Algebraic verification of hybrid systems in Isabelle/HOL

The thesis describes an open modular semantic framework for the verification of hybrid systems in a general-purpose proof assistant. We follow this approach to create the first algebraic based verification components for hybrid systems in Isabelle/HOL. The framework benefits from various design choices. Firstly, an algebra for programs such as Kleene algebras with tests or modal Kleene algebras captures the verification condition generation by providing rules for each programming construct. Intermediate relational or state transformer semantics instantiated to a concrete model of the program store allow the framework to handle assignments and ordinary differential equations (ODEs). The verification rules for ODEs require user-provided solutions, differential invariants or analytical descriptions of the continuous dynamics of the system. The construction is a shallow embedding which makes the approach quickly extensible and modular. Taking advantage of these features, we derive differential Hoare logic (dH), a minimalistic logic for the verification of hybrid systems, and the differential refinement calculus (dR) for their stepwise construction. Yet the approach is not limited to these formalisms. We also present a hybrid weakest liberal precondition calculus based on predicate transformers which subsumes powerful deductive verification approaches like differential dynamic logic. The framework is also compositional: we combine it with lenses to vary the model of the program store. We also support it with a formalisation of affine and linear systems of ordinary differential equations in Isabelle/HOL. This integration simplifies various certifications that the proof assistant requires such as guarantees of existence and uniqueness of the corresponding solutions. Verification examples illustrate the approach at work. Formalisations of our solutions to problems of the international friendly competition ARCH2020, where our components participated, further evidence their effectiveness. Finally, a larger case study certifying an invariant for a PID controller of the roll angle in a quadcopter’s flight complements these verifications

Analysis of timed automata with guards in dioids algebra

International audienceIn this paper, we propose a new linear representation to model the behavior of Timed Automata with Guards (TAGs) using the formalism of dioids algebra. This linear modeling is used to define the parallel composition and properties of determinism for TAGs. The contribution is illustrated with an example of a jobshop to analyze the performances of this system

Evaluation de performances des automates temporisés avec gardes en utilisant l'algèbre (Max,+) - Application aux systèmes de commande en réseau

National audienceDans ce travail, nous nous sommes intéressés à la modélisation et à l'analyse de performances des systèmes à évènements discrets (SED) modélisés par des automates temporisés avec gardes (ATGs) en utilisant l'algèbre (Max,+). Les ATGs sont une classe d'automates temporisés avec des gardes associées aux transitions sous formes d'intervalles de temps, ce qui permet de prendre en compte l'incertitude de certaines occurrences d'événements. Ces modèles sont considérés comme une alternative aux approches stochastiques. Contrairement aux automates (Max,+) [1], les ATGs comportent plusieurs horloges et offrent une capacité de modélisation et d'analyse des SED synchrones et asynchrones. Cela est idoine pour l'étude des systèmes distribués ou parallèles comme les ateliers flexibles de production, les réseaux de transport, les architectures d'automatisation et les systèmes de communication. Une autre caractéristique des ATGs est l'ensemble des remises-à-zéro (reset) qui lui permettent de représenter les contraintes temporelles sur un ensemble d'évