Théorème 1 [RAM80]

Le temps de cycle minimal de fonctionnement d’un GEFC temporisé est donné par Cmax, où
Cmax est le maximum des temps de cycles de tous les circuits élémentaires du réseau.

On défini le temps de cycle du circuit Γ, noté C(Γ) par :

C(Γi) = μ(Γi)/M(Γi) Avec
μ(Γi) : la durée totale de franchissement des transitions du circuit Γi
M(Γi) : le nombre de jetons dans le circuit élémentaire Γi.

Le temps de cycle du circuit est Cmax tel que :

Cmax = max {C(Γi )}.

Théorème 2 [CHR83]

En régime permanent, atteint après un temps fini, le fonctionnement au plus tôt

(l’initialisation du franchissement d’une transition débute dès que la transition est tirable)
d’un GE est un fonctionnement K-périodique avec une fréquence moyenne de franchissement
des transitions égale à 1/Cmax. Autrement dit, il existe N0 et K tel que :
St(n+K)=St(n) + [Link] ∀ n ≥ N0 et t∈T

où St(n) est la fin du nème franchissement de la transition t.

Propriété 1 [LAF91]

Le marquage d’une solution optimale en fonctionnement 1-périodique est aussi le marquage

d’une solution optimale pour le même problème en fonctionnement au plus tôt (dans un
GEFC).

Le mode de fonctionnement monopériodique (1-périodique ou périodique) est complètement

défini par la donnée du temps de cycle π et du temps de fin du premier franchissement St(1)
de la transition t pour tout t∈T.

Pour ce mode de fonctionnement, nous avons la relation suivante :

St(n)=St(1) + (n−1).π ∀ n∈IN* et t∈T

Le mode monopériodique est réalisable si et seulement si la relation suivante est vérifiée :

S°pi(n) + qi ≤ Spi°(n) + π.M0(pi) ∀ pi∈P

où qi est la durée associée à la place pi et M0(pi) est son marquage initial.

50
 Chapitre I

3.4.2 Commande temporelle et temps de séjours

Il convient de s’élever contre une exploitation erratique des RdP temporisés. En effet,
certaines approches ajoutent des contraintes mathématiques, et notamment des temps de
séjour maximum, à celles qui sont directement comprises dans le modèle temporisé.

D’un point de vu modélisation l’erreur n’est pas tant sur les résultats obtenus que sur les
dangers que comporte cette démarche.

Considérons la formule de calcul du temps de cycle de Ramamoorthy décrit ci-avant, elle

suppose qu’il n’y a que des contraintes de temps minimum [RAM80]. Les sections suivantes
de ce chapitre introduisent d’ailleurs une autre formulation pour le calcul du temps de cycle
en présence de temps de contraintes séjours. De manière analogue, le fonctionnement au plus
tôt n’est généralement pas admissible pour les systèmes discrets à contraintes de temps de
séjour : il n’est pas question d’utiliser la référence [CHR83].

Le risque est donc réel lorsque l’on déclare utiliser un RdP temporisé en y ajoutant par
ailleurs des contraintes de temps maximum, sans effectuer les réserves de rigueur, de voir
quelqu’un utiliser à contre-emploi la littérature scientifique. Quand une telle chose arrive,
l’auteur du modèle « enrichi » est coupable d’avoir nommé RdP temporisé un modèle qui en
fait n’en est pas un.

3.4.3 Conclusion

Pour intégrer les contraintes de temps de séjour au sein du modèle, les RdP temporels, ou tout
autre modèle intégrant explicitement ces contraintes, doivent être utilisés. Les prochaines
sections leur sont dédiées.

3.5 Les réseaux de Petri t-temporels

Les RdP t-temporels sont destinés principalement à l'étude des systèmes de
télécommunication dont les évolutions dépendent des contraintes de type temps de réponse
(time-out) [MER74] [BER91].

Dans ce modèle, un intervalle [a, b] de temps est associé à chaque transition du réseau.
L’intervalle associé à la transition t est relatif au moment où la transition devient validée.
Supposons que t est validée à l’instant c, alors elle peut être franchie seulement entre a+c et
b+c, sauf si elle devient non-validée à cause du franchissement d’une autre transition avec
laquelle elle était en conflit.

3.5.1 Définition

Définition 15

Un réseau de Petri t-temporel est un tuple 〈P, T, Pré, Post, M0 , IS〉 dans lequel :
〈P, T, Pré, Post, M0 〉 est un réseau de Petri
IS : T→ Q+ × (Q+ ∪ {∞}) la fonction intervalle statique (Q+ est l’ensemble des
nombres rationnels).

51
Les Réseaux de Petri P-temporels : modélisation et validation d’exigences temporelles

ti → ISi = [ai, bi] avec 0 ≤ ai ≤ bi

La fonction IS associe, à chaque transition ti du réseau, un intervalle à bornes rationnelles

ISi = [ai, bi] avec
0 ≤ ai ≤ bi ; ( bi peut être infini).
ai est la date statique de tir au plut tôt et bi est la date de tir au plus tard de ti.

Une transition doit être sensibilisée (validée) pendant le délai minimum ai avant de pouvoir
être tirée (franchie) et ne peut rester validée au-delà du délai maximum bi sans être tirée.

3.5.2 Etats et règle de tir

Un état d’un réseau t-temporel est une paire E = (M, I) dans lequel :
M est un marquage
I est une application intervalle de tir, assignant à chaque transition du réseau
l’intervalle de temps dans lequel elle peut être tirée (t ∈ T, I(t) = ∅ si est seulement si t
est non validée).

L’état initial E0 est constitué du marquage initial M0 et de l’application intervalle de tir I0 qui
fait correspondre, à chaque transition t sensibilisée par M0, son intervalle statique de tir IS(t).

Une transition t est franchissable, à une date relative τ, depuis un état (E, I) si est seulement si
les conditions suivantes sont satisfaites:
• la transition t est sensibilisée par le marquage M : ∀ p ∈ ot : M(p) ≥ Pré(p, t)
• τ n’est pas inférieur à la date au plus tôt de t et τ n’est pas supérieur à la date
au plus tard des autres transitions sensibilisées par M :
∀ k M ≥ Pré(k) ⇒ τ ≤ bk

La première condition est celle qui autorise le tir dans les réseaux de Petri ; la deuxième
résulte de l’obligation de tirer les transitions dans leurs intervalles de tir.

Remarques importantes:

• En ce point précis de la présentation du modèle, il faut souligner que la durée prise en

compte pour l’évolution du RdP est celle du temps de sensibilisation des transitions de
sortie des places. L’instant d’arrivée d’un jeton dans une place n’impacte
qu’indirectement les tirs des transitions.

• Pour contrôler le temps de séjour d’un jeton, on est donc assez naturellement amené à
agir sur la structure du réseau.

Le tir d’une transition sensibilisée t, à l’instant τ, depuis l’état E(M, I), conduit à un nouveau
état E′(M′, I′) déterminé comme suit :

• le nouveau marquage M′ est déterminé par l’équation classique :

∀ p ∈ P M′(p) = M(p) - Pré(p, t) + Post(p, t)

52
 Chapitre I

• le nouvel intervalle de tir I′ pour les transitions, est défini comme suit :

1) si les transitions k sont non sensibilisées par M′, I′ est vide

2) si les transitions j sont sensibilisées par M, et non en conflit avec la transition t

pour M, alors :
[max(0,ak-τ), bk-τ)] si bk est fini
[max(0,ak-τ), ∞)] sinon.

Sinon I′ = I ([ai, bi] l’intervalle statique associé aux autres transitions.

En d’autre termes, les transitions non sensibilisées par le nouveau marquage M′ reçoivent les
intervalles de tir vides ; les transitions distinctes de t et qui sont restées sensibilisées pendant
le tir de t voient leur intervalle de tir décalé, vers l’origine du temps, de la valeur τ, date
relative à laquelle la transition a été tirée (ces intervalles sont restreints, si nécessaire, aux
valeurs de temps non négatives) ; toutes les autres transitions sensibilisées par M′ reçoivent,
pour intervalle de tir, leur intervalle statique.

Notons que, si t est restée sensibilisée pendant son propre tir, alors elle reçoit pour intervalle,
son intervalle statique.

3.5.3 Modélisation des exigences de temps de séjour

[Link] Exemple canonique

°p1 p1

°p2 p2
p°, [a, b]

Figure 1 : Une structure de synchronisation dans un RdP t-temporel

Pour la figure 1 on a:
S°p1(n) + a ≤ Sp°(n) ≤ S°p1(n) + b
S°p2(n) + a ≤ Sp°(n) ≤ S°p2(n) + b (5)
⇒Max{S°p1(n) + a ; S°p2(n) + a} ≤ Sp°(n) ≤ min{S°p1(n) + b ; S°p2(n) + b}

La règle de fonctionnement des RdP t-temporel (le temps est compté à partir de l'instant de
validation de la transition) impose :
Max{S°p1(n) + a ; S°p2(n) + a} ≤ Sp°(n) ≤ Max{S°p1(n) + b ; S°p2(n) + b}

Il est facile de constater que la transition de synchronisation ne conserve pas la spécification

de l’intervalle de temps de séjour.

53
Les Réseaux de Petri P-temporels : modélisation et validation d’exigences temporelles

[Link] Modification de la structure

Une modification de la structure du modèle va donc être proposée de manière à garantir que
les temps de séjour spécifiés dans les places p1 et p2 de l’exemple sont bien respectés.

p1 °*, [b, b]
°p1 p1

p°, [a, b[
°p2 p2

p2 °*, [b, b]

Figure 2. Une structure de synchronisation modifiée dans un RdP t-temporel

En première analyse, l’exemple fonctionne bien et les temps effectif des jetons dans les places
p1 et p2, ne dépasseront pas la borne admise.

En deuxième analyse, la structure devrait être encore enrichie si le réseau n’est pas sauf.
Cependant, l’existence d’une solution architecturale est assurée tant que le système est borné.

En troisième analyse, si le modèle initial appartient à une sous-classe des GE, ce n’est plus le
cas du modèle modifié. Un certain nombre de propriétés propres à cette sous-classe ont donc
été perdues. Enfin, l’interprétation de l’existence d’une place de sortie pour p1°* et p2°* reste
à définir de manière formelle. En effet, ces places n’appartiennent pas à un type particulier
dans le modèle, alors qu’elles correspondent fonctionnellement à un non respect du cahier des
charges.

En définitive, quand bien même on aurait réussi à modéliser les exigences temporelles sur le
réseau, l’exploitation analytique ou son interprétation fonctionnelle systématique sera très
délicate. On ne peut donc pas modéliser de façon simple un mécanisme classique des
procédés à contraintes de temps.

3.5.4 Conclusions

Les RdP temporisés ne modélisent que les contraintes de temps minimum [RAM74]. De la
même manière, cette section cherche à montrer que les modèles temporels de Roux et
Menasche ne traduisent pas directement dans la structure du modèle, cette obligation de temps
de séjour sur les synchronisations [MEN82], [BER91], [ROU85], [DIA01]. Pour ces outils,
l’intervalle de temps est associé aux transitions et on ne commence à compter le temps que
lorsque celles-ci sont validées. Ainsi, une marque peut rester indéfiniment dans une place en
amont d’une transition de synchronisation (jusqu’à la validation de celle-ci). On perd alors
l’histoire d’une marque en amont d’une telle transition.

En fait, les RdP t-temporels sont historiquement utilisés pour l’étude des systèmes de
télécommunication [MER74] ou pour modéliser l’interface entre le modèle discret et le
modèle continu lors de la modélisation des systèmes batch [AND96]. Il serait donc injuste de

54
 Chapitre I

s’offusquer de ce que leur architecture ne soit pas idéalement appropriée à toutes les
problématiques. Il reste que les RdP t-temporels demeurent probablement le meilleur outil de
spécification des protocoles et processus temporels. Les outils mathématiques de la littérature
sont nombreux. Le fonctionnement au plus tôt est toujours réalisable et la plupart des travaux
en rapport sont assez directement exploitables. De plus, l’instrumentation logicielle
performante permet la simulation et l’analyse (TINA). La faiblesse concernant la
formalisation des exigences de temps de séjour est définitivement quelque chose d’annexe
dans cette optique.

La section suivante montrera comment les RdP P-temporels capturent analytiquement ce type
d’exigences au sein de la structure des modèles.

3.6 Les Réseaux de Petri P-temporels

Les RdP P-temporels, dont les fondements théoriques ont été élaborés par Khansa [KHA97],
sont utilisés pour modéliser et analyser les systèmes à contraintes de temps [COL99],
[BON01]. Il a été montré qu’ils représentent un formalisme puissant et reconnu pour la
modélisation de l’obligation de respect des temps de séjour (synchronisation sous obligation)
[KHA97].

3.6.1 Définitions

Définition 16 [KHA97]

Un RdP P-temporel est donné par le doublet < R, IS>, où :

R est un RdP marqué,
IS : P → Q+ × (Q+∪{+∞})
pi → ISi=[ai, bi] avec 0 ≤ ai ≤ bi.

ISi définit l’intervalle statique de temps de séjour d’une marque dans la place pi appartenant à
l’ensemble des places P. Une marque dans la place pi participe à la validation de ses
transitions de sortie que si elle a séjourné au moins la durée ai dans cette place. Elle doit
quitter la place pi, donc franchir l’une des transitions de sortie au plus tard quand sa durée de
séjour devient égale à bi. Après ce temps (bi), la marque sera « morte » et ne participera plus à
la validation des transitions.

Définition 17

A un instant donné, l’état caractérisant la situation du réseau est défini par un doublet E=<M,
Q>, où :
M est l’application de marquage du réseau identique à la définition précédente,
Q est une application temps de séjour qui associe à chaque marque k dans la place pi
un nombre réel qik où qik est l’âge de cette marque (le temps écoulé depuis son arrivée
dans la place pi). Le qik associé à une marque k dans la place pi doit être inférieur ou
égal à bi où [ai, bi] est l’intervalle statique associé à la place pi. La marque k dans la
place pi peut participer à la validation de ses transitions de sortie quand son âge qik est
supérieur ou égal à ai. Elle est morte quand son âge est strictement supérieur à bi.

55
Les Réseaux de Petri P-temporels : modélisation et validation d’exigences temporelles

L’âge qik d’une marque k (donné par une horloge locale associée à celle-ci) est relatif à
l’instant d’arrivée de cette marque dans la place pi. Supposons que la marque k arrive dans la
place pi à l’instant τ (donné par une horloge globale par exemple), l’âge de cette marque à cet
instant est égal à zéro. A l’instant absolu τ’, son âge est qik=τ’−τ. Elle ne participe à la
validation des transitions de sortie de la place qui la contient, qu’à partir de l’instant τ’=τ+ai,
et elle est morte dès l’instant τ’ > τ+bi. Une marque est morte si son âge devient strictement
supérieur à la borne supérieure de l’intervalle statique associé à sa place d’accueil et si aucune
de ses transitions de sortie n’est validée à cet instant.

Une transition peut donc être validée au sens des RdP autonomes et ne pas l’être au sens des
RdP P-temporels à cause des contraintes de temps.

Une marque peut avoir trois états comme l’indique la figure 3 :

• marque non disponible,
• marque disponible,
• marque morte.

L’intérêt des RdP réside dans le fait qu’ils permettent l’analyse ainsi que l’étude des
comportements des systèmes qu’ils modélisent. Dans le cas des RdP P-temporels, deux
approches différentes permettent d’analyser le comportement et l’étude des propriétés d’un
réseau : approche « intervalle de temps » et approche « âge de marques ». La première permet
une meilleure étude du comportement alors qu’il est préférable d’utiliser la seconde pour
l’analyse des propriétés d’un réseau.

Marque non disponible Marque disponible Marque morte

[ai, bi] pi [ai, bi] pi [ai, bi] pi

t t t
qi ≤ ai ai ≤qi, qi ≤bi bi ≤ qi

Figure 3. Différents états d’un jeton dans un RdP P-temporel

Définition 18

Une transition tl est potentiellement tirable (validée au sens des RdP P-temporels) à partir de
l’état E(M, Q) si et seulement si :

elle est validée au sens des RdP autonomes dans cet état, c’est-à-dire
∀ pi∈°tl : M(pi) ≥ I(pi, tl) [BRA82],
∀ pi∈°tl, il existe au moins I(pi, tl) marques dans cette place tel que :
min(bi − qik) − max(0, max(ai − qik)) ≥ 0

56
 Chapitre I

où k=1, 2, …, I(pi, tl) et [ai, bi] est l’intervalle statique associé à la place pi.

De plus, il n’existe pas de marques j (qui ne participent pas au franchissement de la transition

tl) tel que :
(bi − qij) ≤ max(0, max(ai − qik))

Sinon cette marque est morte. Il est associé alors à cette place l’intervalle :
[max(0, max(ai − qik)), min(bi − qik)]

L’intersection de tous ces intervalles (pour chaque place d’entrée de tl, on associe un
intervalle) donne l’intervalle dans lequel la transition reste potentiellement tirable.

D’après la notion d’état, un nombre infini d’états peut en général exister à partir d’un état
donné. Il y a donc deux possibilités d’avoir un nouvel état à partir d’un état donné :
l’écoulement du temps et le franchissement d’une transition directement franchissable (la
borne inférieure de l’intervalle de tir potentiel de cette transition est égal à zéro depuis cet
état). Les deux définitions qui suivent donnent l’état suivant pour chacune de ces deux
possibilités.

Définition 19

L’état E’(M’, Q’) est un état accessible à partir de l’état E(M, Q) par l’écoulement d’un temps
τ si et seulement si :
M’=M,
∀ j une marque dans la place pi,
qi’j = qij + τ ≤ bi
où qij (respectivement qi’j) est l’âge de la marque j dans l’état E (respectivement dans
l’état E’) et
bi est la borne supérieure de l’intervalle statique associé à la place pi.

Définition 20

L’état E’(M’, Q’) est un état accessible à partir de l’état E(M, Q) par le franchissement d’une
transition ti si et seulement si :
ti est directement franchissable (les âges de toutes les marques qui valident ti sont
supérieurs ou égaux aux bornes inférieures des intervalles statiques associés à leurs
places) à partir de E,
∀ p∈P, M’(p)=M(p) − I(p, ti) + O(ti, p),
les marques qui ne se déplacent pas, gardent les mêmes âges dans E et E’ (on suppose
que la durée de franchissement d’une transition est nulle). Les marques qui sont
déplacées ou créées prennent l’âge zéro.

La règle de tir précédente permet de calculer les états et les relations d’accessibilité entre eux.
L’ensemble des séquences de tir réalisables (séquences de transitions et dates de tir associées)
depuis l’état initial caractérise le comportement du RdP P-temporel.

57
Les Réseaux de Petri P-temporels : modélisation et validation d’exigences temporelles

3.6.2 Propriétés

Définition 21

Un état E(M, Q) d’un RdP P-temporel est marques-vivantes si toutes les marques dans M sont
vivantes.

Définition 22

Un RdP P-temporel est marques-vivantes pour un marquage initial M0 (l’état initial E0) si tous
les marquages accessibles depuis M0 sont des états marques-vivantes.

Si une marque dans un marquage d’un état accessible depuis E0 est morte, le réseau est
marques-mortes. Une marque morte ne participe plus à la validation des transitions.

Le mécanisme de synchronisation est la raison de la mort des marques. Une marque morte
signifie le non respect des spécifications et la rupture du cahier des charges. Il existe deux
causes à travers lesquelles on peut avoir une mort de marques en amont d’une transition de
synchronisation t :

• Les marques sur les circuits qui la contiennent n’arrivent pas à des instants compatibles
dans ses places d’entrée. La figure II.2.a donne la représentation des contraintes imposées
par les circuits.

• Les marques, sur les chemins élémentaires orientés d’une transition de parallélisme à t,
n’arrivent pas à des instants compatibles en amont de t. La représentation graphique des
contraintes imposées par les chemins est donnée par la figure II.2.b.

Il est à noter que les chemins qui ne sont pas élémentaires sont un mélange de ces deux
possibilités.

tp t

Figure 4.a Figure 4.b

Figure 4. Structures pouvant entraîner la mort d’une marque [KHA97]

Définition 23 [KHA96]

Une séquence de franchissements (constituée des transitions et des dates des franchissements
associés (s, u)) est appelée séquence marques-vivantes (m-v-séquence) si et seulement si tous
les états accessibles par cette séquence sont des états marques-vivantes.

58
 Chapitre I

Définition 24 [DAV92]

Une séquence de franchissements (s, u) est répétitive si pour un état E accessible depuis l’état
initial du réseau, E est accessible depuis E par franchissement des transitions de (s, u).

Définition 25 [DAV92]

Une séquence de franchissements (s, u) est complète si elle contient toutes les transitions du
réseau.

Théorème 3 [KHA97]

Si un RdP P-temporel a une m-v-séquence répétitive et complète alors, ce réseau a au moins

un fonctionnement qui conduit à un régime stationnaire au bout d’un temps fini.

Théorème 4 [KHA97]

Si un RdP P-temporel est borné, vivant et marques-vivantes alors chaque fonctionnement du

réseau conduit à un régime stationnaire au bout d’un temps fini.

Théorème 5 [KHA97]

Une condition nécessaire d’existence de m-v-séquences complètes et répétitives dans un

GEFC P-temporel est que chaque circuit du graphe contient au moins une marque.

Théorème 6 [KHA97]

Une condition nécessaire d’existence de m-v-séquences complètes et répétitives dans un

GEFC P-temporel est que le graphe soit borné (que le marquage initial soit borné).

3.6.3 Evaluations de performances des GE P-temporels

Les RdP temporisés constituent une sous-classe des RdP temporels. Ils ont été introduits plus
tôt que les RdP temporels, aussi la littérature scientifique qui les concerne est très abondante.
Pour cette raison, un grand nombre de propriétés des RdP temporels ont été présentées
comme une généralisation de propriétés préalablement établies pour les RdP temporisés. C’est
le cas notamment du fonctionnement monopériodique qui sera défini dans le paragraphe qui
suit.

Les définitions fondamentales établies pour les RdP temporisés étant présentées, nous allons
énoncer leur généralisation pour les RdP P-temporels.

Théorème 7 [CAL97]

Soit un GEFC P-temporel, ses performances ([μmin, μmax]) peuvent être évaluées en résolvant
les deux problèmes linéaires suivants :

• la borne minimale,

59
Les Réseaux de Petri P-temporels : modélisation et validation d’exigences temporelles

⎛ X Tj Q e ⎞
μ min = min⎜ T ⎟ avec j∈[1, n0 − m0 + 1]
⎜X M ⎟
⎝ j 0⎠

• la borne maximale,
⎛ X Tj Q e ⎞
μ max = max⎜ T ⎟ avec j∈[1, n0 − m0 + 1]
⎜X M ⎟
⎝ j 0 ⎠

sous les contraintes suivantes :

⎧A.[1] ≤ Qe ≤ B.[1]
⎪ T T
⎨ X i Q e = X j Qe ∀ i = 1, n − m + 1, i ≠ j
⎪ X iT M 0 X Tj M 0 0 0
⎩

avec :
n0 : nombre de places du GEFC P-temporel,
m0 : nombre de transitions du GEFC P-temporel,
(n0 − m0 + 1) : nombre de circuits élémentaires,
Qe : vecteur colonne [n0x1] des durées opératoires moyennes associées aux places,
Xi : p-semiflot [n0x1] associé au ième circuit élémentaire ( X iT W = 0 et Xi≠0 où W
représente la matrice d’incidence du GEFC P-temporel),
M0 : vecteur colonne [n0x1] représentant le marquage initial du réseau,
A : matrice diagonale [n0xn0] des durées opératoires minimum ai,
B : matrice diagonale [n0xn0] des durées opératoires maximum bi,
[1] : vecteur colonne [n0x1] où toutes les composantes sont égales à l’unité.

Théorème 8 [CAL97]

Les performances d’un GEFC P-temporel, obtenues pour le mode de fonctionnement

périodique, sont les mêmes que celles obtenues pour le mode K-périodique. Ainsi, la période
de fonctionnement π doit alors vérifier que : π∈[μmin, μmax].

Le théorème 10 nous amène à considérer que le système est en fonctionnement

monopériodique afin de n’avoir à prendre en compte les instants de tirs des transitions que sur
une seule période. De cette façon, la complexité et le temps de calcul induit seront limités,
tant pour la localisation d’une perturbation que pour la synthèse de la commande qui est
chargée de la gérer.

3.6.4 Structures de fonctionnement

[Link] Structure de synchronisation

Pour une structure de synchronisation figure 5 nous obtenons :

60
 Chapitre I

p1[a1, b1]
op
1
mp1

p1[a1, b1]
op po
2 mp1

Figure 5. RdP P-temporel structure de synchronisation

Sop1(n-mp1) + a1 ≤ Sop1(n-mp1) + b1
Sop2(n-mp2) + a2 ≤ Sop2(n-mp2) + b2

Ces deux relations donnent :

Max (Sop1(n-mp1) + a1 ; Sop2(n-mp2) + a2 ≤ min { Sop1(n-mp1) + b1 ; Sop2(n-mp2) + b2}

Les contraintes de temps de séjour restent spécifiées pour cette structure. La contrepartie est
que les instants de franchissement des transitions op1 et op2 ne sont pas indépendants ; ils
doivent satisfaire la relation suivante :
a1 – b1 ≤ Sop2(n-mp2) - Sop1(n-mp1) ≤ b1 – a1

Pour que cette relation soit satisfaite il faut que les instants de tir soient contrôlés. Ces
contraintes se reportent sur les tirs de toutes les transitions en amont de cette transition de
synchronisation. Elles se traduisent en particulier sur la longueur des chemins entre une
transition de parallélisme et de synchronisation, comme illustre la figure 5.

[Link] Structure de parallélisme/synchronisation

p1[a1, b1] p1[a1, b1]

ts
te

p1[a′1, b′1] p1[a′k, b′k]

Figure 6. RdP P-temporel structure parallélisme/synchronisation

Pour un marquage donné nous aurons :

l k l k
St e (n) + Max (∑ ai , ∑ a 'i ) ≤ St s (n) ≤ St e (n) + min(∑ bi , ∑ b'i )
i =1 i =1 i =1 i =1

Cette inéquation n’a de solutions que dans certains cas. Le contrôle des instants de tir est
possible si la longueur des chemins est compatible.

61
Les Réseaux de Petri P-temporels : modélisation et validation d’exigences temporelles

Dans le cas où le marquage initial est non nul sur les deux chemins, les contraintes se
compliquent davantage et il faut rajouter les distances de marques initiales par rapport à la
transition de synchronisation.

3.7 Conclusion
Les RdP P-temporels imposent naturellement l’obligation de franchissement de toutes les
transitions du réseau. Par conséquent, les instants d’arrivée des marques dans les places qui
sont des places d’entrée de transition de synchronisation doivent être compatibles. Ainsi, les
RdP P-temporels modélisent les temps de séjour minimum et le temps de séjour maximum
des marques dans toutes les places du réseau (même celles qui sont en amont des transitions
de synchronisation). Ceci n’est pas possible avec les autres modèles RdP basiques.

En contrepartie, il est nécessaire d’associer à chaque jeton une horloge locale (un
chronomètre) qui mesure le temps à partir de l’instant d’arrivée dans la place. L’ajout de ces
compteurs est utile au contrôle de la non-occurrence de morts de marques (violation de
contraintes de temps de séjour).

L’état d’un réseau de Petri temporel est donc défini par le marquage courant et par la valeur
des horloges associées aux marques ce qui a des conséquences très négatives sur la
complexité de l’analyse. La formulation de l’évaluation de performance d’un GE est par
exemple notoirement plus sophistiquée. Cet inconvénient n’est cependant dû qu’à la
complexité effective du problème modélisé.

En définitive, les RdP P-temporels permettent de capturer les exigences temporelles dans la
structure du modèle [DEF08a]. Dans le cas des GEFC, des algorithmes permettent de
calculer, le temps de cycle, les instants de tirs et les marges de fonctionnement du système en
fonctionnement monopériodique en des temps polynomiaux [KHA97]. Aucun outil de la
littérature ne présente des résultats semblables.

62
Chapitre II
Utilisations des exigences et conduite de systèmes
1. Introduction 67
1.1 La sécurité ferroviaire .............................................................................................. 67
1.2 Les ateliers à contraintes de temps........................................................................... 68
1.3 Présentation des applications ................................................................................... 69

2. Contribution au traitement des exigences de sécurités temporelles : un exemple

ferroviaire 70
2.1 Description du cas d’étude ....................................................................................... 70
2.2 Modélisation des exigences de sécurité ................................................................... 70
2.3 Classes d’états .......................................................................................................... 72
2.4 Classes d’états du modèle des exigences. ................................................................ 73
2.5 Analyse de la solution proposée............................................................................... 74
2.5.1 Description du processus............................................................................... 74
2.5.2 Classes d’état correspondant aux spécifications ........................................... 76
2.6 Discussion ................................................................................................................ 78
2.7 Conclusion................................................................................................................ 78

3. Conduite d’atelier en fonctionnement répétitif 79

3.1 Ordonnancement et galvanoplastie .......................................................................... 79
3.1.1 Le procédé ..................................................................................................... 79
3.1.2 Les résultats................................................................................................... 80
3.1.3 Identification d’une problématique clef. ....................................................... 81
3.2 Problématique de commande. .................................................................................. 82
3.2.1 RdP P-temporels commandés........................................................................ 82
3.2.2 Présentation d’un modèle général de la topologie d’atelier .......................... 83
3.2.3 Robustesse..................................................................................................... 90
3.2.4 Robustesse passive ........................................................................................ 92
3.2.5 Robustesse active .......................................................................................... 94
3.2.6 Conclusion................................................................................................... 102

4. Conclusion 103

63
Les Réseaux de Petri P-temporels : modélisation et validation d’exigences temporelles

Bibliographie dédiée
Partie 1 Sécurité ferroviaire:
1. S. Collart Dutilleul, F. Defossez, P. Bon, "Safety requirements and p-time Petri nets: A Level Crossing case
study" Computational Engineering in Systems Applications (CESA’06), Beijing, CD-ROM T4-I-35-0490 ,
Octobre 2006.
2. Defossez F., Collart Dutilleul S., P. Bon “Formal methods and temporal safety requirement: a level crossing
application”, Forms/format'07, Braunschweig, 26-28 Janvier 2007, Allemagne
3. Defossez F., Collart Dutilleul S., P. Bon « Synthèse de contrôle de systèmes à événements discrets
temporisés : application au passage à niveau » Conférence Internationale Francophone d’Automatique
CIFA08, Bucarest (Roumanie), septembre 2008.
4. Defossez F., P. Bon, Collart Dutilleul S., «Taking advantage of some complementary modeling methods to
meet critical system requirement specification» Eleventh International Conference on Computer System
Design and Operations in the Railway and Other Transit Systems (COMPRAIL 2008), Tolède (Espagne),
Septembre 2008
5. Defossez F., Collart Dutilleul S., P. Bon « Temporal requirements checking in a safety analysis of railway
systems », ”, Eleventh International Conference on Computer System Design and Operations in the Railway
and Other Transit Systems Forms/format'08), Budapest Hongrie, Octobre 2008.

Partie 2: Conduite d’atelier en fonctionnement répétitif

6. A/ Ordonnancement et galvanoplastie
7. Collart Dutilleul S., Denat J.P., Khansa W. « Commande robuste d'un atelier à flot sans stocks et sans
attentes» APII, Vol 28 n°6, 1994, pp 625-644. Période de thèse
8. Collart Dutilleul S.,. J.P. Denat. « Réseaux de Petri P-temporels et commande robuste d'ateliers avec
contraintes de temps de séjours ». JESA vol.33, n° 5-6, 1999, pp 593-610.
9. Collart Dutilleul S.,. J.P. Denat. " Control robustness and electroplating line with multi-manufacturing
process ", IFAC99 Worldcongress, Bejing , Jully 1999.
10. Collart Dutilleul S.,. J.P. Denat. "Integration of the chemist expertise in electroplating line Automation",
ECC’99 Karlsruhe.
11. Denat J.P., Collart-Dutilleul S., Marteau S., "A Static Robust Control of an electroplating line with a
periodic output objective", 2nd Conference IFAC/IFIP/IEEE Management and Control of Production and
Logistics (MCPL'2000), France, Grenoble, July 5-8, 2000
12. Chetouane F., Denat J-P, Collart Dutilleul S., “A robust decomposition and control approach for Multi-Hoist
surface treatment lignes” Proceedings of the 28TH International Conference on Computers and Industrial
Engineering. Florida, U. S. A., March 2001.
13. Collart Dutilleul S., Denat J-P, Chetouane F. « External Robust Control of Eletroplating Line » Conference
on Systems, Man, and Cybernetics (SMC’02), Hamamet, Tunisie, 2002.
14. Collart Dutilleul S. and Denat J-P “Valid transient mode with respect to time constraints in a bufferless flow
shop with single transportation resource” Computational Engineering in Systems Applications cesa2003,
Lille, France, 2003.
15. Chetouane F., Collart Dutilleul S., Denat J-P “Modelling And Analysis Of Time Constraints Using P-Time
Petri Nets For A Multi-Hoist Electroplating Line”, Conference IFAC/IFIP/IEEE Management and Control
of Production and Logistics MCPL’04, pp. 279-284, Santiago (Chili), novembre 2004.
16. Denat J.P., Collart-Dutilleul S., Chetouane F., “Cycle time calculation for electroplating lines steady state
operation using P-time Strongly Connected Event Graphs”, 17th IMACS World Congress (IMACS'2005),
CD-ROM T4-1-99-0639, Paris, France, July 2005.
17. Chetouane F; Denat J-p; Collart-Dutilleul Simon , “A flexible control for manufacturing automated
electroplating lines”, International Journal for Manufacturing Science & Production, 2007, VOL 8; NUMB
1, pages 33-48

B/ Problématique de commande
18. N. Jerbi, S. Collart Dutilleul, E. Craye et M. Benrejeb, "Robust Control of Multi-product Job-shops in
Repetitive Functioning Mode", IEEE Conference on Systems, Man, and Cybernetics (SMC’04), The Hague,
Vol. 5, pp. 4917–4922, Octobre 2004.
19. Fathi Karoui Mohamed, Collart-Dutilleul S., Craye E., « Robustesse des ateliers linéaires: cas d'un atelier de
jouets »., SETIT'2005, 27-31 march 2005, Sousse Tunisie.

64
20. Fathi Karoui Mohamed, Collart Dutilleul Simon, Craye Etienne, "Robustness of the linear workshop to the
change of ratio", 16th IFAC World Congress ,CD-ROM Th-A17-TO/1,Prague, Czech Republic, July 4-8,
2005.
21. N. Jerbi, S. Collart Dutilleul, E. Craye et M. Benrejeb, "Observability of Tolerant Multi-product Job-shops
in Repetitive Functioning Mode", 17th IMACS Word Congress on Scientific Computation, Applied
Mathematics and Simulation, Paris, CD ROM, Juillet 2005.
22. N. Jerbi, S. Collart Dutilleul, E. Craye et M. Benrejeb, "Robustesse d’un atelier à tâches sans assemblage en
fonctionnement répétitif", Séminaire d’Automatique – Industrie (SAI’06), Gabès – Matmata Tunisie, CD
ROM, Février 2006.
23. N. Jerbi, S. Collart Dutilleul, E. Craye et M. Benrejeb, "Commandabilité de systèmes manufacturiers à
contraintes de temps", JTEA’06, Hammamet Tunisie, CD ROM, Mai 2006.
24. N. Jerbi, S. Collart Dutilleul, E. Craye et M. Benrejeb, "Intégration de la robustesse dans la supervision de
systèmes manufacturiers à contraintes de temps", Conférence Internationale Francophone d’Automatique
(CIFA’06), Bordeaux, CD ROM, Mai 2006.
25. N. Jerbi, S. Collart Dutilleul, E. Craye et M. Benrejeb, "Time Disturbances and Filtering of Sensors Signals
in Tolerant Multi-product Job-shops with Time Constraints", International Journal of Computers,
Communications & control, Vol. I, n° 4, pp. 61–72, 2006.
26. N. Jerbi, S. Collart Dutilleul, E. Craye et M. Benrejeb “Localization Algorithm of Time Disturbances in
Tolerant Multi-product Job-shops” Studies in Informatics Control(SIC) Vol 16 N°1, 2007
27. S. Collart Dutilleul , N. Jerbi,, E. Craye et M. Benrejeb, “Robust Control of Multi-product Job-shops in
Repetitive Functioning Mode”, proceeding of MCPL`07, Sibiu, Roumanie, septembre 2007.
28. N. Jerbi, S. Mhalla A., Collart Dutilleul, E. Craye et M. Benrejeb, « Rejet de perturbation et commandabilité
de systèmes manufacturiers à contraintes de temps » Conférence Internationale Francophone
d’Automatique, CIFA08, Bucarest (Roumanie), septembre 2008.
29. Jerbi Nabil; Collart-Dutilleul Simon; Craye Etienne; Benrejeb Mohamed,” Commande robuste des ateliers
manufacturiers à contraintes de temps », Journal Européen des Systèmes automatisés (JESA) , à paraître

65
Les Réseaux de Petri P-temporels : modélisation et validation d’exigences temporelles

66
 Chapitre II

1. Introduction
Le premier chapitre a présenté les différents outils de modélisation utiles pour aborder les
systèmes à événements discrets sous contraintes de temps et à justifier l’outil que nous
préconisons pour modéliser les exigences temporelles. Le présent chapitre se propose
d’aborder la mise en œuvre sur deux problématiques applicatives assez générales. La première
est l’ingénierie des exigences de sécurité ferroviaire exprimées sous forme temporelles. La
deuxième est l’étude des ateliers à contraintes de temps en production répétitive.

La présentation d’un cas d’étude ferroviaire est le prétexte à la description d’un cadre général
d’utilisation des outils temporels discrets. Ce cadre est une contribution, certes des plus
humbles, de l’auteur à l’état de l’art (5 conférences).

La présentation de techniques plus élaborées s’appuyant sur les propriétés des RdP P-
temporels est l’apanage de la deuxième problématique. Les contributions fondamentales y
sont plus substantielles (5 revues et plus de 20 conférences).

1.1 La sécurité ferroviaire

La sécurité ferroviaire est un domaine d’étude d’intérêt pour les systèmes à événements
discrets à contraintes de temps. Le fait de fournir des instruments pour la caractérisation de
l’apport éventuel en termes d’exécution temporelle d’une technologie d’une part, et d’autre
part la proposition d’une approche pour la vérification de la préservation des exigences
sources sont un apport apprécié dans le cadre des projets scientifiques. Il est à noter que
l’utilisation des méthodes formelles est hautement recommandée pour réaliser les logiciels
dans le domaine ferroviaire (voir la norme CENELEC EN50128 (CENELEC, 2001)).

Les normes CENELEC EN50126, EN50128, EN50129 dans le ferroviaire ne permettent pas
l’utilisation des techniques orientées objets (allocation mémoire, variables dynamiques,
polymorphisme , héritage, déterminisme de l’exécution…).

Dans le domaine ferroviaire, le référentiel normatif (CENELEC, 2000, 2001 et 2003) est
constitué des normes CENELEC EN 50126, qui décrit les méthodes à mettre en oeuvre pour
spécifier et démontrer la Fiabilité, Disponibilité, Maintenabilité et Sécurité (FMDS), CENELEC
EN 50128, qui décrit les actions à entreprendre pour démontrer la sécurité des logiciels et
CENELEC EN 50129, qui décrit la structure du dossier de sécurité [CEN00], [CEN01],
[CEN03].

La norme CENELEC EN 50126 propose les étapes suivantes (nous ne considérons que les
aspects réalisation) pour spécifier et démontrer la sécurité d’un système.

• Définition du système et conditions d’application : profil de mission, description du

système, stratégie d’exploitation et de maintenance et identification des contraintes
générées par l’existant (autre système ou autre ligne préalablement développés).

• Analyse de risque.

67
Les Réseaux de Petri P-temporels : modélisation et validation d’exigences temporelles

• Exigences du système : analyser les exigences, spécifier le système et

l’environnement, définir les critères de démonstration et d’acceptation du système.

• Allocation des exigences du système : spécifier les exigences sous-systèmes,

équipements et/ou composants et définir les critères d’acceptation de ces éléments.

• Conception et mise en oeuvre : réaliser la conception, le développement et procéder

aux vérifications et aux validations.

La méthodologie présentée dans le cadre de cette section vise à prendre en compte ces
aspects.

L’auteur du présent mémoire a ainsi été amené à animer de la thématique 3 du pôle 2 pendant
deux ans (« exploitation et évaluation de performance ») qui concernait la modélisation des
règles ferroviaires au sein du réseau d’excellence ferroviaire européen (EURNEX). Dans le
cadre de cette synergie il a été amené à prendre la responsabilité de la tâche 2.3 (« Apport des
nouvelles technologies pour la sécurité ») de l’action de coordination européenne SELCAT
(coordination action : « [Link] European Level Crossing
Appraisal and Technology » FP 6 Sustainable Surface Transport Coordination Actions").

Cette action prospective se prolonge par un projet national « PANSAFER : pour un passage à
niveau plus sûr » dont le point clef est l’expérimentation sur site de certaines solutions,
présélectionnées après analyse des bases de données d’accidents où l’auteur aura la
responsabilité de la tâche 5 concernant l’évaluation de l’expérimentation sur un site de
production de RFF (Réseau Ferré Français).

Enfin, une convention de collaboration scientifique est signée avec l’INRETS et la SNCF
autour des règles de chantier (Projets RESCIPROC : « REcherche sur la SéCurIté de la
PROtection des Chantiers : Modèles et outils d’aide à la maîtrise des risques ferroviaires»).

Un mémoire de master et deux thèses en cours (F. Defossez et N. Fakfak) bénéficient des ces
synergies et fournissent le corps des travaux qui sont illustrés dans la deuxième section de ce
chapitre.

Il s’agit donc d’un axe de recherche prometteur. La liste des projets ci-dessus montre que
l’allocation des efforts planifiés est importante. Il n’en demeure pas moins vrai que
l’application des RdP P-temporels au ferroviaire est une thématique récente sur laquelle
aucune thèse n’a encore été soutenue.

1.2 Les ateliers à contraintes de temps

Le deuxième champ applicatif concerne les ateliers à contraintes de temps de séjours en
fonctionnement répétitif. Ce problème est historiquement plus ancien et la littérature est
beaucoup plus conséquente.

Les travaux proposés s’intéressent à la production manufacturière en très grandes séries où

l’existence de pannes et de dérives doit être intégrée dans une évaluation globale de
l’organisation de l’atelier [TOG96]. Nous supposons que les ressources ont été affectées et
que l’ordre des opérations est déjà fixé par la couche d’ordonnancement. Les hypothèses de
fonctionnement répétitif et d’absence de postes d’assemblage sont adoptées. De manière assez
classique pour ce type de problématique, le formalisme utilisé est celui des réseaux de Petri P-

68
 Chapitre II

temporels et P-temporels commandés, pour l’étude des instants de débuts et de fins des
opérations.

Le milieu industriel est assujetti à plusieurs événements perturbants qui obligent à des
variations des temps de séjour initialement fixés. La robustesse de l’atelier est sa capacité à
conserver les propriétés spécifiées en présence de ces variations. Si ces perturbations
temporelles sont dans les intervalles associés aux opérations, cela n’a pas d’influence sur la
qualité des produits et le fonctionnement est qualifié de dégradé. C’est un cas de la robustesse
passive où aucun changement dans la conduite n’est nécessaire pour que les propriétés
spécifiées par le cahier des charges soient conservées. Dans le cas où les perturbations
temporelles dépassent les bornes des intervalles associés aux opérations, c’est un cas de la
robustesse active où les propriétés spécifiées peuvent être maintenues, mais au prix d’un
calcul total ou partiel de la conduite.

1.3 Présentation des applications

La première partie a donc décrit les enjeux et les motivations relatifs à la présentation des
applications des RdP P-temporels.

La deuxième section de ce chapitre se concentre sur la sécurité ferroviaire évaluée à l’aide de

modèles discrets. Elle est l’occasion d’illustrer l’efficacité de coopération des outils des RdP
P-temporels et t-temporels dans l’optique du traitement d’une étude complète de
spécification/validation. Plutôt que de mettre en compétition ces deux outils, une utilisation
conjointe des qualités respectives de chacun est proposée.

Dans la troisième section, les ateliers à contraintes de temps sont l’objet d’une analyse
fonctionnelle plus fine et détaillée. Une approche constructive et modulaire y est développée
autour du concept de robustesse aux aléas. En effet, ces derniers ne manquent pas d’intervenir
lorsque le système est en production répétitive (ce qui correspond à l’approximation d’un
temps de production infini).

La dernière partie fait une synthèse critique des sections précédentes. Elle cherche par ailleurs
à proposer un inventaire rapide des thématiques importantes encore non traitées à ce jour.

69
Les Réseaux de Petri P-temporels : modélisation et validation d’exigences temporelles

2. Contribution au traitement des exigences de

sécurités temporelles : un exemple ferroviaire
Ce travail se situe dans une problématique générale de sécurité dans les transports
ferroviaires. Dans ce domaine, le passage à niveau est un composant critique. Ainsi, dans
[JAN00], des spécifications temporelles précises sont utilisées pour remplir les exigences de
sécurité.

Après une présentation succincte du cahier des charges, un modèle des exigences est donc
construit à l’aide des RdP P-temporels [COL06, [DEF07], [DEF08a]. Dans un deuxième
temps la solution proposée par [JAN00] est spécifiée d’un point de vue temporel en utilisant
des RdP t-temporels. Enfin, les deux modèles ainsi obtenus sont mis en correspondance pour
valider l’adéquation entre les spécifications et les exigences [DEF08b].

2.1 Description du cas d’étude

Le croisement de la route et de la ligne de chemin de fer est appelé zone de danger (cf. figure
7), dans la mesure où les trains et les usagers de la route (automobilistes, cyclistes, piétons) ne
doivent pas y pénétrer en même temps, pour éviter tout risque de collision. Le passage à
niveau est pourvu de demi-barrières, ainsi que de feux de signalisation commandés par le
système de contrôle du passage à niveau. Ce dernier est activé lorsqu’un train approchant du
passage à niveau est correctement détecté.

Un autre système de contrôle est embarqué dans le train. Enfin, un centre d’opérations
supervise les interactions entre les deux précédents composants. Les demi-barrières sont
utilisées pour empêcher le franchissement du passage à niveau aux usagers de la route lors du
passage d’un train. L’utilisation de telles barrières rend possible le franchissement du passage
à niveau par les usagers de la route qui ne respecteraient pas le code de la route et qui
prendraient le risque de passer par la voie de gauche. On a pu observer cette infraction induite
par un trop long temps d’attente devant un passage à niveau fermé. Pour tenir compte de cette
possibilité, un temps maximal de fermeture du passage à niveau au delà duquel les barrières
seront relevées est imposé dans la spécification. Ainsi, le train doit arriver au passage à niveau
240 secondes après avoir envoyé son ordre d’activation. Au bout de ces 240 secondes, les
barrières seront relevées et les lumières éteintes. Il est donc important de contrôler que cette
spécification ne rende pas notre système non-sécurisé par exemple dans le cas d’un train qui
mettrait plus de 240 secondes pour dépasser le passage à niveau et qui le traverserait alors
qu’il n’est pas fermé à la circulation.

2.2 Modélisation des exigences de sécurité

Nous proposons un modèle de réseau de Petri P-temporel pour décrire le système composé du
passage à niveau et du train.

70
 Chapitre II

Figure 7. Modèle Réseau de Petri P-temporel du passage à niveau

Sur la figure 8, on peut observer deux séquences synchronisées lorsque certains événements
ont lieu. L’exigence temporelle décrite en section (V-A) est représentée par la place p12, qui
modélise la limitation de la durée de fermeture du passage à niveau (PàN).

Figure 8. Modèle des exigences temporelles d’un passage à niveaux.

71
Les Réseaux de Petri P-temporels : modélisation et validation d’exigences temporelles

Il est intéressant de souligner que les spécifications temporelles n’introduisent pas de choix
structurel sur la modélisation du système : ceci est un des avantages de l’utilisation des
réseaux de Petri P-temporels. Il existe deux sortes d’états interdits dans le modèle de la
figure 8:

1. Les premiers proviennent des spécifications temporelles en présence de

synchronisations.

2. Les seconds correspondent à la présence d’un train dans la zone de danger lorsque les
barrières sont ouvertes. De fait, lorsque la place p4 contient un jeton, ce qui correspond
au passage d’un train dans la zone de danger, l’unique jeton dans la portion modélisant
le passage à niveau doit se trouver obligatoirement dans la place p11 .Tous les autres
états sont interdits.

Cette dernière catégorie appartient à une classe d’états interdits largement abordée par la
littérature [KRO91].

2.3 Classes d’états

Il existe deux méthodes d’analyse des RdP. La première est l’analyse structurelle, alors que la
deuxième est l’analyse énumérative. C’est cette dernière qui est utilisée dans les lignes qui
vont suivre, dans le but d’expliciter les propriétés dynamiques du système. Cette approche
s’appuie sur la construction d’un arbre de couverture.

La vérification que les états interdits ne sont pas accessibles et l’analyse du respect des
contraintes temporelles entre les différents événements d’un scénario donné appelle la
recherche exhaustive de tous les états du système. Cependant, pour ce qui est des contraintes
temporelles le nombre d’états n’est pas fini. Il est donc impossible de faire une exploration
directe par énumération.

Pour pallier cela, les états sont regroupés en un nombre fini de classes d’états qui sont des
abstractions. Ainsi, un graphe de couverture des classes d’états est construit pour décrire les
états et leurs contraintes temporelles qui sous-tendent l’évolution d’une classe à une autre.
L’analyse mise en œuvre est analogue à celle qui est classiquement utilisée pour les arbres de
couvertures.

Cette technique est utilisée ici pour vérifier si la projection des classes générées à partir du
modèle RdP t-temporel de la solution spécifiée sur l’espace des exigences est inclue dans les
classes découlant du modèle RdP P-temporel des exigences.

Plus formellement soit:

Sr: l’ensemble des classes d’états produites à partir du modèle RdP P-temporel des
exigences
Ss: l’ensemble des classes d’états produites à partir du modèle RdP t-temporel du
processus correspondant à une solution pressentie.
D: Espace des exigences,
R(A,B): c’est une application qui effectue la projection de l’espace A sur l’espace B.

72
 Chapitre II

La validité d’une solution sera donc caractérisée par la condition suivante:

R(Ss, D) ⊂ Sr

Les méthodes de construction des classes d’états pour les deux outils de modélisation sont
expliquées dans le paragraphe qui suit.

2.4 Classes d’états du modèle des exigences.

Une représentation finie des états accessibles est obtenue en construisant un graphe de
couverture des classes [KHA97].

Un état est atteignable à partir d’un état initial par l’exécution d’une séquence de tir de
transition (s). A chaque séquence de mise à feu est associé un temps (u).

Ainsi une classe d’état associée à une séquence (s) est l’ensemble des états accessibles à
partir de l’état initial en effectuant la mise à feu des transitions de la séquence (s).

Une classe est donc un couple C=(M,D) avec :

M: le marquage de la classe
D: le domaine des instants de tirs potentiel des transitions à partir de la classe.

Figure 9: Graphe de classe du réseau de Petri P-temporel

73
Les Réseaux de Petri P-temporels : modélisation et validation d’exigences temporelles

La figure 9 représente le graphe du RdP P-temporel des classes de la figure 8. Il est composé
par des classes Ci et des arcs qui les connectent entre elles.

Un arc (Ci, Cj) représente le tir de la transition qui mène de Ci à Cj.

Le détail du marquage des 17 classes du graphe de la figure 9 est décrit dans le tableau 1 ci-
dessous.
Classe Marquage Classe Marquage
C0 5, 14 C9 1, 6, 8, 11, 13
C1 1, 6, 14 C10 2, 6, 8, 11, 13
C2 2, 6, 14 C11 2, 6, 12
C3 2, 9 C12 1, 6, 12
C4 2, 10, 13 C13 5, 12
C5 2, 7, 11, 13 C14 1, 9
C6 3, 11, 13 C15 1, 10, 13
C7 4, 11, 13 C16 1, 7, 11; 13
C8 5, 8, 11, 13

Tableau 1: Classes d’état du modèle P-temporel

Une fois le graphe des classes d’états construit pour les exigences, il faut maintenant effectuer
le même type de traitement pour le modèle du processus proposé comme solution. Après cela,
il sera possible de confronter les spécifications aux exigences.

2.5 Analyse de la solution proposée

Le processus correspondant à la solution proposée est maintenant modélisé à l’aide des RdP t-
temporels. De fait, cet outil a été présenté au chapitre précédent comme particulièrement
performant pour décrire une spécification temporelle.

L’ensemble des comportements possibles est donc capturé au sein d’un graphe de classes.

2.5.1 Description du processus

Le modèle de la figure 10 propose une solution censée suivre les exigences décrites par la
figure 8.

Les deux séquences en parallèles représentent d’une part l’évolution du train (p1, p2, p3, p4)
et d’autre part le comportement du passage à niveau (p9, p10, p11, p12).

En fait, de la place p1 à la place p14, le modèle est le même que celui de la figure 3, à
l’exception notoire de la p13. Cette place qui modélisait une contrainte de temps de séjour
dans le modèle P-temporel est remplacée par une structure de « chien de garde » dans le
modèle t-temporel. L’évolution du marquage, une fois que le place correspondant au chien de
garde est marquée correspond à un processus de recouvrement qui ramène le système vers un
état normal lorsque le temps de séjour n’a pas été respecté.

Sur la figure 10, si un jeton reste plus de 240 secondes dans p10 (respectivement p11), la
transition t11 (respectivement t12) est tirée et la procédure dont le but est d’éviter l’ouverture
de la barrière lorsque le train est dans la zone du PàN est enclenchée cette procédure est

74
 Chapitre II

censée correspondre à la mort d’un jeton dans la place p13 du modèle P-temporel de la figure
3. Ce comportement spécifique est développé dans le paragraphe suivant.

Figure 10: Modèle t-temporel de la solution

Premièrement il y a deux possibilités: soit le train, qui a signalé sa présence par radio, est
toujours dans la zone du PàN (il y a donc une marquée dans une des places allant de p1 to p4),
soit le train est sorti du PàN (dans ce cas la place p8 est marquée).

Dans le premier scenario (mise à feu de t12), la station de contrôle doit décéder si le train peut
être arrêté.

Dans l’affirmative, ce dernier est arrêté avant la zone de danger et la procédure commençant
par l’envoi d’un message radio (t15 est tirée) qui déclenche la séquence d’allumage des feux
et de fermeture de la barrière. Une temporisation a été associée à la transition t18. C’est une
interprétation de la spécification qui tombe sous le sens puisque l’exigence de temps de
fermeture maximum de 240 secondes découle des risques de franchissement de barrière par
les automobilistes quand le temps d’attente est trop long au PàN. Cet ajout correspond à
l’exigence fonctionnelle suivante : les voitures en attente doivent avoir le temps de passer
avant la nouvelle fermeture des barrières.

Dans l’autre cas, le train doit passer malgré le dépassement de temps (t16 est mise à feu).

Si le centre de contrôle détecte que le train n’est plus dans la zone du PàN, il ordonne
l’ouverture des barrières (t11 est tiré).

75
Les Réseaux de Petri P-temporels : modélisation et validation d’exigences temporelles

Remarques :

• Plusieurs interprétations ont du être faites sur les spécifications textuelles de [JAN00].
Ces interprétations se sont appuyées sur les exigences sources. C’est une illustration
de la nécessité de tracer les exigences.

• Ces imprécisions sont surprenantes dans une spécification de référence de la littérature

scientifique ferroviaire. Elles plaident pour l’intégration d’outils formels fournissant
une sémantique temporelle rigoureuse.

• Le modèle de la figure 10 est une représentation simplifiée de la spécification

technique qui ne représente pas explicitement le comportement du calculateur. Le
mécanisme temporel de chien de garde est ainsi biaisé.

2.5.2 Classes d’état correspondant aux spécifications

La figure 11 décrit le graphe correspondant au procédé de la figure 10.

Figure 11: Graphe des classes du modèle t-temporel

La description des 38 classes du graphe de la figure 11 est donnée dans le tableau 2.

76
 Chapitre II

Classe Marquage Classe Marquage

C0 5, 14 C19 2, 7, 16
C1 1, 6, 14 C20 3, 15
C2 2, 6, 14 C21 4, 11, 13
C3 1, 9 C22 1, 7, 17
C4 2, 9 C23 2, 7, 17
C5 1, 10, 13 C24 3, 17
C6 2, 10, 13 C25 4, 17
C7 1, 15 C26 5, 8, 17
C8 1, 7, 11, 13 C27 1, 6, 8, 17
C9 2, 15 C28 2, 6, 8, 17
C10 2, 7, 11, 13 C29 1, 6, 12
C11 1, 16 C30 2, 6, 12
C12 1, 7, 15 C31 5, 12
C13 2, 16 C32 3, 16
C14 2, 7, 15 C33 4, 15
C15 3, 11, 13 C34 4, 16
C16 1, 18 C35 5, 8, 16
C17 1, 7, 16 C36 5, 8, 11, 13
C18 2, 18 C37 5, 8, 15

Tableau 2: Marquage des classes d’état du RdP t-temporel.

Les classes soulignées dans le tableau 2 sont celles qui sont directement incluses dans la
projection sur l’espace des exigences (il s’agit donc du graphe de couverture du modèle P-
temporel).

Il faut rappeler que les trajectoires d’état qui démarrent par le déclenchement du chien de
garde sur le modèle t-temporel ne correspondent pas aux exigences. Doit-on pour autant,
condamner cette proposition ?

En fait, aucune procédure de recouvrement ou mode dégradé n’est décrite dans les exigences.
La projection sur l’espace des exigences élimine donc toutes les classes d’état qui ne sont
accessibles que par le tir des transitions t11 or t12. Cette projection restreint donc les classes
du tableau 2 aux classes qui sont soulignées : les exigences sont donc remplies.

Remarques :

Le lecteur avertit sera resté sur sa faim concernant l’analyse du comportement temporel. Les
tableaux 1 et 2 ne contiennent pas les intervalles temporels associés aux classes d’états. En
fait, la spécification de Jansen précise que le conducteur de la motrice, aidé d’un calculateur
embarqué, doit contrôler la vitesse du train de façon à pouvoir s’arrêter avant la zone de
danger d’une part et à être en mesure de franchir le PàN dans les temps d’autre part. Ainsi,
quelles que soient les exigences temporelles, la spécification est réputée y répondre.

Par contre, la traçabilité des exigences temporelles doit être mise en œuvre afin que cette belle
ellipse textuelle ne reste pas lettre morte. Les exigences temporelles capturées dans le graphe
des classes P-temporel doivent être transmises dans les modes opératoires du conducteur et
dans le cahier des charges du calculateur. Cette remarque est plus subtile qu’il n’y paraît, car
les intervalles temporels du graphe des classes intègrent les couplages minimaux entre les

77
Les Réseaux de Petri P-temporels : modélisation et validation d’exigences temporelles

exigences. Si ces couplages sont négligés, l’assemblage de la solution ne passera pas l’étape
de validation quand bien même les exigences sur chacun des composants seraient localement
remplies.

2.6 Discussion
La figure 10 présente la solution spécifiée par Jansen pour répondre aux exigences sources.

Le travail présenté dans cette section a mis en évidence une exigence temporelle implicite. En
effet, le temps maximum de fermeture de la barrière est de 240 secondes. Cette exigence peut
rentrer en conflit avec une exigence implicite, mais essentielle : la barrière ne doit jamais
s’ouvrir lorsqu’un train est dans la zone de danger.

Comme le modèle des exigences ne décrit que le comportement nominal, on ne peut rien
conclure sur la validité de la procédure de recouvrement qui constitue l’essentiel de la
contribution de [JAN00]. Il faudrait donc réécrire les exigences en s’aidant d’une approche
plus formelle. Une sémantique plus appropriée que le langage naturel est notamment
souhaitable pour la spécification temporelle. De fait, des imprécisions ont été révélées par la
modélisation en t-temporels.

2.7 Conclusion
La sécurité ferroviaire est un domaine d’études où les besoins d’outils formels sont très
importants. Les projets, industriels, nationaux et européens dans lequel l’auteur s’est vu
impliqué en témoignent. Le cas d’étude typique du passage à niveau a donc servi de support
illustratif des outils qui ont été présentés au chapitre précédents. Les RdP t-temporels et P-
temporels, parfois présentés dans la littérature comme concurrents, prouvent chacun leur
utilité dans une phase de l’analyse. Que ce soit pour la description des exigences par les P-
temporels ou la modélisation des spécifications à l’aide des t-temporels, les imprécisions et
les problèmes de consistance des descriptions textuelles apparaissent de manière impitoyable.

De plus, la capture du comportent dans un graphe de classe d’état permet des vérifications
systématiques de consistance entre les exigences et les spécifications.

L’exemple traité dans ces lignes a fait l’objet de modélisation en utilisant le langage UML
[BON00], des traductions vers le langage B en vue des certifications sont proposées
[BOU06]. L’intégration des RdP P-temporels dans une méthodologie s’appuyant sur ces
différents outils est envisagée [DEF08b].

L’exploitation des propriétés des graphes de classes n’est pas complète dans cette
présentation. Les spécifications fines découlant des couplages décrits dans les intervalles des
classes des RdP P-temporels ne sont pas présentées ici. Plus généralement, les techniques
permettant d’extraire les propriétés d’un modèle P-temporel pour construire une commande
conforme aux exigences ont été passées sous silence [COL03b]. Certaines publications sur ce
sujet concernent directement ce cas d’études [COL06], [DEF07], [DEF08a].

Ce dernier aspect sera cependant illustré de manière beaucoup plus complète en prenant
comme application les ateliers à contraintes de temps de séjours en fonctionnement répétitif
dans la section suivant de ce chapitre.

78
 Chapitre II

3. Conduite d’atelier en fonctionnement répétitif

La deuxième partie de ce chapitre s’intéresse aux applications des RdP P-temporels sur les
ateliers à contraintes de temps de séjour. Les circonstances ont dirigé ces travaux vers des
ateliers en fonctionnement répétitif. Cette restriction n’a pourtant pas de justification
théorique directe.

L’observateur attentif remarquera cependant que les procédés à contraintes de temps sont
souvent extrêmement difficiles à régler. De ce fait, une certaine répétition dans les modes
opératoires est souhaitable dans les industries chimiques, alimentaires ou pharmaceutiques.

Cette partie du chapitre 2 est composée de deux sections. La première se consacre aux
travaux initiaux relatifs à l’ordonnancement des lignes de galvanoplasties. Ces derniers sont
sommairement évoqués pour amener rapidement au constat que l’industrie contient des
ateliers dont l’ordonnancement en temps réel n’est pas à envisager de manière générale. Cette
section ouvre donc naturellement vers la thématique d’étude de la deuxième section : la
commande temporelle robuste.

La deuxième section définit tout d’abord un cadre de travail conceptuel, tant au niveau des
outils utilisés, que de la typologie d’atelier considérée. Ensuite un certain nombre de résultats
concernant la robustesse sont proposés. Enfin, la problématique de détection des produits
incorrects et la localisation des défaillances sont abordées. Une proposition basique pour la
gestion du compromis production et surveillance de l’atelier est enfin présentée.

3.1 Ordonnancement et galvanoplastie

L’ordonnancement des ateliers à contraintes de temps en s’appuyant sur le formalisme des
RdP P-temporels s’est essentiellement intéressé au domaine du traitement de surface
[COL97a]. Cet axe de recherche s’est prolongé dans une synergie impliquant le LISTIC
[COL99], l’université de Muncton [CHE07] et le LAGIS.

3.1.1 Le procédé

Une chaîne de traitement de surface est constituée des 3 éléments suivants : un ensemble de
cuves, des aires de chargement et déchargement, un système de transport. Les durées
opératoires des traitements effectués dans les cuves doivent être fixées entre une borne
minimum et une borne maximum. Les transports des pièces entre les bains de traitement,
effectués par un pont roulant, doivent eux aussi être choisis entre un minimum et un
maximum : le minimum est le temps de trajet de la ressource de transport, le maximum
provenant du fait que du réactif est entraîné par les pièces. Chacune des cuves assure un
traitement chimique spécifique et leur charge admissible est unitaire. Le procédé est
schématisé sur la figure 12.

79
Les Réseaux de Petri P-temporels : modélisation et validation d’exigences temporelles

Chariot de manutention

Support Cuve

Figure 12. Ligne de galvanoplastie

3.1.2 Les résultats

L’approche s’appuie sur un modèle du procédé dont sont extraites les contraintes utilisées par
une procédure de séparation et évaluation qui tente d’insérer les encours un à un (heuristique
de Shapiro) de manière à augmenter le taux de production [COL99].

Figure 13. Modèle du procédé de galvanoplastie à 4 bacs

Le même principe est utilisé pour la gestion de plusieurs chariots : ils sont insérés les uns
après les autres lorsque aucune solution n’a été trouvée avec un nombre moindre de chariot
[COL97b], [CHE04], [CHE07].

80
 Chapitre II

3.1.3 Identification d’une problématique clef.

En fait, l’ordonnancement d’atelier de galvanoplastie, connue dans la littérature sous le nom

de « Hoist Scheduling Problem», est un problème connu pour être NP difficile [LEI89]. Par
ailleurs, l’utilisation de plusieurs chariots dans l’atelier amène une complexité qualifiée
d’effroyable dans l’état de l’art [MAN94].

La collaboration avec la société Graphocolor, dans le cadre des projets CORRINE

homonymes, régional de la région Rhônes-Alpes d’une part et national d’autre part, a amené à
considérer une architecture d’atelier typique.

[Link] Atelier de référence

Les cuves

Le nombre de postes de traitement est de 56.

Il existe deux cuves multibacs et deux cuves multifonctions.

Les ressources de transports

L’atelier est divisé en trois lignes parallèles desservies chacune par deux palans de
manutention. Un septième chariot est dédié au chargement et au déchargement de l’atelier de
galvanoplastie. Cette configuration a nécessité l’introduction de deux zones de transfert. Ces
zones sont constituées par des cuves pouvant contenir deux produits en même temps.

[Link] Analyse

Le problème d’ordonnancement à traiter, même en négligeant les configurations singulières

(cuve multi bacs, cuve de transfert ou multifonctions) est donc un atelier comportant 56
postes et 7 ressources de transports. Le temps opératoire le plus court étant de l’ordre de la
seconde, l’ordonnancement d’un tel atelier en temps réel est difficilement envisageable.

Ce constat a induit des propositions des décompositions spatiales et fonctionnelles de l’atelier

s’appuyant sur une caractérisation de l’indépendance partielle des composants [COL97c],
[COL98], [COL01].

Cependant, au delà des solutions ponctuelles une décomposition en deux sous-problèmes de

l’ordonnancement a été proposée :

La recherche de l’ordre d’exécution des opérations. Cette tâche devra construire un GEFC
dans le cas d’un fonctionnement cyclique. Le réglage des instants de débuts des opérations
lorsque l’affectation et leur ordre ont été établis, c’est la commande temporelle.

Cette commande temporelle aura pour tâche d’exploiter au maximum les possibilités de
fonctionnement valide d’un ordonnancement. En effet, la recherche de ce dernier est NP-
difficile et la combinatoire est déraisonnable. La suite de ce chapitre est ainsi consacrée à la
commande temporelle robuste.

81
Les Réseaux de Petri P-temporels : modélisation et validation d’exigences temporelles

3.2 Problématique de commande.

Les travaux de ce mémoire s’intéressent entre autres à la synthèse de commande permettant
de faire face aux perturbations d’une nature quelconque ayant des conséquences temporelles.
Rappelons que d’un point de vue fonctionnel, l’ordonnancement de l’atelier est supposé fixé
et que cette commande n’agit que sur les instants de tirs des transitions, mais en aucun cas, la
permutation dans une séquence de tir préétablie n’est envisageable. La définition informelle
de la commande que nous venons de donner correspond à celle de la commande temporelle
qui sera détaillée dans le chapitre suivant.

Concrètement, il s’agit d’introduire un mécanisme permettant de retarder ou d’avancer les

instants de tir d’un GE P-temporel. De la même façon, il faut modéliser le fait que certaines
parties du processus de fabrication sont instrumentées et d’autres ne le sont pas. En l’absence
de capteurs, le début ou la fin de certaines opérations ne sont pas directement observables.
Une proposition classique dans ce cas de figure est d’introduire une distinction entre les
transitions : certaines sont observables et d’autres non, certaines sont commandables et
d’autres non.

Cela nous ramène alors à traiter un cas particulier de la problématique décrite par Krogh et
Holloway [KRO91]. Ces travaux traitent la synthèse de commande dans le but d’éviter des
états qualifiés d’ « états interdits ». Notre travail se cantonne lui, à éviter des états temporels
correspondant aux dépassements des temps de séjour valides. Ces états interdits qui nous
intéressent ici, correspondent d’ailleurs à des morts de marques.

3.2.1 RdP P-temporels commandés

Définition 26

En s’inspirant de la définition de Long des RdP commandés [LON93], un RdP P-temporel

commandé (RPC) est défini de la manière suivante : RPC=(RP, ϕ, U, U0) tel que :
RP est un RdP P-temporel qui décrit le système en boucle ouverte,
ϕ est une application de l’ensemble des places de RP vers l’ensemble des opérations
Γ : ϕ : P → Γ,
U est la commande externe sur les transitions de RP, construite à partir des prédicats
utilisant l’occurrence d’événements observables internes ou externes au système : U :
T → {0, 1},
U0 est la valeur initiale du vecteur des prédicats.

L’ensemble des transitions est décomposé en quatre sous-ensembles suivant que les
transitions sont commandables ou observables :
T = TC∪TUC∪TO∪TUO,
TC : l’ensemble des transitions commandables,
TUC : l’ensemble des transitions non commandables,
TO : l’ensemble des transitions observables,
TUO : l’ensemble des transitions non observables.

82
 Chapitre II

Une transition est dite observable si la couche de commande sait si elle est tirée ou non sans
qu’aucun calcul ne soit effectué [COL97a]. Cela correspond notamment au cas où un capteur
détecterait directement la fin ou le début d’une action.

Une transition t∈T est dite « état validé » pour le marquage M si elle est validée dans RP pour
M.

Une transition t est dite « commande validée » si U(t) = 1. Par définition, les transitions non
commandables sont toujours « commande validée ».

Pour être mise à feu, une transition doit être « état validé » et « commande validée ». Ce
franchissement consiste à :

• retirer une marque de chacune de ses places d’entrée et rajouter une marque dans
chacune de ses places de sortie,

• effectuer les opérations ϕ(p) associées à ses places de sortie.

Remarque

Les opérations sont associées aux places et non pas aux transitions comme l’a défini Long
pour les RdP commandés de façon générale.

3.2.2 Présentation d’un modèle général de la topologie d’atelier

L’atelier considéré correspond, au niveau des hypothèses, à celui étudié dans la thèse de
Hillion [HIL89]. La seule différence est la présence, dans notre cas, de contraintes de temps
de séjour nécessitant l’utilisation des RdP P-temporels à la place des RdP temporisés.
Précisons ensuite que le problème de l’allocation des ressources ou de l’ordonnancement sont
supposés déjà résolu et que dans cette section seule l’étude de la robustesse nous concerne.
Nous mentionnons aussi les travaux de Long qui fournissent un formalisme plus orienté vers
la synthèse de commande d’ateliers [LON93]. Cette première partie présentera une
décomposition classique avant d’aborder une étude plus personnelle se focalisant sur la
problématique des temps de séjour.

[Link] Approche classique

Les systèmes considérés dans nos travaux sont :

• des ateliers multi-produits sans postes d’assemblage (pas de synchronisation entre les
flux) et avec des ratios de production fixés,

• ordonnancés,

• à fonctionnement cyclique monopériodique,

• avec partage dynamique des machines entre les gammes des différents [Link]
supposons aussi que les ressources de transport (chariot, palettes, balancelles, etc.) sont en
nombre limité et sont supposées ne charger qu’une seule pièce à la fois.

83
Les Réseaux de Petri P-temporels : modélisation et validation d’exigences temporelles

Les temps de séjour dans les places n’ont pas la même signification fonctionnelle lorsqu’ils
sont associés à des places des gammes opératoires ou à des places représentant des ressources
libres. En utilisant [LON93], une décomposition fonctionnelle du RdP en quatre ensembles
est établie [JER04]:
RU : ensemble des places représentant les machines utilisées,
RN : ensemble des places représentant les machines non utilisées,
TransC : ensemble des places de transfert chargées ou encore ensemble des places
modélisant chacune l’utilisation d’une ressource de transport pour le transfert d’un
produit,
TransNC : ensemble des places de transfert non chargées ou encore ensemble des places
modélisant chacune un déplacement d’une ressource de transport à vide. Il désigne
aussi l’ensemble des places représentant les stocks des pièces non traitées.

Remarques

Au niveau du cahier des charges, aucune contrainte temporelle n'est associée aux places
appartenant à l’ensemble RN.

Les gammes opératoires des différents produits n'imposent aucune contrainte temporelle sur
les places de l’ensemble TransNC.

Les temps associés aux places des ensembles RN et TransNC peuvent être modifiés en temps
réel, sans que la qualité de la production ne se trouve impactée. Cette caractéristique est
fondamentale dans le calcul de la robustesse.

Exemple

Soit l’atelier de la figure 14. Il est composé essentiellement de :

• trois machines M1, M2 et M3,
• sept tapis roulants : T1, T2, T3, T4, T5, T6 et T7.

Cet atelier est destiné à fabriquer deux types de produits A et B, avec des ratios de 50%. La
production envisagée est caractérisée par les deux gammes opératoires suivantes, u.t.
désignant l’unité de temps :
GO1 : Opération 1.1 : M1 ([15 u.t., 20 u.t.]); Opération 1.2 : M2 ([2 u.t., 20 u.t.]);
Opération 1.3 : M3 ([15 u.t., 20 u.t.]);
GO2 : Opération 2.1 : M2 ([5 u.t., 12 u.t.]); Opération 2.2 : M1 ([2 u.t., 20 u.t.]);

Les deux gammes opératoires GO1 et GO2 possèdent deux machines partagées (M1 et M2).

Pour fabriquer le produit A, une pièce non traitée est prise du stock S1. Elle est transférée par
le tapis T1 à la machine M1 où elle subit la première transformation. Une fois cette dernière
est achevée, la pièce est transportée par le tapis T7 à la machine M2 où elle subit la deuxième
transformation. Ensuite, la pièce arrive à la machine M3, par la voie du tapis T3, pour subir la
dernière opération. Enfin, le produit fini A est déposé sur le tapis T4 à destination du stock des
produits finis SA.

84
 Chapitre II

Pour fabriquer le produit B, une pièce non traitée est prise du stock S2. Elle est transférée par
le tapis T2 à la machine M2 où elle subit la première transformation. Une fois cette dernière
est achevée, la pièce est transportée par le tapis T6 à la machine M1 où elle subit la deuxième
transformation. Enfin, le produit fini B est déposé sur le tapis T5 à destination du stock des
produits finis SB.

Il convient de noter que le transitoire de chargement de l’atelier n’est pas décrit dans ces
lignes.

M2 M1
T2 T6

T1
S2
T7
S1
T3 T5

T4 SB
M3

SA

Figure 14. Exemple d’un atelier multi-produits

La figure 15, page 87 montre le RdP P-temporel ordonnancé modélisant le processus de

fabrication considéré. Rappelons que ce graphe est donné par la couche
d’ordonnancement/planification.

Notations
qie : le temps de séjour prévu du jeton dans la place pi, calculé par la couche
d’ordonnancement cyclique.
qi : le temps de séjour instantané du jeton dans la place pi.

Il désigne aussi le temps de séjour effectif dans la place pi lorsque le jeton est tiré. Ce temps
de séjour effectif peut être différent de qie, suite à une perturbation temporelle ou bien suite à
une modification des instants de tir des transitions par la commande dans le but de compenser
une perturbation.
Ste(n) : le nème instant de tir prévu de la transition t.
St(n) : le nème instant de tir effectif de la transition t.
ISi : l’intervalle de temps associé à la place pi.
RU° : l’ensemble des transitions de sortie des places appartenant à RU.
TransC : l’ensemble des transitions de sortie des places appartenant à TransC.
°RU : l’ensemble des transitions d’entrée des places appartenant à RU.

85
Les Réseaux de Petri P-temporels : modélisation et validation d’exigences temporelles

°TransC : l’ensemble des transitions d’entrée des places appartenant à TransC.

RN° :l’ensemble des transitions de sortie des places appartenant à RN.
TransNC° : l’ensemble des transitions de sortie des places appartenant à TransNC.
°RN : l’ensemble des transitions d’entrée des places appartenant à RN.

°TransNC : l’ensemble des transitions d’entrée des places appartenant à TransNC.

Les intervalles (ISi) et les temps de séjour prévus (qie) associés aux différentes places sont :
IS1=[30, 47], q1e=38, IS2=[5, 12], q2e=7, IS3=[10, 20], q3e=15, IS4=[2, 20], q4e=10,
IS5=[1, +∞], q5e=10, IS6=[0, +∞], q6e=5, IS7=[0, +∞], q7e=8, IS8=[8, +∞], q8e=13,
IS9=[8, +∞], q9e=15, IS10=[5, 15], q10e=12, IS11=[15, 20], q11e=17, IS12=[3, 7], q12e=6,
IS13=[2, 20], q13e=5, IS14=[2, 7], q14e=5, IS15=[15, 20], q15e=16, IS16=[1, +∞] et
q16e=19.

En faisant abstraction du régime transitoire, seul le régime permanent est considéré. Par
conséquent, les instants initiaux de mise à feu des différentes transitions sont :
St1e(1)=15, St2e(1)=22, St3e(1)=37, St4e(1)=7, St5e(1)=17, St6e(1)=12, St7e(1)=29,
St8e(1)=35, St9e(1)=0, St10e(1)=5, St11e(1)=21 et St12e(1)=0.

Le fonctionnement répétitif monopériodique est caractérisé par la période π=40. Il est alors
défini sur une fenêtre temporelle de largeur égale au temps de cycle. Cette fenêtre peut être
représentée différemment puisqu’elle peut être déplacée arbitrairement sur l’axe temporel.

La décomposition fonctionnelle envisagée de ce réseau est la suivante (figure 15) :

RU={p2, p4, p11, p13, p15}, RN={p6, p7, p8, p9}, TransC={p1, p3, p10, p12, p14},
TransNC={p5, p16}, GO1=(t12, p10, t6, p11, t7, p12, t8, p13, t9, p14, t10, p15, t11) et GO2=(t5,
p1, t1, p2, t2, p3, t3, p4, t4).

La gamme opératoire, figure 16, est alors le chemin qui commence par une transition po
appartenant à TransNC° et qui se termine par la transition °p appartenant à °TransNC, sans
passer par une place de RN.

Les jetons, qui figurent dans les places appartenant à TransNC, modélisent des ressources de
transport disponibles. Les jetons dans les places de la gamme opératoire correspondent aux
en-cours dans le système (pièce et ressource de transport).

86
 Chapitre II

IS16=[1, +∞]
q16e=19

p16

IS10=[5, 15] IS11=[15, 20] IS12=[3, 7] IS13=[2, 20] IS14=[2, 7] IS15=[15, 20]
q10e=12 q11e=17 q12e=6 q13e=5 q14e=5 q15e=16
p10 p11 p12 p13 p14 p15

M1 M2 M3

IS7=[0, +∞] IS8=[8, +∞]

p6 p7 p8 p9
q7e=8 q8e=13
IS6=[0, +∞] IS9=[8, +∞]
q6e=5 q9e=15
M2 M1
p1 p2 p3 p4

IS1=[30, 47] IS2=[5, 12] IS3=[10, 20] IS4=[2, 20]

q1e=38 q2e=7 q3e=15 q4e=10

Place appartenant à TransC

Place appartenant à RU
p5
Place appartenant à RN IS5=[1, +∞]
q5e=10
Place appartenant à TransNC

Figure 15. Décomposition fonctionnelle de l’atelier

87
Les Réseaux de Petri P-temporels : modélisation et validation d’exigences temporelles

p10 t6 p11 p12 p13 p14 p15

M1 M2 M3

Gamme opératoire GO1

M2 M1
p1 p2 p3 p4

Gamme opératoire GO2

Figure 16. Gammes opératoires GO1 et GO2

[Link] Décomposition orientée synchronisation

Au chapitre précédent, il a été présenté que la mort de marques potentielle survenait au

voisinage d’une transition de synchronisation dans un RdP P-temporel. La démarche doit
donc contenir une étude systématique de toutes les synchronisations du graphe. Ainsi, sont
considérées des composantes élémentaires ne contenant qu’une unique transition de
synchronisation : ce sont les chemins élémentaires mono-synchronisés.

Définition 27

Un chemin dans un RdP est un sous-ensemble ordonné et orienté d’éléments connexes de

T∪P, tel que :
Succ(t∈T) = p∈P
Succ(p∈P) = t∈T

où Succ(N) désigne le successeur de N dans le chemin.

Définition 28 [JER04]

Un sous-chemin mono-synchronisé Lpk est un chemin contenant une et une seule transition de
synchronisation qui est son dernier élément.

Définition 29

Un sous-chemin mono-synchronisé élémentaire est un sous chemin mono-synchronisé

commençant par une place p tel que op est une transition de synchronisation.

Remarques

Le dernier sous chemin mono-synchronisé Lpkd est constitué par la différence ensembliste
entre le chemin global Lp et les sous chemins élémentaires mono-synchronisés : Lpkd = Lp\(∪
Lpk).

88
 Chapitre II

Par définition les sous chemins mono-synchronisés constituent une partition de Lp :

Lp=(∪Lpk)∪Lpkd.

Dans le cas où le RdP G est un circuit, G=Lpkd constitue le seul chemin mono-synchronisé.

Exemple

Les sous chemins mono-synchronisés élémentaires de la figure 15 sont en nombre de huit :

Lp1=(p13, t9, p14, t10, p15, t11, p16, t12, p10, t6), Lp2=(p13, t9, p9, t1), Lp3=(p2, t2, p3, t3),
Lp4=(p2, t2, p8, t8), Lp5=(p4, t4, p5, t5, p1, t1), Lp6=(p4, t4, p6, t6), Lp7=(p11, t7, p7, t3) et
Lp8=(p11, t7, p12, t8).

Notations
Cms est l’ensemble des sous chemins mono-synchronisés.
Cse est l’ensemble des sous chemins mono-synchronisés élémentaires.
IN(Lp) est le nœud d’entrée du chemin Lp.
OUT(Lp) est le nœud de sortie du chemin Lp.
TS est l’ensemble des transitions de synchronisation.
TP est l’ensemble des transitions de parallélisme.

La figure 17 montre un sous-chemin mono-synchronisé élémentaire Lp1=(p13, t9, p14, t10, p15,
t11, p16, t12, p10, t6) et différentes notations utilisées.

89
Les Réseaux de Petri P-temporels : modélisation et validation d’exigences temporelles

p16 p13=IN(Lp1) représente

t8=°IN(Lp1) est une transition une machine utilisée
de synchronisation (t8∈TS) (p13∈RU)
IS16=[1, +∞]
q16e=19

IS10=[5, 15] IS11=[15, 20] IS12=[3, 7] IS13=[2, 20] IS14=[2, 7] IS15=[15, 20]
q10e=12 q11e=17 q12e=6 q13e=5 q14e=5 q15e=16
t12 p10 p11 p12 p13 p14 p15 t11

IS7=[0, +∞] IS8=[8, +∞]

p6 p7 p8 p9
q7e=8 q8e=13
IS9=[8, +∞]
IS6=[0, +∞] q9e=15

t6=OUT(Lp1) est une transition t9=IN°(Lp1) est une transition

de synchronisation (t6∈TS) de parallélisme (t9∈TP)

Figure 17. Un sous chemin monosynchronisé élémentaire Lp1=(p13, t9, p14, t10, p15, t11, p16, t12,
p10, t6) et différentes notations

Lemme 1
La partition minimale d’un RdP G constituée de sous-chemins mono-synchronisés est
définie par : G=∪Lpk où Lpk est le kème sous-chemin mono-synchronisé élémentaire de
n0
G tel que Card({Lp k }) = ∑ N j où N j = ∑ w -ij ,
Nj ≥ 2 i =1

sachant que (w -ij ) . sont les coefficients de la matrice d’incidence avant de dimensions [n0xm0]
(n0=Card(P) et m0=Card(T)).

3.2.3 Robustesse

La section précédente a présenté une décomposition pour l’étude de la robustesse des ateliers
à contraintes de temps de séjour. Dans la présente section, la robustesse est définie de manière
générale, avant d’en aborder le calcul effectif.

90
 Chapitre II

Cette section constitue une contribution à la synthèse d’une commande robuste avec et sans
boucle de retour [RAM87].

[Link] Définitions

Définition 30 [COR96]

La robustesse d’un système est définie comme sa capacité à conserver les propriétés
spécifiées en présence de variations ou d’incertitudes prévues ou imprévues.

La robustesse se définit par rapport à deux paramètres : le type de variations d’une part et la
définition des qualités requises pour la sortie du système d’une autre part [COL97a]. Pour un
système manufacturier le critère de sortie est en général le respect de la gamme. Il peut se voir
enrichi par divers critères comme le nombre d’en-cours, la régularité de sortie des produits, ou
le temps de séjour dans l’atelier.

Pour chaque système et chaque niveau dans le cas d’une conduite hiérarchisée, la robustesse
peut être de deux types différents [COL97a] :

• la robustesse interne concerne les changements de valeur des paramètres du modèle du

procédé,

• la robustesse externe touche quant à elle les variations, intentionnelles ou non,

acceptables à l’entrée du système.

Pour une cellule de production, les perturbations externes sont par exemple les variations des
gammes de fabrication, des taux de production pour une même gamme et les variations des
instants d’arrivée des produits. La robustesse externe de la cellule qualifiera sa capacité à
changer d’objectifs (gamme et/ou taux de production) et à assurer ceux-ci indépendamment
des fluctuations des entrées [COL97a]. Les perturbations internes sont, par exemple, les
variations des temps opératoires ou les pannes des machines.

Selon la nature de la réaction face à une perturbation, la robustesse peut être aussi
décomposée en deux types : robustesse passive ou robustesse active.

Définition 31 [COL97a]

La robustesse passive correspond au cas où aucun changement dans la conduite n’est

nécessaire pour que les propriétés spécifiées par le cahier des charges soient conservées en
présence de variations.

Remarque

Dans le cas de la robustesse passive, les marges temporelles au niveau du procédé peuvent
être utilisées. Les temps de séjour vont varier tout en restant dans les spécifications imposées
par le cahier des charges.

91
Les Réseaux de Petri P-temporels : modélisation et validation d’exigences temporelles

Définition 32 [COL97a]

La robustesse active correspond au cas où les propriétés spécifiées peuvent être maintenues,
mais au prix d’un calcul total ou partiel de la conduite.
Considérons un Système à Evénements Discrets (SED).
Soit G le modèle RdP P-temporel associé.
Appelons B(G) le comportement de G correspondant à la trajectoire des états
successivement atteints.
Notons C(B(G)) le cahier des charges établi sur le comportement du système B(G). Ce
cahier des charges se matérialise par une série de contraintes que doit vérifier B(G). Le
non respect de C(B(G)) correspond à une violation du cahier des charges.

Définition 33

Un chemin Lp∈G possède une robustesse sur [δmin, δmax] si l’occurrence d’une perturbation
δ∈[δmin, δmax], soit à l’entrée soit en un nœud quelconque de ce chemin, ne provoque pas une
violation de C(B(G)).

3.2.4 Robustesse passive

Dans cette partie, nous présentons des résultats concernant la robustesse passive, restreints
dans un premier temps à une notion locale. Est présentée ensuite une méthode de calcul d’une
borne inférieure de la robustesse en un nœud donné. Cette approche cherche à agréger les
différentes informations de robustesse locale de tous les chemins du graphe.

Définition 34

Un chemin Lp possède une robustesse passive locale sur [δmin, δmax] à son entrée si
l’occurrence d’une perturbation δ∈[δmin, δmax] à l’entrée de ce chemin ne provoque aucune
mort de marque au niveau de ses transitions de synchronisation.

Dans la suite, nous donnons les formules analytiques de calcul des marges de robustesse
passive locale à l’entrée d’un sous chemin mono-synchronisé [JER04].

Notations
δrLpk (respectivement δaLpk) : retard (respectivement avance) acceptable à l’entrée du sous
chemin mono-synchronisé Lpk,
Δrck (respectivement Δack) : marge de retard (respectivement d’avance) compensable sur le
sous chemin mono-synchronisé Lpk,
Δrtk (respectivement Δatk) : marge de retard (respectivement d’avance) transmissible sur le
sous chemin mono-synchronisé Lpk,
pz : la dernière place du chemin Lpk,
S°pze(n) : le nème instant de tir prévu de la transition d’entrée de la place pz,
S°pz(n) : le nème instant de tir effectif de la transition d’entrée de la place pz.

92
 Chapitre II

Cas d’une avance

δaLpk = Δack + Δatk

avec :

Δac k = ∑ (q ie − b i ) + [(q ze − b z ) si p z ∉ R N ]
pi ∈Lpk ∩(R N ∪Trans NC )

Δat k = max(a i − q ie )
p io = OUT(Lp k )
pi∉Lpk
pi ∈R N

Cas d’un retard

δrLpk = Δrck + Δrtk

avec :

Δrc k = ∑ (q − ai )
ie
pi ∈Lpk ∩(R N ∪TransNC )

Δrt k = min(b i − q ie )
p = OUT(Lp k )
o
i
pi∉Lpk

Définition 35 [JER04]

La robustesse passive est une robustesse assurée sans modification de la commande initiale
sur l’ensemble RU°∪TransC°∪TransNC°. On utilise alors, pour le calcul de la plage de
robustesse, les marges au niveau de RN, TransNC et les (bi−qie) et les (ai−qie) du procédé au
niveau des synchronisations.

Algorithme de calcul de la robustesse passive au retard d’un

SED en un noeud n [JER04]

Ci-après un algorithme de calcul d’une borne inférieure de la marge de robustesse passive au

retard (Marge) d’un SED en un nœud n.
ϕ = {Lpj/ (n°=IN(Lpj))∧(Lpj∈Cms)∧(Lpj∈G)}
Marge ⇐ min[Δrcj + F(G\Lpj, OUT(Lpj)°, min (bi−qie))]
j poi= OUT(Lpj)
poi∉Lpj
Δrcj : la marge de retard compensable sur le sous chemin mono-synchronisé Lpj
F(G*, p*, Δrt)
{

93
Les Réseaux de Petri P-temporels : modélisation et validation d’exigences temporelles

ϕ* = {Lpj/ (p*∈Lpj)∧(Lpj∈Cse)∧(Lpj ∈G*)}

Si (ϕ* == Φ ou Δrt == 0) alors (F ⇐ Δrt)
Sinon
{
F ⇐ min{min[Δrt, (Δrcj + F(G*\ Lpj, OUT(Lpj)°, min (bi−qie)))]}
j poi= OUT(Lpj)
poi∉Lpj
}
}

Remarques

L’enlèvement d’un sous-chemin mono-synchronisé élémentaire de G est effectué pour la

construction de l’ensemble ϕ* uniquement. Les places, pour lesquelles nous recherchons les
sous chemins mono-synchronisés qui les contiennent, appartiennent simplement à G.

Les places, ajoutant des contraintes sur une synchronisation, sont prises en compte, même si
elles appartiennent à un sous chemin mono-synchronisé élémentaire qui a été éliminé.

Conclusion

Une définition locale de la robustesse passive à l’entrée d’un chemin a été établie et
analytiquement étudiée. Une méthodologie d’intégration de ces robustesses locales a ensuite
été présentée. L’algorithme de calcul fournit une borne inférieure de la robustesse au retard en
un nœud donné. Le fait d’obtenir une borne inférieure montre clairement que notre intégration
est perfectible. En effet, il n’a pas été considéré que la transmission d’une perturbation sur
deux chemins parallèles puisse donner lieu à une compensation mutuelle.

3.2.5 Robustesse active

[Link] Commandabilité

La possibilité de commander les systèmes à évènements discrets, de manière à leur faire

respecter un comportement spécifique, est une problématique fréquemment rencontrée dans la
littérature sous une formulation assez générale [HOL90], [HOU04], [BON05], [HAM05],
[OUE05], [RAM87].

Une étude systématique visant à prouver la commandabilité locale sous contraintes de temps
de séjour a été développée. Elle a pour finalité de permettre la mise en œuvre de la robustesse
active. Elle est sommairement décrite dans les lignes qui suivent.

La première étape consiste à caractériser analytiquement les différents aspects du

comportement du système. La capacité de réjection passive du système va écraser les
variations du système (voulue ou non). Elle va donc atténuer l’effet d’une commande qui
s’appuie sur la marge disponible pour la commande.

94
 Chapitre II

A partir de ces deux phénomènes, la capacité de la commande à agir sur le système peut être
mathématiquement décrite. L’impact local des variations est d’abord considéré, puis en
raisonnant de proche en proche c’est la commandabilité globale qui peut être appréhendée.

Définitions

Définition 36 [JER05]

L’intervalle de capacité de rejet temporel passif d’un chemin Lp est

RC(Lp)=[Ca(Lp), Cr(Lp)],

Ca(Lp) (respectivement Cr(Lp)) étant la capacité de rejet temporel passif à une avance
(respectivement à un retard).

Définition 37 [JER06a]

La marge disponible de commande à l’avance, fa(pi), et la marge disponible de commande au

retard, fr(pi), associées à la place pi, sont définies par :
fa : P → R

⎧a i − q ie si q i ≤ a i
⎪
p i a f a (p i ) = ⎨q i − q ie si a i < q i < q ie
⎪0 si q ≤ q ≤ b
⎩ ie i i

fr : P → R

⎧b − q ie si q i ≤ q ie
p i a f r (p i ) = ⎨ i
⎩b i − q i si q ie < q i ≤ b i

Définition 38 [JER06b]

Une transition t constitue un sous-chemin élémentaire localement commandable sur la plage

[Δmin, Δmax] si (t∈TC et [max(fa(pi)), min(fr(pi))]≠[0, 0]).
poi=t poi=t

Il vient alors : Δmin=max(fa(pi)) et Δmax=min(fr(pi)).

poi=t poi=t

95
Les Réseaux de Petri P-temporels : modélisation et validation d’exigences temporelles

Définition 39

Un chemin Lp est localement commandable sur la plage [Δmin, Δmax] si une variation δ∈[Δmin,
Δmax] peut être générée par la commande sur son dernier élément sans occasionner de mort de
marques au niveau de ses transitions de synchronisation.

Définition 40

Un chemin Lp est commandable sur la plage [Δmin, Δmax] si une variation δ∈[Δmin, Δmax] peut
être générée par la commande sur son dernier élément sans occasionner de violation de
contraintes du cahier des charges.

Méthodologie de construction

Le paragraphe qui suit est très descriptif. Il effectue une restitution des travaux suivants :
[JER04],[JER06b],[JER08a].

Le principe est simple et consiste à donner les conditions d’extensions d’une partie
commandable sur un intervalle à une partie plus étendue, de manière analogue aux approches
antérieures concernant les RdP temporisés [COL95]. De cette façon, il est possible à la fois de
prouver la capacité locale du système. Cette capacité peut être utilisée pour implanter une
commande modulaire décentralisée [COL01].

Par ailleurs, la commandabilité globale pourra être construite petit à petit. L’ensemble des
scénarii envisageables rend les développements fastidieux, aussi a-t-il été choisi de ne pas les
décrire de manière systématique dans ce rapport. Un exemple de lemme utilisé pour la
construction d’un ensemble localement commandable est donné ci-dessous.

Lemme 2. [JER06b]

Si (Lp est un chemin localement commandable sur la plage [Δmin, Δmax] et °p∈T est son
dernier nœud) alors (Lp∪p est un chemin localement commandable sur :
[Δ’min, Δ’max] =[min(0, (Δmin−Ca(p))), max(0, (Δmax−Cr(p)))]).

Théorème

Pour résoudre un problème de commande temporelle robuste, un théorème de robustesse

active en une transition de synchronisation est élaboré. Le but est d’envisager de résoudre les
problèmes localement les uns après les autres afin de résoudre le problème global. Les
preuves des différents résultats sont consultables dans [JER08b].

Pour la mise en œuvre de la robustesse active, nous posons le problème de commandabilité

sur les chemins parallèles qui mènent à la transition de synchronisation considérée. La
première étape consiste à rechercher, sur un chemin parallèle donné, une transition
directement commandable. Sur cette transition, le problème suivant est posé : pouvons nous
injecter un décalage temporel qui permet d’éviter la mort de marque ou de supprimer une
condition qui mène à la mort de marque ?

Si la réponse à cette question est non; deux autres possibilités peuvent être considérées :

96
 Chapitre II

• la première est de regarder s’il n’existe pas de transition indirectement commandable

par un chemin parallèle amont et le problème de robustesse active est reposé sur cette
dernière,

• la deuxième consiste à allonger le chemin vers l’amont en recherchant une autre

transition commandable. L’algorithme converge puisqu’il ne reste au bout d’un
moment que des transitions dont les tirs ont été effectués.

Théorème 9 [JER06c]

Soient :
t∈TO, pk∈P, h∈P∪T, m∈TS,
Sp°ke(n) : le nème instant de tir prévu de la transition p°k,
St(n) : le nème instant de tir effectif de la transition t,
Lpk : le kème chemin dont la place d’entrée pk contient un jeton synchronisé en m
avec le jeton perturbé en h et tel que : (OUT(Lpk)°°=m) et (Sp°ke(n) > St(n)),
pj : la place par laquelle l’impact de la commande arrive à la transition m (p°j=m
et pj=OUT(Lpk)°),
pz : la place par laquelle la perturbation arrive en m (p°z=m),
EC(h,m) : l’ensemble des chemins orientés qui relient h à m,
CPr={Lpj∈EC(h,m)/ Cr(Lp j ) = min(Cr(Li )) },
L i ∈ EC(h, m)
CPa={Lpj∈EC(h,m)/ Ca(Lp j ) = max(Ca(L i )) }.
L i ∈ EC(h, m)

Une condition suffisante pour que le système considéré possède une robustesse active locale
en une transition de synchronisation m suite à une perturbation δ en h, observable en t, est
qu’il existe au moins un chemin Lpc∈{Lpk} commandable sur [Δmin, Δmax] tel que :
δC∈[Δmin, Δmax],
(Lpc∩CPa) = Φ, dans le cas d’une avance,
(Lpc∩CPr) = Φ, dans le cas d’un retard.

La valeur de δC peut être calculée de la manière suivante :

considérant une avance :

δ C = min[0, δ − max(Ca(Li )) − (a j − q je ) − (q ze − b z )]
L i ∈ EC(h, m)

considérant un retard :
δ C = max[0, δ − min(Cr(Li )) − (b j − q je )]
L i ∈ EC(h, m)

97
Les Réseaux de Petri P-temporels : modélisation et validation d’exigences temporelles

Lemme 3

Soit t1 et t2 deux transitions commandables possédant respectivement les plages de robustesse

passive [Δ1min, Δ1max] et [Δ2min, Δ2max].

Soit δ1∈[Δ1min, Δ1max] et δ2∈[Δ2min, Δ2max] les variations imposées par la commande des
instants de tir respectifs de t1 et t2.

Si δ1 et δ2 sont de même type (retard-retard ou avance-avance), l’application simultanée des

commandes imposant respectivement δ1 en t1 et δ2 en t2 n’engendre pas de mort de marque.

Lemme 4

Soit un chemin Lp dont la plage de commandabilité locale est égale à [Δmin, Δmax].

Soit δi le décalage temporel injecté par la commande sur la transition ti tel que l’ensemble
Γδ={δi} définit une suite de décalages de même nature correspondant à la génération du
décalage temporel δ∈[Δmin, Δmax] à la sortie du chemin Lp.

Soit [Δ’imin, Δ’imax] la plage de robustesse passive en ti.

Si (∀ δ∈[Δmin, Δmax], ∀ δi∈Γδ, δi∈[Δ’imin, Δ’imax]) alors Lp est un chemin commandable sur
[Δmin, Δmax].

Lemme 5

Considérons la perturbation δ en h, envisagée par le théorème. Supposons que m est le seul

nœud au voisinage duquel il puisse y avoir une mort de marque en l’absence de commande.

Si la perturbation transmise en m est dans la plage de robustesse passive à l’entrée de m°, la

perturbation δ appartient à la plage de robustesse active en h.

Conclusion

Dans cette section, nous avons décrit comment intégrer les diverses propriétés de
commandabilité locale pour construire une commande globale fournissant une robustesse
active. Rappelons que cette plage de robustesse active est plus large que la robustesse passive
et fournit donc plus de possibilités pour poursuivre la production en mode dégradé. Ce
fonctionnement dégradé permet de ne pas arrêter l’atelier tout en fournissant une qualité
acceptable des produits fabriqués. Par contre, les instants de sorties des pièces de l’atelier ne
sont plus garantis.

La contribution de cette partie est constituée par des apports méthodologiques en vue de la
synthèse d’une commande étendant la plage de robustesse. A partir du théorème énoncé, nous
voyons bien la manière avec laquelle est transmis de proche en proche un problème
d’évitement de mort de marque, afin de se situer dans une plage de robustesse passive.

Par ailleurs, la stratégie consistant à atténuer la perturbation par la commande n’a pas été
considérée, bien que certains résultats soit déjà publiés [COL07], [JER08a]. La compatibilité
de l’utilisation de cette stratégie avec celle proposée dans cette section mérite d’être étudiée
de manière approfondie. Une thèse est d’ailleurs en cours sur ce sujet.

98
 Chapitre II

[Link] Observabilité

La robustesse active utilise l’hypothèse que la perturbation est observable. L’observabilité

doit donc être étudiée. De plus, au-delà de la commande, les besoins d’observabilité existent
réellement dans les ateliers à contraintes de temps. Certaines perturbations sont des
symptômes annonçant les pannes à venir. Ainsi, ils sont très utiles à la maintenance
préventive. Bien plus, la fonction de production elle-même mérite d’être surveillée tant il est
vrai que pour les ateliers considérés le non respect du cahier des charges pour le produit est
inacceptable. C’est le cas, par exemple, lorsque le produit est un aliment.

A ce propos, la présentation d’une architecture de détection intégrant un filtrage des alarmes

en fonction de leur pertinence quant à la qualité du produit ou à la dégradation de l’outil de
production constitue un apport significatif de nos travaux [JER06d]. Ils mettent en œuvre une
collaboration des outils P-temporels et t-temporels qui a déjà été illustrée dans ce rapport lors
de la première partie de ce chapitre. Pour cette raison ces travaux seront juste mentionnés.

Une violation de contraintes non observable signifie qu’il n’y a pas de preuve que le produit
est correct. Dans le cas où le procédé serait peu stable (ce qui est souvent le cas dans les
industries chimiques), il faut absolument que les dérives impactant la qualité soient
instrumentées. En d’autres termes, les moyens matériels permettant leurs observations doivent
exister. Une commande et même un ordonnancement peuvent être rejetés, au motif que des
perturbations critiques ne peuvent pas être observées.

L’extraction rigoureuse des informations comportementales du RdP P-temporel de l’atelier est

particulièrement longue. Aussi, seuls les grands principes motivants les travaux sont décrits
dans les paragraphes qui suivent.

La matière même des résultats pourra être consultée dans la chapitre 3 de la thèse de Jerbi
Nabil [JER06a]. Si le lecteur souhaite une présentation plus condensée (donc moins
pédagogique), il la trouvera dans un article de revue en langue anglaise [JER07a].

Définitions

Définition 41

Une perturbation temporelle est détectable si son occurrence crée un décalage temporel sur
une transition observable t∈TO tel que St(n)≠Ste(n).

Définition 42

Une perturbation temporelle est quantifiable s’il est possible de connaître de manière
analytique la valeur temporelle de la perturbation initiale.

Définition 43

Une perturbation temporelle est localisable s’il est possible d’identifier son lieu d’occurrence.

99
Les Réseaux de Petri P-temporels : modélisation et validation d’exigences temporelles

Définition 44

Une perturbation temporelle est partiellement localisable si son nœud d’occurrence appartient
à un sous-ensemble donné de P.

Définition 45

Une perturbation temporelle est observable si et seulement si elle est détectable, quantifiable
et localisable.

Définition 46

Un RdP est dit observable si et seulement si toute perturbation, survenant en un nœud du

réseau, est observable.

Construction à base de lemme

Les différents scenarii combinent des perturbations qui sont ou ne sont pas supérieurs à la
capacité de rejections des chemins, qui contiennent ou ne contiennent pas des transitions
observables, des mécanismes de parallélisme ou de synchronisations. Sept lemmes différents
ont été introduits et leurs preuves ont été présentées.

Un de ces lemmes est présenté ci-dessous.

Lemme 6 [JER06a]

Soient Lp∈Cse, tp∈(Lp∩TP∩TUO), t∈(Lp∩TO) et Cr(Lp(tp,t)) la capacité de rejet temporel

passif au retard du tronçon du chemin Lp compris entre les transitions tp et t.

Notons :
DIF(tp) l’ensemble des chemins commençant par tp.
DIFn(tp) la restriction de DIF(tp) tel que : ∀Lp’∈DIFn(tp), ∀t’∈Lp’, St’(n+mt’) <
St(n), avec mt’=Mn−1(Lp’(tp,t’))−Mn−1(Lp(tp,t)).

Soient Lp’∈DIFn(tp), t*∈(Lp’∩TO) et Cr(Lp’(tp,t*)) la capacité de rejet temporel passif au

retard du tronçon du chemin Lp’ compris entre les transitions tp et t*. Etant donné une
perturbation au retard δ, les assertions suivantes sont établies :
⎧(t ∉ TS ) ∧ (δ rt (n) > 0)
⎪
⎨δrt (n) + Cr(Lp(tp, t)) − Cr(Lp' (tp, t*)) > 0 ⇒ δ ∈ [Lp(tp, t) \ {tp}] ........................... 1
⎪δr (n + m ) = 0
⎩ t* t*

⎧(t ∉ TS ) ∧ (δ rt (n) > 0)

⎨ ⇒ δ ∉ [(Lp(tp, t) ∪ Lp' (tp, t*)) \ {tp}] ....................................... 2
⎩δrt* (n + m t* ) ≠ 0

100
 Chapitre II

⎧(t ∈ TS ) ∧ (δ rt (n) > 0)

⎪ ⎧δ ∉ {°tp, tp}
⎨Cr(Lp' (tp, t*)) < H' (tp, t) ⇒ ⎨δr (n − M (Lp(tp, t))) < H' (tp, t) ................................ 3
⎪δr (n + m ) = 0 ⎩ tp n −1
⎩ t* t*

⎧(t ∈ TS ) ∧ (δ rt (n) > 0)

⎨ ⇒ δ ∉ [Lp(tp, t) \ {tp}] .............................................................. 4
⎩δrt* (n + m t* ) ≠ 0

Exemple

On se réfère à l’exemple du début de cette section (Figure 15).

Soient Lp=(p13, t9, p14, t10, p15, t11, p16, t12, p10, t6), t11∈(Lp∩TO∩TNS),
t9∈(Lp∩TP∩TUO), Lp’=(t9, p9, t1) et t1∈(Lp’∩TO).

Il vient :
Mn−1(Lp(t9,t11))=0, Mn−1(Lp(t9,t1))=0, Lp’∈DIFn(t9) (St9e(1)=0, St11e(1)=21 et
St1e(1)=15), Cr(Lp(t9,t11))=0, Cr(Lp’(t9,t1))=Cr(Lp’)=8 et mt1=0.

Premier cas : δrt11(n)=10>Cr(Lp’)

Si δrt1(n)=0, les conditions de (1) sont satisfaites et δ∈{p14, t10, p15, p11}. Autrement,
un résidu δrt1(n)=10−Cr(Lp’)=2 doit être observé en t1 avant le franchissement de la
transition t11.
Si δrt1(n)=2, les conditions de (2) sont satisfaites et δ∉{p9, t1, p14, t10, p15, p11}.

Deuxième cas : δrt11(n)=6<Cr(Lp’)

Si δrt1(n)=0, il n’est pas possible de conclure puisque la capacité de rejet temporel
passif au retard Cr(Lp’) est supérieure à l’effet résiduel de la perturbation δ à la place
d’entrée du chemin Lp’. La perturbation envisagée ne peut pas être détectée en t1.

Ils sont utilisés par un algorithme qui remonte les traces de la perturbation le long des
chemins mono synchronisés tout en effectuant une localisation partielle [JER06a].

Conclusion

Cette partie consacrée à l’observabilité des perturbations temporelles a donné lieu à la

présentation d’un certain nombre de lemmes visant à intégrer la notion de rejet temporel
passif du système qui peut masquer les perturbations. Si dans l’introduction nous avons
souligné l’importance de l’observation des perturbations, force est de constater après cette
étude que ce problème est très difficile. Ainsi, l’algorithme que nous fournissons ne donne
dans le cas général qu’une localisation partielle. Sans surprise, l’instrumentation et le
positionnement de capteurs se révèlent une problématique clef pour les ateliers à contraintes
de temps.

[Link] Observabilité des violations de contraintes

Une violation de contraintes est avant tout une rupture des spécifications du cahier des
charges concernant la production. Concrètement, il y a l’assurance qu’au moins un temps

101
Les Réseaux de Petri P-temporels : modélisation et validation d’exigences temporelles

opératoire n’a pas été respecté. En conséquence, il existe au moins un produit qui n’est pas
conforme. Conformément à la définition des RdP P-temporels, les violations de contraintes se
matérialisent par la mort de marques dans les places en amont des transitions de
synchronisation. Rappelons simplement qu’un produit non conforme est absolument
inutilisable dans les ateliers à contraintes de temps et que dans ce cas il faut absolument
l’identifier et l’éliminer.

Définitions

Les définitions utilisées sont le pendant de celles qui ont servi pour l’observation des
perturbations. L’observation s’appuie sur la détection, la localisation et la quantification
[JER05].

Théorème

Une série de lemme ont servi à construire l’énoncé d’un théorème donnant une condition
suffisante de détection et de localisation de violation de contraintes. Les hypothèses de ce
théorème sont cependant assez restrictives et il serait judicieux de travailler à en étendre
l’espace d’application. Une présentation pédagogique de cette approche peut être consultée
dans le chapitre 3 de la thèse de Jerbi Nabil [JER06a].

3.2.6 Conclusion

Un atelier à contraintes de temps de séjour, minimums et maximums, est ici modélisé par un
RdP P-temporel. Une violation de contraintes du cahier des charges est matérialisée par la
mort de marque.

La robustesse passive caractérise la faculté du système à maintenir les qualités spécifiées pour
les sorties sans qu’aucune nouvelle action spécifique ne soit mise en œuvre. Une
caractérisation analytique de cette propriété a tout d’abord été établie localement. Puis un
algorithme de calcul a permis de construire une borne inférieure à sa valeur en un point.

Le fait de ne posséder qu’une borne inférieure pose des problèmes pour faire de la détection
de violation de contraintes. En l’état, il existe une plage de valeurs où nous sommes
incapables d’affirmer si le traitement effectué sur les produits est correct ou non. Ce point
critique fait l’objet d’efforts intensifs actuellement (Thèse de Annis Mhalla).

La robustesse active quant à elle s’appuie sur le contrôle des instants de tirs des transitions.
Cette commande temporelle permet, dans certains cas, d’éviter cette mort de marque. Elle
garantit alors la continuité de la production tout en assurant la qualité des produits délivrés.
C’est dans ce sens qu’une axiomatique visant la construction de chemins localement
commandables a été élaborée. Elle a pour but de tracer la voie pour la mise en œuvre de la
commande réactive. Elle est concrètement constituée par la présentation d’un théorème
[JER08b].

L’étude de l’observabilité des perturbations temporelles dans les ateliers à contraintes de

temps s’est révélée ardue et dans un cas général nos travaux ne fournissent qu’une localisation
partielle de ces perturbations. Concernant les violations de contraintes, une condition
suffisante a été établie. De manière générale, l’étude du positionnement des capteurs est une
problématique clef pour l’observabilité d’un système à contraintes de temps de séjour.

102
 Chapitre II

4. Conclusion
Ce deuxième chapitre a donc été consacré à la présentation des applications développées
autour de l’outil RdP P-temporels.

Dans un premier temps, les apports des RdP temporels dans le domaine de la sécurité
ferroviaire ont été évoqués sur un cas d’étude : le passage à niveau. Le paradoxe de la
faiblesse des publications au regard des synergies industrielles et de l’adéquation des modèles
a été expliqué par la jeunesse de la thématique. Cette dernière est cependant porteuse de gros
espoirs quant aux développements scientifiques fondamentaux et à l’instrumentation
logicielle des approches existantes.

Dans un deuxième temps, les ateliers à contraintes de temps de séjours ont été abordés. La
galvanoplastie, domaine applicatif historique, a permis de montrer l’exploitation du modèle
pour la génération de contrainte en vue de la recherche d’un ordonnancement. Les difficultés
d’appréhender en temps réel ce type de problème ont été pointées du doigt. La préconisation
de la qualité de robustesse a donc été faite dans le but d’éviter, tant que faire se peut, cet
ordonnancement en ligne si périlleux.

L’étude de la robustesse constitue donc une partie substantielle de ce mémoire. La topologie

particulière considérée est constituée par des ateliers à contraintes de temps sans postes
d’assemblage où le fonctionnement est supposé répétitif. Une décomposition originale
orientée vers l’étude des mécanismes de synchronisation a été développée.

Elle a permis l’étude de la robustesse passive du système sans modification de la commande

initiale. Un algorithme de calcul agrégeant les robustesses locales a procuré une borne
inférieure.

D’autre part, une axiomatique visant à construire la commandabilité locale sous contraintes de
temps a été détaillée. Elle a débouché sur la présentation d’un théorème formulant une
condition suffisante à la mise en œuvre de la robustesse active.

La robustesse active s’appuie sur l’observabilité des perturbations. Une construction

systématique à base de lemmes n’a su produire qu’un algorithme de localisation partielle des
perturbations. Un théorème pour la détection des violations de contraintes a aussi été présenté.

Ce chapitre aura donc vu se dérouler une liste assez large d’applications potentielles. Cette
liste comprend différents domaines et différents niveaux d’interventions. Il est assez naturel
de penser que les domaines applicatifs pourraient facilement être étendus. Certains points non
traités, comme le placement de capteurs, apparaissent d’ailleurs comme des lacunes à combler
rapidement.

Indépendamment des manques et des limitations qui ont pu être mis à jour lors de l’exposé
des différentes applications, le temps est loin d’être le seul paramètre sur lequel des exigences
peuvent être exprimées.

Le chapitre suivant discutera donc des possibilités de généralisation des travaux présentés
dans ce chapitre en remettant en cause l’outil de modélisation utilisé.

103
Les Réseaux de Petri P-temporels : modélisation et validation d’exigences temporelles

104
Chapitre III

Les RdP à intervalles pour les exigences non

temporelles
1. Introduction 107

2. Les RdP à Intervalles [COL04] 108

2.1 Définition: .............................................................................................................. 108
2.2 Définition d’un état ................................................................................................ 110
2.3 Calcul de l'état suivant ........................................................................................... 111
2.4 Structures de fonctionnement................................................................................. 112
2.5 Les RdP P-temporels : une sous classe des RdP à intervalles [COL03a] .............. 113
2.6 Les RdP à intervalles et classes d’états [COL03a]................................................. 114
2.7 Exemple d’une chaîne de fabrication de cigarettes ................................................ 115
2.7.1 Présentation du procédé d’alimentation de tabac........................................ 116
2.7.2 Modélisation du procédé et intégration du poids ........................................ 117
2.7.3 Conclusion applicative ................................................................................ 123

3. Conclusion 125

105
Les Réseaux de Petri P-temporels : modélisation et validation d’exigences temporelles

Bibliographie dédiée :
1. Collart Dutilleul S., [Link]., “Time window specification and validation with Petri nets”, 9th IEEE
International Conference on Emerging Technologies and Factory Automation, Lisbone, pp232 - 237
vol.1, Portugal, 16-19/09/2003.
2. Collart Dutilleul S., H. Dhouibi, E. Craye, « Internal Robustness of Discret Event System with internal
constraints in repetitive functionning mode ». ACS’2003 conference, Miedzyzdroje, October 2003,
Poland.
3. Collart Dutilleul S., H. Dhouibi, E. Craye. « Tolerance analysis approach with interval constrainted
Petri nets ». European Simulation and Modelling Conference (ESMc) 2004 conference, Paris.
4. H. Dhouibi, S. Collart Dutilleul, L. Nabli, E. Craye « Utilisation de la simulation pour valider la
robustesse d’un système hybride » MHOSI’05, Méthodologies et Heuristiques pour l’Optimisation des
Systèmes Industriels », Hammamet Tunisie, Avril 2005.
5. H. Dhouibi, S. Collart Dutilleul, E. Craye « Computing intervals of Intervals Constrained Petri Nets »
17 th IMACS World Congress, Paris, Juillet 2005.
6. H. Dhouibi, S. Collart Dutilleul, L. Nabli, E. Craye « Méthode de Surveillance Indirecte d’un Système
de Production par la logique floue : cas d’une manufacture de tabac ». JISPME05, Journées
Internationales Scientifiques et Pédagogiques de Mécanique et d’Energétique », Tozeur Tunisie,
Décembre 2005.
7. Nabli L., Dhouibi H., Collart Dutilleul S., Craye E., « Utilisation de la logique floue pour la
surveillance prédictive indirecte d’un système de production : cas d’une manufacture de tabac ». JTEA
2006.,, Tunisie, Mai 2006.
8. H. Dhouibi, S. Collart Dutilleul, L. Nabli, E. Craye, «Utilisation des Réseaux de Petri à Intervalles pour
la régulation: cas d’assemblage mécanique » Conférence Internationale Francophone d’Automatique
CIFA08, Bucarest (Roumanie), septembre 2008.
9. H. Dhouibi, S. Collart Dutilleul, L. Nabli, E. Craye “ Using Interval Constrained Petri Nets for Reactive
Control Design” International Journal fdr Manufacturing Science & Production, à paraître.
10. Nabli L., Dhouibi H, Collart Dutilleul S., Craye E., "Using Petri Net models for regulation: case of
assembly process mechanics" Internayional review for Automatic Control, à paraître.
11. Nabli L., Dhouibi H, Collart Dutilleul S., Craye E., "Using Interval Constrained Petri Nets for
Regulation of Quality: The Case of Weight in Tobacco Factory", IJICS - International Journal of
Intelligent Control and Systems, à paraître.

106
 Chapitre III

1. Introduction
La représentation des systèmes de transports et des ateliers de production à comportements
contraints par le temps a été abordée. Cependant, la complexité des structures physiques des
systèmes réels et de leurs commandes donne lieu à d’autres extensions des réseaux de Petri.
Chacune de ces extensions apporte un élément de réponse à tel ou tel autre aspect de la
complexité des systèmes étudiés. En conséquence le choix d’un modèle dépendra du système
à étudier et des propriétés à analyser.

Si le système de production manufacturière qui nous intéresse est constitué de procédés où la

contrainte poids de l’unité fabriquée est un facteur déterminant pour la qualité, le coût et le
taux de production, c’est alors valeur du poids qui doit être dans un intervalle donné. La
commande de ce processus devra alors donner des garanties sur le respect des spécifications
pondérales. Ce type de contrainte ne peut être spécifié par les réseaux de Petri à contrainte du
temps ou par les RdP de bas niveau en général.

Dans ce contexte, la deuxième section de ce chapitre est consacrée à notre réflexion sur les
réseaux de Petri à intervalles, qui sont un nouvel outil de modélisation de ce type de procédé à
contrainte non temporelle.

Les réseaux de Petri à intervalles constituent une sous-classe des Réseaux de Petri de Haut
Niveau à Marquage Abstrait (RdPHNMA) [YIM96], [COL03a]. Ils permettent de modéliser
et de garantir une contrainte sur un paramètre quelconque dans un processus manufacturier
[COL04].

107
Les Réseaux de Petri P-temporels : modélisation et validation d’exigences temporelles

2. Les RdP à Intervalles [COL04]

Les RdP à intervalles ont été introduits pour étendre le champ d’application des RdP P-
temporels par une abstraction fonctionnelle sur le paramètre associé aux places [COL03a]. Il
serait donc logique de retrouver rigoureusement la même définition mathématique de l’outil.
Néanmoins, la restriction du paramètre associé aux places des rationnels positifs se justifie
quand ce dernier est une durée. Par contre, elle n’a plus de raison d’être pour une variation
d’un poids ou d’une position par exemple, qui peut bien évidemment être positive ou
négative.

De plus, l’introduction d’un nouveau formalisme a été le prétexte à une remise à plat de la
définition initiale. Ainsi, nous présentons de manière non équivoque le marquage comme un
multi-ensemble. De même, la transmission d’une quantité véhiculée avec le jeton sera
représentée de manière explicite.

2.1 Définition:
Un RdP à intervalles est un tuple <R, m, IS,D,Val,Val0,X, X0> dans lequel :
• R est un RdP non marqué,
• m une application qui affecte un marquage au réseau telle que :

Soit Va un ensemble de variables à valeur dans Q.

Soit V un ensemble non vide de formules utilisant des variables de Va.

Soit μV un multiensemble défini sur l’ensemble V.

m : P→μV

p∈P→ m(p) ,où m(p) est le marquage d’une place.

On note M l’application qui a chaque place associe le cardinal de son marquage.

M : P→ N (ensemble des entiers positifs).

p→card(m(p))
• IS : P → Q∪{-∞,+∞}×Q∪{-∞,+∞} définit les intervalles associés aux places du réseau.

pi → ISi = [ai, bi] avec 0 ≤ ai ≤ bi

• D est une application qui associe à chaque couple (place, marque) une variable rationnelle
q qui doit être inférieure au égal à bi. Cette grandeur correspond à la modification de
valeur associée au jeton qui est intervenue sur la place pi.

D: m(p) ×P → Va

∀i,1 ≤ i ≤ n, n= Card(P)

108
 Chapitre III

Soit k un jeton, k∈m(pi),

k→ qi | ai ≤qi≤ bi ,

où ai, bi sont les valeurs rationnelles fixées par IS.

• X est un application qui assigne à chaque variable une valeur.

X : Va →Q

va→u∈Q

En fixant une valeur à chaque variable, X fixe les qi.

• X0 définit les valeurs initiales des variables.
• Val associe à chaque jeton une formule à valeur dans Q dont la signification physique est
volontairement non définie.

Val est une application de l’ensemble des marques m(P) dans V :

m(P) →V

(k∈m(p)) →v∈V, où k est une marque .

• Val0 définit les formules initiales associées aux jetons

Une marque k dans la place pi participe à la validation de ses transitions de sortie seulement si
qi (k) a acquis la valeur minimale ai de cette place. Elle doit quitter la place pi, au plus tard
quand qi(k) atteint la valeur maximale bi. Dans le cas contraire, nous disons que la marque
devient morte.

Fort logiquement, au franchissement d’une transition aval, des jetons sont générés dans les
places de sorties et leurs variables associées sont égales à :

Val(k)+ qi(k).

Les significations physiques des paramètres q et Val (k) sont volontairement non définies. On
introduit ainsi une abstraction fonctionnelle.

Bien plus, si nous envisageons l’existence d’une relation entre l’évolution des variables
associées aux couples (place, jeton), nous ne la fixons pas dans la définition du modèle. Par
exemple, dans les RdP P-temporels, nous trouvons la relation :

∀q,dq/dt=1

où t est le temps.

Dans un RdP à intervalles l’application X n’est pas mathématiquement imposée. On verra, par
exemple, dans la suite de ce chapitre une application où les paramètres q représentent des
variations de poids des cigarettes. Dans ce cas là, les valeurs des associés aux couples (place,
jeton) sont indépendantes.

109
Les Réseaux de Petri P-temporels : modélisation et validation d’exigences temporelles

2.2 Définition d’un état

L’état est défini par un quadruplet E = < m, D, Val, X> où :

• m affecte un marquage au réseau,

• D, et X conjugués associent à chaque marque k dans la place pi un nombre rationnel

qi(k).

Le qi(k) associé à une marque k dans la place pi doit être inférieur ou égal à bi où [ai, bi] est
l'intervalle statique associé à la place pi. La marque k dans la place pi peut participer à la
validation de ses transitions de sortie quand sa valeur est supérieure ou égale à ai. Elle meurt
quand sa valeur associée devient supérieure à bi.

• Val associe une formule utilisant des variables rationnelles à chaque jeton. La valeur
effective des ces variables rentre dans la définition de l’état (c’est X qui les fixe
indirectement).

La fixation de valeur est donc possible quand l’évolution des variables associées aux couples
(place, jeton) est parfaitement définie. Dans le cas contraire, il existe cependant une
possibilité de faire évoluer le modèle et d’en extraire des propriétés. Une abstraction
mathématique pourra être utilisée.

Définition 47

Une abstraction sur un ensemble de la forme {x :A•ψ} est interprétée comme l’ensemble des
valeurs du domaine associé à la formule A dont l’équation à x satisfait la formule ψ.

Nous spécifions donc les paramètres associés au jeton, sans que l’application X soit définie :

• A=∑qj, où l’indice j défini la suite des places successivement visitées par le jeton x={ qj }
• ψ=∏ (aj ≤qj )∧(qj ≤ bj )

De cette façon, les conditions mathématiques pour le franchissement seront considérées, sans
que les valeurs définitives des q ne soient fixées. Cette dernière technique sera
particulièrement utile pour faire de la spécification.

110
 Chapitre III

2.3 Calcul de l'état suivant

D'après la notion d'état nous constatons qu’un nombre infini d’états peut être atteint à partir
d'un état donné. Il existe deux possibilités pour avoir un nouvel état à partir d'un état donné:
l'évolution des variables associées et le franchissement d'une transition franchissable. Les
deux définitions qui suivent donnent l'état suivant pour chacune de ces deux évolutions.

Définition 48

L'état E'(M, D, Val, X) est un état accessible à partir de l'état E(M, D, Val, X’) par évolution
des variables associés si et seulement si :

1- M'=M,

2- ∀ j une marque dans la place pi :

q’i(j)= qi(j) +Δqi(j), ai ≤q’i(j)≤ bi

où ai et bi sont les valeurs associées minimum et maximum dans la place pi .

Nous remarquons que l’accessibilité d’une valeur q’i(j) est généralement couplée avec
l’évolution des autres q. Cependant, ces conditions additionnelles dépendent de la définition
des q et ne seront donc pas détaillées ici.

Définition 49

L'état E'(M', D’, Val', X’) est un état atteignable depuis l'état E(M, D, Val, X) par le
franchissement d'une transition ti si et seulement si :
1- ti est franchissable (tirable) à partir de E,
2- ∀ p∈P,

M'(p) = M(p) - Pré(p, ti) + Post(p, ti),

3- Les marques qui ne se déplacent pas, gardent la même valeur associée dans E et E'.

Les marques qui sont créées prennent la valeur zéro pour le compteur q associé à
leurs nouvelles places d'accueil, la valeur associée au jeton k’ par Val est :

Val(k’)=Val(k)+ qj(k),

où k est un jeton qui était dans une place pj d’entrée de ti et qui a été utilisé pour le tir de ti.

La règle de tir précédente permet de calculer les états et les relations d'accessibilité entre eux.
L'ensemble des séquences de tir réalisables depuis l'état initial caractérise le comportement du
RdP de la même manière que l'ensemble des marquages accessibles ou les séquences de tir
réalisables pour les RdP autonomes.

111
Les Réseaux de Petri P-temporels : modélisation et validation d’exigences temporelles

2.4 Structures de fonctionnement

Théorème 10

Un RdP à intervalles dont l’application assignant une valeur aux compteurs locaux n’est pas
définie peut être modélisé par un RdPHNMA [COL03a].

Procédure de modélisation :

Nous considérerons trois structures de bases.

• La séquence peut être modélisée par une variable libre associée à l’arc d’entrée d’une
transition. La contrainte sur la valeur ajoutée pour le franchissement de la transition est
introduite sur la garde de la transition par une double inégalité de la forme : a≤q≤b

pi pi ti
ti x x+qi
<v>
ai≤qi≤bi i≤b
((q(a ) ∧ (q ≥a ))
i≥iqi ) (qi i ≤ibi)

RdPHNMA
RdP à intervalle

Figure 18. Modèles équivalents

• Le choix se déduit directement de la séquence. En effet, les contraintes ajoutées sur les
gardes sont identiques pour toutes les transitions directement connectées à la place
comportant une contrainte d’intervalle.
• La structure de parallélisme comprend plusieurs places en amont de la transition de
sortie. Les pondérations des arcs sont identiques à celles utilisées pour la séquence. Par
contre, la garde est modifiée de telle sorte que la définition des RdP à intervalles soit
respectée. La garde devient alors :

(∀i ∈ N p i ∈ I (t ), ∏i(a i ≤q i )(qi ≤ b i )) ∧ (∀(i, j ) ( p i , p j ) ∈ I (t ) × I (t ), x i + q i = x j + q j )

Les RdP à intervalles sont donc une sous-classe des RdPHNMA. A ce titre, les solveurs de
types Minos sont utilisables sur ce type de réseau [LEF98]. Par ailleurs, il a été montré que les
modèles tels que les RdP algébriques et les RdP colorés pouvaient être représentés à l’aide
des RdPHNMA.

Si pour une topologie d’atelier donnée et pour une contrainte de type particulier, à savoir le
temps, des algorithmes dédiés ont été présentés [COL97a], il est particulièrement intéressant
de disposer de solveurs plus généraux dès que l’on élargit le champ d’applications et la nature
des contraintes manipulées.

D’un point de vue modélisation, il n’est pas surprenant que des RdP de Hauts niveaux comme
les RdP colorés qui sont des abréviations des RdP ordinaires soient trop limités pour
modéliser des outils qui dérivent de la famille des RdP temporisés, qui eux sont des
extensions des RdP ordinaires. L’introduction de l’abstraction mathématique permet de

112
 Chapitre III

manipuler un domaine non fini de couleurs. Il est alors évident que l’on exclut la possibilité
de déplier pour se ramener à un RdP ordinaire.

2.5 Les RdP P-temporels : une sous classe des RdP à intervalles [COL03a]
Comme nous pouvons le constater, les RdP P-temporels peuvent être définis comme une sous
classe des RdP à intervalles en posant les restrictions suivantes:

L’ensemble d’arrivée de l’application IS est restreint de Q∪{-∞,+∞}×Q∪{-∞,+∞} à

Q+∪+∞×Q+∪+∞.

La signification du paramètre est définie comme étant l’âge du jeton dans une marque. Cette
définition est acceptable pour les RdP à intervalles.

L’application D régissant l’évolution des paramètres est complètement fixée puisqu’elle

correspond à l’évolution linéaire du temps. Nous vérifions bien que ce temps est une fonction
monotone qui fixe l’évolution de tous les âges.

Un RdP P-temporel peut être représenté par un RdP à intervalle de validité où la valeur
associée au couple (place, jeton) est :

• une durée d’un point de vue fonctionnel

• un rationnel positif d’un point de vue mathématique

Les RdP à intervalles peuvent donc être utilisés comme une abstraction fonctionnelle des RdP
P-temporels. Le temps sera donc une valeur particulière dans le domaine des interprétations
possibles.

Théorème 11

Les propriétés structurelles démontrées sur les RdP P-temporels sont transposables à toute
instance des RdP à intervalles si et seulement si :

∀i| 1≤ i ≤ n, n = Card(P),mini (qi)≠ -∞

Cette transposition implique bien sur que les restrictions sur le marquage et sur la structure du
réseaux de Petri sont les mêmes.

Preuve : Toutes les instances des RdP à intervalles s’appuient sur un modèle mathématique
identique, au détail près que les RdP P-temporels sont restreints aux rationnels positifs pour la
valeur des paramètres associés. Une démonstration s’appuyant sur le marquage et la nature du
graphe sera donc valide pour toutes les interprétations des RdP à intervalles, à condition que
la valeur minimale des paramètres ne soit pas infinie. Ainsi, on pourra ramener l’instance des
RdP à intervalles courante aux RdP P-temporels par un changement d’origine sur l’axe
trivial.

Il est néanmoins clair que la signification physique d’une même propriété dépendra de la
signification fonctionnelle donnée aux variables associées aux jetons.

113
Les Réseaux de Petri P-temporels : modélisation et validation d’exigences temporelles

2.6 Les RdP à intervalles et classes d’états [COL03a]

Remarquons que rien ne laisse supposer que l’évolution des différents paramètres associés
aux couples (places, marque) sera régie par une formule unique. C’est cependant une
hypothèse acceptable qui est utilisée dans le cas des RdP P-temporels. Ce découplage des
évolutions apparaît indispensable tant il est vrai qu’à l’exception du temps, ces dernières sont
généralement différentes.

Ainsi, si on considère la position de deux chariots, leurs vitesses de déplacement sont

rarement égales, de même que les débits de deux pompes différentes.

De ce fait, le graphe de classe d’état qui sera généré sera différent de ce qu’il aurait pu être
avec des P-temporels. En effet, une voiture sur une portion d’autoroute peut en doubler une
autre. Par contre, un jeton plus vieux ne pourra être rattrapé par un autre (en considérant l’âge
du jeton).

A l’inverse des propriétés structurelles des RdP P-temporels, les techniques de vérifications
des propriétés par l’analyse des classes d’état seront difficilement généralisables au RdP à
intervalles.

114
 Chapitre III

2.7 Exemple d’une chaîne de fabrication de cigarettes

4.4 Unité de confection des cigarettes

Scaferlati

Refus
Chargement et
réglage débit

Entraînement

Débris
Déchargement
Confectionneuse

Aspiration pneumatique

Bûches
Guidage

Poussières
Ectétage Papier cigarettes

Colle
Débit réglé
Formation boudin

Boudin

Coupe boudin

Ebauches

Admission et
échelonnement
Filtre double

Association Filtre
double- Ebauches Papier manchette Assembleuse

Colle
Assemblage avec papier
manchette

Coupe cigarettes

Cigarettes

Ramassage
Ramasseuse

Remplissage bateaux

Non conformes
Rejets Test qualité

conformes

Stockage

Figure 19. Gamme de fabrication des cigarettes

115
Les Réseaux de Petri P-temporels : modélisation et validation d’exigences temporelles

Une unité de confection est constituée de trois machines en cascade : confectionneuse,

assembleuse et ramasseuse (Figure 20).

La confectionneuse permet la formation d’un boudin de tabac régulier et homogène (une

cigarette sans fin) : un faisceau de scaferlati est enveloppé par du papier cigarette à l’aide de
colle. Le boudin obtenu est découpé en tronçons aux dimensions d’une cigarette pour obtenir
l’unité de consommation (ébauche).

Les ébauches sont acheminées vers l’assembleuse pour recevoir le filtre. Un dispositif de
coupe sectionne les filtres en longueur triple. Le papier de recouvrement enduit de colle est
ensuite sectionné en petits morceaux et posé sur deux ébauches associées tête bêche par
l’intermédiaire d’un filtre. C’est ainsi qu’on obtient une cigarette de double longueur qui sera
dédoublée à l’aide d’un couteau.

2.7.1 Présentation du procédé d’alimentation de tabac

La partie modélisée est constituée par le distributeur de la confectionneuse des cigarettes. Le

schéma simplifié de ce distributeur est représenté par la figure 20.

Le distributeur est composé de:

• un dispositif d’amenée de tabac
• un distributeur, partie centrale
• un alimentateur de la machine en tabac
• un tapis d’entraînement

A partir d’une alimentation en tabac de type écluse (1), le tabac tombe dans une gaine (2) et
est entraîné par un cylindre à pointe (3), de façon à entretenir un niveau de tabac convenable
sur le tapis de fond (4). Ce niveau est contrôlé par le flotteur (5) dont la position commande la
rotation du cylindre à pointes (3).

La partie centrale du distributeur permet de débiter le tabac à une vitesse réglable, par un
variateur commandé par la machine, à travers l’arbre transversal (13).

Le tapis de fond (4) entraîne le tabac et le pousse sur le cylindre à cardes (8) équipé d’une
barre égalisatrice (9), animée d’un mouvement alternatif, de façon à peigner le tabac qui
garnit la carde.

Les aimants (10) ont pour rôle de retenir les corps métalliques qui, accidentellement,
pourraient se trouver dans le tabac.

116
 Chapitre III

7
2

8
3

11

10

12
4

13

Figure 20. Système d’alimentation du tabac

L’émetteur de cardes (11) projette alors le tabac sur le tapis rapide (12) qui entraîne celui-ci
en couche mince bien émiettée vers la cheminée d’aspiration.

2.7.2 Modélisation du procédé et intégration du poids

Dans les lignes qui suivent nous commençons par la modélisation du procédé et l’intégration
du poids en nous basant sur un modèle de réseau de Petri à intervalles qui était introduit dans
le chapitre précédent. Nous appelons le modèle construit « RdP à poids valué ». En fait, le
modèle est un RdP à Intervalles où le paramètre associé est le poids.

Ensuite, en utilisant les données de productions, nous calculons les marges des intervalles
associés aux places du modèle.

Les marges calculées seront utilisées dans le chapitre suivant, pour l’optimisation des critères
taux de production et robustesse du système.

La première étape consistera donc à établir un modèle capable de présenter les contraintes
quantitatives sur les paramètres de qualité considérés. Sachant qu’on ne connaît que les deux
bornes de chaque intervalle.

Pour le moment, nous considérons la partie régulation du poids.

117
Les Réseaux de Petri P-temporels : modélisation et validation d’exigences temporelles

Une cigarette peut être assimilée à un cylindre de diamètre (m) et de longueur (l). Soit (d), la
densité de cette cigarette. Dans ces conditions le poids (P) de la cigarette est donné par la
relation suivante:
Πm 2
ou encore P = k .m l.d
2
P= .l.d (1)
4

m: module de la cigarette en mm tel que m ∈ [ mmin, mmax] ;

l: longueur de la cigarette en mm tel que l ∈ [ lmin, lmax] ;

d: densité en g/mm3 tel que d ∈ [ dmin, dmax] ;

k: constante (Π/4)

Nous remarquons que les quatre paramètres : poids, module, longueur et densité sont couplés
et la dérive d’un paramètre va causer une variation sur le poids qui peut générer soit des rejets
soit des arrêts du système.
Notre objectif et de veiller à respecter la tolérance sur le poids via les trois paramètres m, l et
d qui doivent rester, chacun à son tour, dans un intervalle donné :
P1 ≤ k .m 2l.d ≤ P2 (2)

[Link] Résolution d’un problème non linéaire

Un système, algébrique ou différentiel, non linéaire est un système dont la dérivée de la

fonction ƒ par rapport à la variable d’état est une fonction continue non constante sur le
domaine de définition de la variable d’état. La résolution d’un tel système fait appel à des
méthodes numériques. Le principe de base consiste à linéariser le système autour d’un état
d’équilibre. L’équation (1) ci-dessus est une équation non linéaire. Pour la résoudre
l’approche adoptée est la linéarisation de cette fonction par un développement de Taylor au
premier ordre (en général pour l’analyse statistique des tolérances, on limite le développement
au premier ordre ou au deuxième ordre).

[Link] Linéarisation autour d’un point de fonctionnement

En considérant que la fluctuation de ces paramètres de qualité de la cigarette ne présente

jamais des caractéristiques rigoureusement constantes et qu’ils varient toujours autour d’une
position moyenne, qui représente physiquement l’état d’équilibre du système, nous pouvons
approcher la relation (1) par une relation linéaire plus simple en faisant un développement
limité d’ordre 1 et remplacer ainsi l’accroissement de cette fonction par l’accroissement d’une
forme linéaire :
ΔP ≤ 2kldmΔm + km 2 dΔl + km 2 lΔd (3)

Avec :
K1=klm²
K2=2klmd
K3=kdm2

118
 Chapitre III

ΔP∈ [ Pmin, Pmax]

[Link] Modélisation par réseau de Petri à intervalle

L’équation (4.3) peut être représentée par le réseau de Petri à intervalles de la figure 21 qu’on
nommera abusivement « poids valués ».

Figure 21. RdP à « poids valués »

Discussion sur le fonctionnement du réseau de Petri de la figure 21 :

Le réseau de Petri de la figure 21 présente l’équation différentielle (3) qui modélise les
variations du poids dans les trois postes de transformation : de la densité, du module et de la
longueur. A cet effet la variation moyenne des circuits n’est pas identique pour tous les
postes. Par contre, si on affectait aux arcs une pondération correspondant physiquement au
poids, on aurait une égalité de la valeur moyenne des circuits. Cet invariant du système
représente la conservation du poids.

Le modèle de la figure 21 est constitué de :

• 8 places Pc, Pm, Pp, Pl, P1, P2, et P3 et P4.
• 4 Transitions T1, T2, T3 et T4
• 5 circuits élémentaires :
γ1= T1, Pd, P1
γ2= T2, Pm, P2
γ3= T3, Pl, P3
γ4= T1, Pp,T4, P4
γ5 = T1, Pd, T2, Pm , P1 ,T3, , T4, P4

Les places P1 et P3 servent à borner à 1 la quantité de jetons pour une opération donnée.
Comme elles n’ont pas d’autre utilité, on leur associe l’intervalle ]- ∞,+∞[ de manière à ce
que ces dernières ne restreignent pas le fonctionnement du réseau.

Quand à la place P2 elle représente la contrainte soumise sur la variation du module qui ne
peut être compensée pour chaque cigarette. En effet au moment de la production on ne peut

119
Les Réseaux de Petri P-temporels : modélisation et validation d’exigences temporelles

pas régler le module pour chaque cigarette mais l’intervention, en cas de dérive, peut être
faite sur un boudin (de 20 cigarettes par exemple).

Le procédé de fabrication correspondant aux deux places Pd et Pm (densité et module) est en

fait continu. Il est considéré comme discret lors de notre analyse car la mesure du module
comme de la densité se fait sur des échantillons. On considère qu’une quantité de 20
cigarettes est une valeur typique.

La densité est sujette à des dérives certes. On se propose alors de compenser ces dérives en
agissant sur le module et la longueur qui sont réglables et dépendent de l’état du système.

Cependant, cette régulation doit intégrer les couplages du système qui influencent sont
comportement dynamique.

[Link] Contrainte de niveau dans la confectionneuse

Le débit de tabac constitue le deuxième paramètre qui doit être surveillé afin de maintenir la
densité. Ce débit est contrôlé en deux étapes : au moment de remplissage du distributeur par
un contrôle C1 et au moment de l’entraînement du tabac sur le tapis par un contrôle C2.

Le contrôle C1 assure le niveau de tabac dans l’écluse. Ce niveau doit être compris entre un
minimum n1 au dessous duquel la machine s’arrête pour manque de tabac et un niveau
maximum n2 au delà duquel un appel à l’alimentation est déclenché.

Le contrôle C2 qui assure le niveau de tabac sur le tapis d’entraînement doit être compris,
aussi entre un niveau minimum n3 au dessous du quel la machine s’arrête pour manque de
tabac et un niveau maximum n4 au-delà duquel le cylindre d’entraînement du tabac s’arrête.

Ce système décrit par la figure 20 doit être robuste face aux variations du paramètre d’entrée
qui est la compacité du tabac. La loi de distribution de ce paramètre compacité peut être
obtenue à partir des données statistiques de l’atelier. L’objectif est de minimiser les
fluctuations de la densité du flux de tabac nécessaire pour produire une cigarette avec la
bonne quantité.

La valeur de la densité de la cigarette doit être comprise dans un intervalle donné pour avoir
un poids de cigarette correct. Comme il était mentionné cette densité est fonction de trois
paramètres :
• C : la compacité du tabac avec C ∈ [Cmin, Cmax] elle est exprimée en g/m3
• N : le niveau du tabac sur le tapis C∈ [Nmin, Nmax] en mètre
• E : la hauteur du tabac écrêté C∈ [Emin, Emax] en mètre.
D=αxCxNxE (4)

Avec α un coefficient exprimé en mm-2

Après développement limité de la relation non linéaire (4) au premier ordre on obtient un
accroissement d’une forme linéaire :
ΔD = α1NEΔC + α2CEΔN + α1NCΔE (5)

120
 Chapitre III

[Link] Modélisation par réseau de Petri à intervalle

Le modèle réseau de Petri à intervalles équivalent de l’équation (5) est présenté par la figure
22.

Pd

P1 P2 P3

T1 Pc Ph T3 Pe T4
T2
Figure 22. RdP à intervalle du réglage de niveau

Les places P1, P2 et P3 du réseau de la figure 22 représentent, respectivement, les contraintes

soumises sur la variation de la compacité (Pc), de la hauteur (Ph) et de l’écrêtage (Pe). La
compacité du tabac varie en fonction des lots, des fournisseurs et d’autres paramètres, sans
que nous puissions agir sur ses fluctuations. Par conséquent la densité subit ces dérives à
partir de la compacité. Nous proposons alors une compensation de ces dérives en agissant sur
le réglage du niveau du tabac sur le tapis et de la quantité d’écrêtage. Cependant, cette
régulation doit intégrer les couplages du système qui influent sur son comportement
dynamique (Figure 23).

ENTREE: tabac de SORTIE: tabac de

compacité C densité d

Figure 23. Robustesse passive

Le réglage de l’écrêtage et de la hauteur du tapis pour permettre une sortie valide sur la
densité en présence de variations sur la compacité est une application typique de la robustesse
passive qui a un inconvénient : les perturbations sur l’entrée sont transmises à la sortie.

[Link] Construction des marges de validité

Pour trouver les marges de validité du modèle de la figure 22, nous avons combiné deux
méthodes : les données de production concernant la densité des cigarettes et la compacité du
tabac et la simulation pour le niveau du tabac sur le tapis et l’écrêtage.

Les marges sur la densité sont calculées dans le paragraphe précèdent :

dmin = 0.2 et dmax = 0.23 g/mm3

121
Les Réseaux de Petri P-temporels : modélisation et validation d’exigences temporelles

Les marges sur la compacité sont calculées à partir des données statistique de production : La
répartition de ce paramètre est normale avec une moyenne Cm = 5 et de valeur minimale Cmin
= 4.5 g/mm3 et de valeur maximale Cmax = 6 g/mm3.

Dans ces conditions les marges de validité du réseau de la et figure 24 sont obtenues par une
simulation sont données par le tableau 3.

Paramètre Unité Valeur

cmin g/mm3 4.5
cmax g/mm3 6
dmin g/mm3 0.2
3
dmax g/mm 0.23
Nmin mm 100
Nmax mm 500
Emin mm 7.8
Emax mm 8.1

Tableau 3. Marge de validité du système d’alimentation du tabac

Avec Nmin et Nmax correspondent respectivement aux niveaux minimal et maximal du tabac
dans l’ecluse (1) du système d’alimentation de la figure 20 : m = 3 kg et M = 7 kg.

Pd [0.2, 0.23]

P1 [4, 6] P2 ]-∞ , ∞[ P3 ] -∞, ∞[

T1
Pc [4.5, 6] Ph [1, 5] T3 Pe [7.8, 8.1] T4
T2
Figure 24. Marges de validité du système d’alimentation

[Link] Modèle général du procédé

La construction du modèle global du procédé de fabrication des cigarettes avec ses marges de
validité associées s’obtient par connections des deux modèles des figure 21 et figure 24.

La figure 25 représente le modèle global en réseau de Petri à intervalles avec les marges de
validité sur les paramètres de qualité concernant le poids de cigarette.

122
 Chapitre III

[0.2, 0.23] P6
[- ∞, + ∞]
Pd
[4, 6] [- ∞, + ∞] P7
[- ∞, + ∞ ]

P1 P2 [7.77, 8.03] [63.7, 64.3]

P3
T1
Pm Pl
Pc Ph T3 Pe
[4.5, 6] T2 [100, 500] [7.8, 8.1]
P4 P5
[-7, 7] [- ∞, + ∞]
Pp

[745, 805]

Figure 25. Modèle global du procédé

2.7.3 Conclusion applicative

Un modèle a été construit avec les réseaux de Petri à intervalles pour un procédé de
fabrication des cigarettes où le poids du produit fabriqué est le facteur déterminant pour la
qualité et le coût.

En effet, vu la nature des contraintes à spécifier, ce type de procédé ne peut être représenté par
un réseau de Petri temporel ou temporisé. Ce modèle combine les deux parties du système : la
partie continue qui représente le flux du tabac et la partie discrète qui présente la formation
des cigarettes.

Ainsi le modèle obtenu permet de décrire les contraintes sur les paramètres de qualité à
assurer pour la fabrication d’un produit conforme aux normes. Il permet le « pilotage » en
maintenant le fonctionnement du système autour d’un état d’équilibre et le « contrôle » en
suivant l’évolution des paramètres au cours du temps pour compenser les fluctuations qui
auront lieu à l’entrée du système. Pour construire le modèle global avec les marges de validité
nous avons utilisé la simulation et les données de production.

123
Les Réseaux de Petri P-temporels : modélisation et validation d’exigences temporelles

Réglage de la
Réglage du Réglage de
niveau Réglage distance E
module m la longueur l
du flotteur n4 entre les brosses

H = Δ n4 Densité d m
Chambre de
Brosses formation Coupe des
Tapis d’écrêtage cigarettes
du boudin

d m l
n4 dmax mmax lmax
Entrée tabacs dmin mmin lmin
De compacité C t
t t t
d=α x C x H x E P=K x d x l x m2
α s’exprime en mm -2
Robustesse Régulation du poids: Coût + Qualité

Figure 26. Politique de commande

Il faut donc maintenant exploiter le modèle. Dans la thèse de Hedi Dhouibi, une loi de
commande qui permet d’améliorer le taux de production du procédé par le moyen de la
robustesse faces aux perturbations de type « dérive de qualité » à l’entrée du système est
présentée. L’apport de la commande calculée à partir du modèle en comparant les données de
production sans loi de commande automatique, avec les sorties produites par la commande
calculée est mis en évidence, fournissant ainsi une belle validation industrielle.

124
 Chapitre III

3. Conclusion
Dans les chapitres précédents nous nous somme intéressés à la modélisation des systèmes à
événements discrets à contraintes temporelles. Pour l’étude dynamique de ces systèmes il est
nécessaire de prendre en compte le temps de façon explicite.

Ce chapitre a fait l’objet d’introduction d’un nouvel outil capable de modéliser des procédés
où la contrainte considérée est différente du temps et peut être déterminante pour la qualité, le
coût et le taux de production. Cette contrainte doit alors appartenir de manière très stricte à
des intervalles de validité. La commande doit alors donner des garanties sur le respect de ces
spécifications et les problématiques précédentes concernant la robustesse se reproduisent.

Nous avons donc introduit les réseaux de Petri à intervalles, qui constituent une sous-classe
des Réseaux de Petri de Haut Niveau à Marquage Abstrait (RdPHNMA) [YIM96], [COL03a].
Ils permettent de modéliser et de garantir une contrainte sur un paramètre quelconque dans un
processus manufacturier [COL04]. Les RdP à intervalles sont une abstraction fonctionnelle
des RdP P-temporels [KHA96]. De ce fait, l’extension de propriétés structurelles propres aux
RdP P-temporels est justifiée sous certaines conditions [COL04].

Sur la base des propriétés généralisables, une validation industrielle, s’appuyant sur des
données réelles de production a pu être effectuée avec succès. A l’inverse, l’exploitation de
cet outil dans le cadre de l’ingénierie des exigences n’a jamais été envisagée. C’est pourtant
un domaine où l’extension des analyses temporelles à des analyses plus générales est un réel
besoin.

125
Les Réseaux de Petri P-temporels : modélisation et validation d’exigences temporelles

126
Conclusion de recherche

127
Les Réseaux de Petri P-temporels : modélisation et validation d’exigences temporelles

128
 Conclusion de recherche

Une réflexion sur les outils de modélisation des systèmes à événements discrets a donc été
livrée au lecteur. L’éclairage de l’ingénierie des exigences a été choisi pour mettre en valeur
la pertinence du modèle qui sert de cœur à nos travaux : les Réseaux de Petri P-temporels.

Le premier chapitre a donc cherché à positionner et à justifier l’existence de ce type de RdP

vis-à-vis de l’état de l’art. La performance originale de cet outil pour la gestion des
contraintes de temps de séjour y a été mise en exergue.

Le deuxième chapitre a voulu appuyer le premier en évoquant des applications effectives. La

première section s’est consacrée à la vérification des exigences temporelles dans le domaine
de la sécurité ferroviaire. Une collaboration intéressante des RdP P-temporels et t-temporels,
pour respectivement la modélisation des exigences et la spécification des solutions, a été
proposée. Le cas d’étude présenté est le prétexte à l’ouverture d’une problématique plus
générale : la consistance des modèles utilisés tout au long du cycle de conception d’une
solution.

La deuxième grande section du chapitre 2 s’intéresse aux ateliers manufacturiers. Les

possibilités d’utilisations d’un modèle P-temporel comme générateur de contraintes pour la
recherche d’ordonnancement ont été rappelées. Cependant, c’est surtout la possibilité
d’effectuer des évaluations partielles, de robustesse, de commandabilité ou d’observablité qui
ont été mises en avant. En effet, la dimension de certains ateliers ne permet pas de résoudre le
problème global de commande-supervision en des temps raisonnables, indépendamment des
outils utilisés.

Il faut modéliser les exigences sans faire d’hypothèse a priori sur le fonctionnement du
système. Cela ne vaut pas que pour les contraintes temporelles. Ainsi, le troisième chapitre a
présenté un nouveau modèle : Les RdP à intervalles. Ces derniers sont une abstraction
fonctionnelle des RdP P-temporels et présentent les mêmes caractéristiques, mais pour des
contraintes linéaires dont la nature n’est pas forcément temporelle. Les possibilités de
généralisation des différentes propriétés ont été discutées et illustrées sur un l’exemple
industriel d’une manufacture de tabac. Cet atelier a d’ailleurs fourni une validation
industrielle forte, puisque la commande du système a été évaluée sur de réelles données de
production [DHO05].

Ce modèle plus général n’est qu’au début de son exploitation et aucun résultat concernant la
supervision n’existe dans l’état de l’art. Il en va de même pour l’ingénierie des exigences et la
sécurité. C’est pourtant un domaine où les marges et les plages de validité sont omniprésentes.
Un travail de construction important reste encore à effectuer autour de cet outil.

129
Les Réseaux de Petri P-temporels : modélisation et validation d’exigences temporelles

130
Conclusion générale et perspectives
1. Conclusions 133

2. Perspectives 134
2.1 Rationalisation de ma contribution scientifique..................................................... 134
2.2 Travailler sur la cohérence applicative................................................................... 135
2.3 Collaborations internationales................................................................................ 135

131
Les Réseaux de Petri P-temporels : modélisation et validation d’exigences temporelles

132
 Conclusion

1. Conclusions
Les travaux de ce mémoire ont donné l’occasion de présenter, dans un premier temps, mes
activités d’enseignement et de recherche de manière synthétique. Les responsabilités
d’animation pédagogique en école d’ingénieurs ont permis de construire une vision de terrain
de l’ingénierie système. Ainsi, l’émergence d’une réflexion industrielle sur l’utilisation des
modèles a amené l’introduction de cours de « Model Driven Engineering ». De façon
analogue, les activités de projets scientifiques demandent l’intégration des modèles dédiés,
performants pour la synthèse de commande ou l’ordonnancement dans une démarche globale
s’appuyant souvent sur des modèles semi-formels (UML). Force est de constater que la
jonction entre UML et les RdP P-temporels n’est pas effectuée. La traduction automatique
d’un modèle vers l’autre semble particulièrement ardue. Pourtant dans le cadre des expertises,
une évaluation argumentée, voire chiffrée, est souvent attendue. Il faudrait ainsi pouvoir
donner des indications quantitatives à base de méthodes formelles sur les apports éventuels
d’une technologie particulière. C’est ce qui a amené la thèse de F. Defossez, dans la lignée
des projets SELCAT (Européens) et PANSAFER (ANR).

Par ailleurs et à l’inverse de la recherche d’une solution, la question de savoir si une

architecture est conforme à une exigence est un problème en soi, où l’utilisation de modèles
peut rendre des services importants. Le projet RESCIPROC est une bonne illustration de ces
attentes de l’industrie.

Dans un deuxième temps, l’activité de recherche de ces dernières années a été décrite de
manière plus détaillée et les apports scientifiques ont été argumentés. Si l’utilisation des outils
fait l’objet d’une réflexion relativement récente, les apports fondamentaux sur l’outil restent
assez anciens. La bibliographie dédiée au premier chapitre de la partie recherche le montre
bien.

Par contre, les réflexions méthodologiques ont essentiellement lieu dans un cadre applicatif
ferroviaire. Elles sont évoquées dans la première partie du chapitre 2. La problématique
dépeinte est vraiment prometteuse. La deuxième partie de ce même chapitre fournit un
contenu scientifique plus abouti.

De fait, la totalité des publications de revue concernent assez directement les systèmes de
production, alors que c’est la sécurité des transports qui génère les contrats. Certes, les
applications industrielles sont une légitimation pour les outils. Cette stratégie a porté ses
fruits. Plusieurs thèses sur la base des outils que je porte ont été soutenues au LISA [DID05],
[OUE05], ou sont en cours [DEC08]. Dans la communauté de la commande des Systèmes à
Evénements Discrets, c’est un signe de reconnaissance. Pourtant, un certain nombre de
propriétés ont été présentées dans un contexte très applicatif et leur réutilisation dans un autre
contexte en est rendue peu naturelle.

133
Les Réseaux de Petri P-temporels : modélisation et validation d’exigences temporelles

Dans le troisième chapitre, la même démarche de justification est pourtant utilisée pour les
RdP à intervalle. Ce nouveau modèle est présenté dans le cadre d’une application industrielle
assez complète. En l’occurrence, la plateforme applicative est une manufacture de tabac. La
présentation du modèle a été l’occasion d’une conférence [COL04], tandis que l’application
support fait l’objet d’une revue internationale [DHO08b]. Pour illustrer la richesse
fonctionnelle de l’outil une autre application a été proposée [DHO08a]. Elle concerne les
contraintes géométriques dans l’industrie mécanique. De fait, la diffusion des Réseaux de
Petri à intervalles est assez satisfaisante quand on considère leur jeune âge.

2. Perspectives
2.1 Rationalisation de ma contribution scientifique
Pour aborder la partie des perspectives, on pourra commencer par dire que le spectre
applicatif restant à traiter est très large. Tellement large qu’il serait utile de présenter un
certain nombre des résultats du chapitre 2 de ce mémoire sous une formulation plus générale.

Par exemple, la possibilité de faire varier la vitesse de fonctionnement d’un système à

contrainte de temps en un certain nombre de temps de cycle est une propriété générale. Elle
n’a cependant été formulée que dans le cas d’un atelier de galvanoplastie à ressource de
transport unique [COL02], [COL03c].

Il faut d’ailleurs remarquer que c’est souvent les publications fondamentales qui sont
référencées, par exemple par la communauté de l’algèbre des dioïdes [DID05], [OUE05]. Il
n’existe cependant aucune publication de revue sur les RdP P-temporels, même nationale, qui
corresponde à cette attente de la communauté scientifique. Une première revue de cette nature
est soumise à la revue américaine « SIMULATION ».

Cette tâche ne sera pas forcément aisée. De plus, elle mettra probablement à jour des verrous
scientifiques qui n’ont pas été abordés dans le contexte des applications considérées jusqu’ici.
Un ouvrage pédagogique serait un aboutissement intéressant.

Parmi les sujets à aborder, on citera par exemple, l’utilisation et l’instrumentation des graphes
des classes des RdP P-temporels pour l’ingénierie des exigences. Ainsi, les méthodes de
comparaisons entre les spécifications capturées dans un graphe de classe généré par un RdP t-
temporel avec le modèle des exigences découlant lui d’un modèle P-temporel, demandent à
être instrumentées de manière rigoureuse. Une revue soumise au journal JUCS constitue un
premier pas dans cette direction.

Enfin, il reste à confronter les RdP P-temporels avec la littérature concernant les RdP
temporels à flux indépendants. Ces derniers sont essentiellement utilisés pour les systèmes
informatiques et multimédia. Pourtant, il est assez simple d’établir que les RdP P-temporels
sont des RdP temporels à flux indépendant où la sémantique associée aux transitions est
restreinte à un « ET pur ». Un important travail d’analyse et de reformulation doit donc être
fourni à la communauté scientifique afin de donner une meilleure accessibilité à l’ensemble
des propriétés mathématiques notamment dans la communauté automaticienne.

134
 Conclusion

2.2 Travailler sur la cohérence applicative

Un changement a d’ailleurs été amorcé et l’expertise applicative est grandement supportée par
P. Bon de l’INRETS pour la thèse de F. Defossez. De cette façon, mon activité peut
s’excentrer vers l’outil de modélisation et ses propriétés. Un deuxième sujet de thèse devrait
être proposé dans le même contexte de sécurité ferroviaire. Il convient par ailleurs d’appuyer
les projets PANSAFER et RESCIPROC dans ce domaine.

De manière analogue, l’efficacité avérée des algèbres de dioïdes pour la mise en équation des
problèmes de commande appelle au même type de collaboration. A court terme, il faudrait
initier des travaux validés par une ou deux conférences avant d’aborder une éventuelle
cotutelle de thèse.

Plus globalement, il serait très intéressant de créer une synergie autour du traitement des
contraintes de temps tout au long du processus de conception. La construction d’un projet
ANR « blanc» est entamée. Le but est de réunir quatre ou cinq laboratoires regroupant les
compétences d’ingénierie de modèle, d’ingénierie des exigences, de modélisations,
d’ordonnancement, de commande et de validation. Outre l’enrichissement scientifique du
croisement des compétences, cette action aurait le mérite de donner à court terme une
visibilité nationale aux acteurs du projet. La réussite serait l’accession à une dimension
internationale.

En effet, pour avoir organisé plusieurs sessions autour du thème dans des conférences
internationales, il reste du chemin à parcourir pour les outils RdP temporels dans la
communauté scientifique. La proposition de numéros spéciaux de revues internationales serait
un moyen de mettre en valeur sur la scène internationale la cohérence et la consistance d’un
ensemble de travaux développés dans des laboratoires différents. C’est un projet qui se
construit patiemment sur les sessions invitées que j’organise. Avec 6 sessions organisées et
une soumise, je pense bientôt pouvoir justifier d’une bonne connaissance de la dynamique des
travaux scientifiques dans ma thématique devant un éditeur de revue. Il sera donc réalisé dans
les deux ans.

2.3 Collaborations internationales

2.3.1 Conforter les liens avec la Tunisie.

Enfin, il faut simplement assumer qu’une collaboration internationale aide à asseoir le

caractère transnational d’une approche. Cette démarche a déjà porté un certain nombre de
fruits par exemple pour les cotutelles franco-tunisiennes que j’ai co-encadrées. Ce sillon
mérite cependant d’être creusé. Et il serait particulièrement intéressant qu’une équipe dédiée
voie le jour en Tunisie. Ainsi, la thèse d’Anis Mhalla prolonge les travaux de Jerbi Nabil tout
en permettant à ce dernier d’asseoir sa visibilité nationale.

2.3.2 Exploiter les relations du réseau Eurnex

Le carnet d’adresse du réseau EURNEX ferroviaire est une aide précieuse. On notera par
exemple l’intérêt de l’équipe ferroviaire de l’Université, la Sapienza de Rome pour les
Réseaux de Petri de Haut Niveaux. Cet intérêt commun s’est concrétisé par l’organisation
d’une session au congrès CESA’06 à Pékin. Les projets de thèses co-encadrées ou de réponse
à des appels d’offre européens n’ont pas encore débouché (à l’exception notoire du projet

135
Les Réseaux de Petri P-temporels : modélisation et validation d’exigences temporelles

SELCAT). Les coordinateurs de SELCAT, l’université allemande de Brunchweig sont aussi

des collaborateurs potentiels très intéressants.

Le dépôt de PANSAFER au niveau national (le coordinateur est l’INRETS) peut apparaitre
comme une difficulté. Cependant, la réussite de ce projet permettra d’assoir la crédibilité des
parties prenantes au niveau Européen. Ce projet est donc, entre autres pour cette raison,
condamné au succès. Il commencera probablement en janvier 2009 et il faudra appuyer sa
visibilité par des publications, et probablement organiser une session thématique dès la
première année. En effet, les partenaires anglais ont prédit un contexte favorable au lancement
d’un projet européen sur les passages à niveaux en 2010…

Dans le même registre le projet RESCIPROC (toujours avec l’INRETS) pourrait se

poursuivre par une ANR, ou si les circonstances sont favorables, par une réponse à un appel
d’offre Européen (dans l’esprit du pôle 2 d’Eurnex). Si l’objectif est clairement identifié, ce
travail donnera ses fruits à long terme.

2.3.3 Développer des synergies nouvelles

Le fait de ne pas être habilité à diriger des recherches est régulièrement un handicap pour
construire des partenariats. Ainsi, le statut de « professeur invité » (bien souvent réservé aux
chercheurs habilités à diriger des recherches) permet d’approfondir les collaborations initiées
par des chercheurs de pays différents en marge des congrès et autres réunions de travail
académiques.

C’est d’ailleurs sur cet aspect que je voudrais finir ce mémoire. Les collaborations
internationales ouvrent à des cultures scientifiques différentes dont les effets ne sont pas
bénéfiques que pour la recherche. Ainsi, la capacité d’un établissement à recevoir des
enseignements de professeurs étrangers, spécialistes reconnus d’un domaine, fera beaucoup
pour sa réputation. C’est un regard que je porte sur l’option que je dirige à l’IG2I. Cela pèse
aussi son poids lorsque je considère les propositions d’invitations Canadiennes, Coréennes ou
Tunisiennes que j’ai reçues.

136
Bibliographie

137
Les Réseaux de Petri P-temporels : modélisation et validation d’exigences temporelles

138
 Bibliographie

Bibliographie

[AND96] Andreu D., « Commande et supervision des procédés discontinus : une approche
hybride ». Thèse de Doctorat, Université Paul Sabatier, Toulouse III, 1996.
[BER91] B. Berthomieu et M. Diaz, "Modeling and verification of time dependent systems
using time Petri nets", IEEE Transactions on Software Engineering, Vol. 17, n° 3, pp.
259–273, 1991.
[BON00] Bon P. « Du cahier des charges aux spécifications formelles : une méthode basée
sur les RdP de haut-niveau » Thèse de doctorat, Université de Science et Technique de
Lille, 2000.
[BON01] P. Bonhomme, "Réseaux de Petri P-temporels : Contributions à la commande
robuste", Thèse de Doctorat, Université de Savoie, Annecy, Juillet 2001.
[BON05] P. Bonhomme, "Control of time critical systems using partial order", 17th IMACS
Word Congress on Scientific Computation, Applied Mathematics and Simulation,
Paris, CD ROM, T4-I-99-0501, Juillet 2005.
[BOU06] Boulanger JL, BON P ., Mariano G. « From UML to B : a level crossing case »
COMPRAIL 2006, pp351-359, 2006.
[BRA82] G. W. Brams (ouvrage collectif), "Réseaux de Petri : Théorie et pratique, Tome 1 :
Théorie et analyse, Tome 2 : Modélisation et applications", Ed. Masson, Paris, 1982.
[CAL97] S. Calvez, P. Aygalinc, and W. Khansa, "P-time PN for manufacturing systems with
staying times constraints", IFAC CIS Congress, Belfort, pp. 495–500, Mai 1997.
[CEN00] CENELEC, 2000. Applications ferroviaires : spécification et démonstration de la
fiabilité, de la maintenabilité, de la disponibilité et de la sécurité (FMDS). Norme
européenne CENELEC NF-EN 50126.
[CEN01] CENELEC, 2001. Applications ferroviaires : systèmes de signalisation, de
télécommunications et de traitement logiciels pour systèmes de commande et de
protection ferroviaire. Norme européenne CENELEC NF-EN 50128.
[CEN03] CENELEC, 2003. Applications ferroviaires : systèmes de signalisation, de
télécommunications et de traitement systèmes électroniques de sécurité pour la
signalisation. Norme européenne CENELEC NF-EN 50129.
[CHE4] Chetouane F., Collart Dutilleul S., Denat J-P “Modelling And Analysis Of Time
Constraints Using P-Time Petri Nets For A Multi-Hoist Electroplating Line”,
Conference IFAC/IFIP/IEEE Management and Control of Production and Logistics
MCPL’04, pp. 279-284, Santiago (Chili), novembre 2004.

139
Les Réseaux de Petri P-temporels : modélisation et validation d’exigences temporelles

[CHE07] Chetouane F; Denat J-p; Collart-Dutilleul Simon , “A flexible control for

manufacturing automated electroplating lines”, International Journal for
Manufacturing Science & Production, 2007, VOL 8; NUMB 1, pages 33-48.
[CHR83] P. Chrétienne, "Les réseaux de Petri temporisés", Thèse de Doctorat d’Etat,
Université Pierre et Marie Curie, Paris VI, Paris, Juin 1983.
[COL95] Collart Dutilleul S., J. P. Denat, « Use of periodic controlled Petri nets for Discrete
Event Dynamical Control Synthesis ». Ecc’95.
[COL01] S. Collart-Dutilleul et J.P. Denat, "Periodic patterned control and periodic output
flows", IFAC conference Large Scale System (LSS'2001), Bucarest, Roumanie, pp.
108–113, Juillet 2001.
[COL02]Collart Dutilleul S., Denat J-P, Chetouane F. « External Robust Control of
Eletroplating Line » Conference on Systems, Man, and Cybernetics (SMC’02),
Hamamet, Tunisie, 2002.
[COL03a] S. Collart-Dutilleul, H. Dhouibi et E. Craye, "Internal Robustness of Discrete
Event System with internal constraints in repetitive functioning mode", ACS’2003
Conference, Miedzyzdroje, 2003.
[COL03b] Collart Dutilleul S., E. Craye,., “ Performance and Tolerance evaluation with
respect to forbidden states” Proc. of IFAC Safeprocess'03, Washington D.C., Juin
2003.
[COL03c] Collart Dutilleul S. and Denat J-P “Valid transient mode with respect to time
constraints in a bufferless flow shop with single transportation resource”
Computational Engineering in Systems Applications cesa2003, Lille, France, 2003.
[COL04] Collart Dutilleul S., H. Dhouibi, E. Craye. « Tolerance analysis approach with
interval constrainted Petri nets ». European Simulation and Modelling Conference
(ESMc) 2004 conference, Paris.
[COL06] S. Collart Dutilleul, F. Defossez, P. Bon, "Safety requirements and p-time Petri nets:
A Level Crossing case study" Computational Engineering in Systems Applications
(CESA’06), Beijing, CD-ROM T4-I-35-0490 , Octobre 2006.
[COL07]. Collart Dutilleul , N. Jerbi,, E. Craye et M. Benrejeb, “Robust Control of Multi-
product Job-shops in Repetitive Functioning Mode”, proceeding of MCPL`07, Sibiu,
Roumanie, septembre 2007.
[COL97a] Collart Dutilleul S., « Commande Robuste d’Ateliers à Contraintes de Temps de
Séjour : Application à la Galvanoplastie ». Thèse de Doctorat, Université de Savoie,
décembre 1997.
[COL97b] Collart Dutilleul, S., J.P Denat. "P-time Petri Nets and robust control of
electroplating lines using several hoists". CIS’97 congrès IFAC-IFIP-IMACS, Belfort,
Mai 1997, France, pp 501-506.
[COL97c] Collart Dutilleul S. ,Chetouane F., J.P Denat. " Control robustness towards staying
time constraints applied to food distribution". MCPL’97 congrès IFAC-IFIP,
Canpinas, Aout 1997, Brazil.
[COL98] Collart Dutilleul S. and Chetouane F. "Human Integration and participation in time
constraint workshop with limiting transportation resources", IEEE BASYS'98, August
1998.

140
 Bibliographie

[COL99] COLLART DUTILLEUL S. & DENAT J. P. « Réseaux de Petri P-temporels et

conduite d’ateliers a contraintes de temps de séjour ». Journal Européen des systèmes
automatisés, vol 33, n°56 – juillet 99 P594-609.
[COM71] F. Commoner, A. Holt, S. Even et A. Pnueli, "Marked Directed Graphs", Journal
of Computer and System Science, Vol. 5, n° 5, pp. 511–523, 1971.
[COR96] ARTEMIS-IMAG, ERIHST, LAG et LAMLII-CESALP <<CORINE>> : "COduite
Robuste et INtelligente dans les Entreprises manufacturières", Rapport Technique,
Mai 1996.
[DAV92] DAVID R. & ALLA H. « Du grafcet au réseaux de Petri ». Edition Hermes 1992.
[DEC05] Declerck (P.) et Didi Alaoui (M .K.). – Extremal trajectories in p-time event graphs.
Application to control synthesis with specifications. CD-rom of "CDC-ECC’05", 44th
IEEE Conference on Decision and Control and European Control Conference ECC
2005. – Seville, Spain, 2005.
[DEC08] Philippe Declerck , Abdelhak Guezzi, Cécile Gros « Temps de cycle des graphes
d’év´énements temporisées et P-temporels » Conférence Internationale Francophone
d’Automatique CIFA08, Bucarest (Roumanie), septembre 2008.
[DEF07] Defossez, F., P. Bon, et al. (2007). Formal methods and temporal safety
requirements: a level crossing application. FORMS/FORMAT, Braunschweig.
[DEF08a] Defossez F., Collart Dutilleul S., P. Bon « Temporal requirements checking in a
safety analysis of railway systems », ”, Eleventh International Conference on
Computer System Design and Operations in the Railway and Other Transit Systems
Forms/format'08), Budapest Hongrie, Octobre 2008.
[DEF08b] Defossez F., P. Bon, Collart Dutilleul S., «Taking advantage of some
complementary modeling methods to meet critical system requirement specification»
Eleventh International Conference on Computer System Design and Operations in the
Railway and Other Transit Systems (COMPRAIL 2008), Tolède (Espagne),
Septembre 2008
[DHO05] H. Dhouibi, "Utilisation des réseaux de Petri à intervalles pour la régulation d’une
qualité : Application à une manufacture de tabac", Thèse de Doctorat, Université des
Sciences et Technologies de Lille, Ecole Centrale de Lille, Décembre 2005.
[DHO08a]H. Dhouibi, S. Collart Dutilleul, L. Nabli, E. Craye, «Utilisation des Réseaux de
Petri à Intervalles pour la régulation: cas d’assemblage mécanique » Conférence
Internationale Francophone d’Automatique CIFA08, Bucarest (Roumanie), septembre
2008.
[DHO08b]H. Dhouibi, S. Collart Dutilleul, L. Nabli, E. Craye “ Using Interval Constrained
Petri Nets for Reactive Control Design” International Journal fdr Manufacturing
Science & Production, à paraître
[DIA01] M. Diaz, "Les réseaux de Petri – Modèles fondamentaux", Série Informatique et
Systèmes d’Information, Ed. Hermès, Paris, 2001.
[DIC93] Dicesare F., Harhalakis G., Proth J.M., Silva M., Vernadat F.B. « Practice of Petri
Nets in Manufacturing, Chapman et Hall, 1993
[DID05] M.K. Didi Alaoui, "Etude et supervision des graphes d’événements temporisés et
temporels : vivacité, estimation et commande", Thèse de Doctorat, ISTIA, Université
d’Angers, Décembre 2005.

141
Les Réseaux de Petri P-temporels : modélisation et validation d’exigences temporelles

[HAR04] Hardouin Laurent « Sur la Commande linéaire de Systèmes à Evenements Discrets

dans l'algèbre (max,+) » , mémoire d’habilitation à diriger des recherches 16 Juin
2004, Laboratoire d’Ingénierie des Systèmes Automatisés - CNRS FRE 2656, ISTIA
Université d’Angers
[HAM05] S. Hamaci, J.-L. Boimond, S. Lahaye, "Performance analysis of timed event graphs
with multipliers using (min, +) algebra", International Conference on Informatics in
Control, Automation and Robotics, Barcelone, Vol. 4, pp. 16–21, Septembre 2005.
[HIL89] H. P. Hillion, "Modélisation et analyse des systèmes de production discrets par les
réseaux de Petri temporisés", Thèse de Doctorat, Université Paris VI, Janvier 1989.
[HOL90] L. E. Holloway et B. H. Krogh, "Synthesis of feedback control logic for a class of
controlled Petri nets", IEEE Trans. on Automatic Control, Vol. 35, n° 5, pp. 514–523,
Mai 1990.
[HOU04] L. Houssin, S. Lahaye, J.-L. Boimond, "Modelling and Control of Urban Bus
Networks in Dioids Algebra", Workshop on Discrete Event Systems (WODES'04),
Reims, pp. 103–108, Septembre 2004.
[JAN00] Jansen, L. and E. Schnieder (2000). Traffic Control Systems Case Study: Problem
Description and a Note on Domain-based Software Specification, Technical
University of Braunschweig.
[JER04] N. Jerbi, S. Collart Dutilleul, E. Craye et M. Benrejeb, "Robust Control of Multi-
product Job-shops in Repetitive Functioning Mode", IEEE Conference on Systems,
Man, and Cybernetics (SMC’04), The Hague, Vol. 5, pp. 4917–4922, Octobre 2004.
[JER05] N. Jerbi, S. Collart Dutilleul, E. Craye et M. Benrejeb, "Observability of Tolerant
Multi-product Job-shops in Repetitive Functioning Mode", 17th IMACS Word
Congress on Scientific Computation, Applied Mathematics and Simulation, Paris, CD
ROM, Juillet 2005.
[JER06a] N. Jerbi, « Apports et intégration de la robustesse pour la supervision de systèmes
manufacturiers» Thèse de doctorat de l’Ecole Centrale de Lille, 9 décembre 2006
[JER06b] N. Jerbi, S. Collart Dutilleul, E. Craye et M. Benrejeb, "Localization of Time
Disturbances in Tolerant Multi-product Job-shops Without Assembling Tasks",
Computational Engineering in Systems Applications (CESA’06), Beijing, pp. 45–50,
Octobre 2006.
[JER06c] N. Jerbi, S. Collart Dutilleul, E. Craye et M. Benrejeb, "Intégration de la robustesse
dans la supervision de systèmes manufacturiers à contraintes de temps", Conférence
Internationale Francophone d’Automatique (CIFA’06), Bordeaux, CD ROM, Mai
2006.
[JER06d] N. Jerbi, S. Collart Dutilleul, E. Craye et M. Benrejeb, "Time Disturbances and
Filtering of Sensors Signals in Tolerant Multi-product Job-shops with Time
Constraints", International Journal of Computers, Communications & control, Vol. I,
n° 4, pp. 61–72, 2006.
[JER07] N. Jerbi, S. Collart Dutilleul, E. Craye et M. Benrejeb “Localization Algorithm of
Time Disturbances in Tolerant Multi-product Job-shops” Studies in Informatics
Control(SIC) Vol 16 N°1, 2007
[JER08a] N. Jerbi, S. Mhalla A., Collart Dutilleul, E. Craye et M. Benrejeb, « Rejet de
perturbation et commandabilité de systèmes manufacturiers à contraintes de temps »

142
 Bibliographie

Conférence Internationale Francophone d’Automatique, CIFA08, Bucarest

(Roumanie), septembre 2008.
[JER08b] Jerbi Nabil; Collart-Dutilleul Simon; Craye Etienne; Benrejeb Mohamed,”
Commande robuste des ateliers manufacturiers à contraintes de temps », Journal
Européen des Systèmes automatisés (JESA) , à paraître
[JON03] E. Jonas: “Analysis of Intent Specification and System Upgrade Traceability“.
Master‘s thesis, openings Universitet, Sweeden, December 2003.
[KHA96] W. Khansa, P. Aygalinc, and J. P. Denat, "Structural analysis of P-Time Petri
Nets", Computational Engineering in Systems Applications (CESA'96), Lille, pp. 127–
136, Juillet 1996.
[KHA97] W. Khansa, "Réseaux de Petri P-temporels: Contribution à l’étude des systèmes à
événements discrets", Thèse de Doctorat, Université de Savoie, Annecy, mars 1997.
[KRO91] B. H. Krogh, J. Magott, and L. E. Holloway, "On the Complexity of Forbidden
State Problems for Controlled Marked Graphs", IEEE International Conference on
Decision and Control, Brighton, Vol. 1, pp. 85–91, December 1991.
[LAF91] LAFTIT S. « Graphes d’évènements déterministes et stochastiques : application aux
systèmes de production ». Thèse de doctorat Paris 1991.
[LEF98] A. Lefort “Les HyperNets: un outil de modélisation et de specification », Mémoire
de thèse de l’université de Lille1, Lille le 10 juillet 1998.
[LEI89] Lei, L. and T.J. Wang (1989). A proof: the cyclic hoist scheduling problem is NP-
complete. Working paper. Rutgers University and Bell Communication Research.
USA.
[LON93] J. Long, "Sur la conduite hiérarchisée des systèmes flexibles de production", Thèse
de Doctorat, INPG Grenoble, Juin 1993.
[MA-01] L. A. Maciaszek: “Requirements Analysis and System Design”.Person Education
Limited, Harlow, England, 2001.
[MAN94] Manier M.-A., Baptiste P., 1994. Etat de l’art : ordonnancement de robots de
manutention en galvanoplastie. Automatique Productique Informatique Industrielle
(APII-RAIRO) Vol.28, n°1/1994, p.7-35
[MEN82] M. Menasche, "Analyse des réseaux de Petri temporisés et application aux systèmes
distribués", Thèse de Doctorat en Automatique, Université Paul Sabatier, Toulouse,
1982.
[MER74] Merlin, P. (1974). A Study of the Recoverability of Computer Systems. Irvine,
California, University of California.
[MUR89] T. Muratat, "Petri Nets : properties, analysis and application", Proceedings of the
IEEE, Vol. 77, n° 4, pp. 541–580, 1989.
[NAB08] Lotfi Nabli, Achraf Jabeur Telmoudi, Radhi M’hiri “Modeling and analysis of a
robust control of manufacturing systems: flow-quality approach” International Journal
of Computer, Information, and Systems Science, and Engineering 2;1 Winter
2008,pp43-51.
[OUE05] I. Ouerghi, L. Hardouin, J.-Y. Morel et M. Bourcerie, "Verification and control of
p-temporal event graphs", 17th IMACS Word Congress on Scientific Computation,
Applied Mathematics and Simulation, Paris, CD ROM, T4-I-99-0501, Juillet 2005.

143
Les Réseaux de Petri P-temporels : modélisation et validation d’exigences temporelles

[PET62] Petri (C. A.). – Kommunikation mut Automaten. –Bonn, Thèse de PhD, Schriften
des IIM Nr. 2, 1962.
[RAM74a] C. Ramchandani, "Analysis of asynchronous concurrent systems by timed Petri
nets", Technical Report, n° 120, Laboratory for Computer science, MIT, Cambridge,
1974.
[RAM80] C. VF. Ramamoorthy et G. S. Ho, "Performance evaluation of asynchronous
concurrent systems using Petri Nets", IEEE Transactions on Software Engineering,
Vol. SE-6, n° 5, pp. 440–449, 1980.
[RAM87] P. J. Ramadge et W. M. Wonham, "Supervisory control of a class of discrete event
processes", SIAM Journal on Control, and Optimization, Vol. 25, n° 1, pp. 206–230,
Janvier 1987.
[RAM95] [Link], [Link], [Link], [Link]: “Lessons Learned from implementing
Requirements Traceability “. Crosstalk Journal of Defense Engineering, 4 April 1995,
pp11-15, 1995.
[ROU85] J. L. Roux, "Modélisation et analyse des systèmes distribués par les réseaux de Petri
temporels", Thèse de Doctorat, Institut National des Sciences Appliquées de Toulouse,
France, Décembre 1985.
[SEN96] P. Sénac, "Contribution à la modélisation des systèmes multimédias et
hypermédias", Thèse de Doctorat, Université Paul Sabatier, Juin 1996.
[SIF77a] [Link], « Use of Petri Nets for Performance Evaluation in Measuring Modelling
and Evaluating Computer systems ». North Holland, Publ. Co. 1977, pp 75-93.
[SIF77b] [Link], « Etude du Comportement Permanent des Réseaux de Petri Temporisés ».
Journées AFCET sur les Réseaux de Petri, Paris 1977.
[TOG96] A. Toguyeni, S. El Khattabi, et E. Craye, "Functional and/or structural approach for
the supervision of flexible manufacturing systems", Computational Engineering in
Systems Applications (CESA’96), Symposium on Discrete Events and Manufacturing
Systems, Lille, pp. 716–721, Juillet 1996.
[VAL92] Robert Valette, « Les réseaux de Petri ». Support de cours, France 1992.
[YIM96] P. Yim, A. Lefort et A. Hebrard, "System Modelling with Hypernets", ETFA’96, pp
37-47, Paris, October 1996.
[ZIE96] Christian Ziegler : « Sûreté de fonctionnement d’architectures informatiques
embarquées sur automobile ». Thèse de Doctorat, LAAS, 12 juillet 1996.

144
Résumé

Le corps de ce travail concerne la modélisation des systèmes à événements discrets. Il

s’intéresse par ailleurs en quasi exclusivité à la gestion des contraintes de temps de séjour.
Mes travaux de thèse ont comporté la constitution du cahier des charges en amont et les
applications en aval d’un outil de modélisation des exigences temporelles : Les Réseaux de
Petri P-temporels. L’ensemble de mes travaux de recherche a été développé dans le but
d’asseoir l’utilisation de cet outil.

Un premier axe a été de positionner l’outil par rapport à ceux de l’état de l’art. Une deuxième
tâche a été de prouver un certains nombre de propriétés mathématiques dans l’optique de
permettre des applications industrielles efficaces. Au delà de la stricte recherche de propriété,
l’extension du champ applicatif, vers le domaine du ferroviaire par exemple, a pris une part
très importante. Une troisième activité a débouché sur la caractérisation des limites du modèle
et la proposition d’extension fonctionnelle ou de rapprochement de l’outil de modélisation
vers des modèles existants.

Ce modèle concerne donc les Systèmes à Evénements Discrets où l’on rencontre des
contraintes de temps de séjour maximum dans un état donné. C’est le cas de la galvanoplastie
qui a été le premier support applicatif. Très rapidement, le champ des applications potentielles
de l’outil a été élargi par des publications dans les domaines de l’industrie alimentaire.

Les travaux se sont par ailleurs concentrés sur la partie commande, en supposant que la
séquence des opérations avait déjà été fixée. Ils ont été appuyés par le travail de master de
recherche de M.F. Karoui en 2004 (deux conférences ont été publiées dans la suite de son
mémoire). Par ailleurs, l’expertise en supervision qui se trouvait au sein de l’équipe Système à
Evénement Discret a été valorisée par le stage de master de T. Lecuru sur la supervision des
ateliers automobiles en 2003. Ce travail a pris une autre ampleur avec la thèse de Jerbi Nabil
sur la commande des ateliers à contraintes de temps soutenue en 2006 (3 publications de
revue). Il se poursuit avec la thèse de Annis Mhalla.

En 2006, F. Defossez soutient un master dans le domaine ferroviaire sur la gestion des
exigences temporelles de sécurité. Ce dernier va s’inscrire en troisième année de thèse et a
déjà publié 5 conférences. Ce travail ouvre un champ très important pour l’outil de
modélisation que je porte. Par exmple, cela a amné la participation à un projet Européen. Ce
projet SELCAT qui s’intéresse au passage à niveau et qui s’est terminé en juin 2008. Il se
prolongera dans un projet national ANR accepté qui débutera autour de janvier 2009. En
parallèle, un projet spécifique ayant trait aux outils de modélisation sur les chantiers est en
cours avec la SNCF.

Enfin, la thèse de Hedi Dhouibi a été l’occasion de proposer un nouveau modèle capable de
généraliser certaines propriétés des Réseaux de Pétri P-temporels à des systèmes où le
paramètre critique est différent du temps. Une validation industrielle sur des données réelles a
pu être effectuée (soutenance en 2005). Elle fait l’objet de trois publications de revues
internationales (acceptation en 2008).

Mots-clés : Réseaux de Petri, systèmes à événements discrets, exigences temporelles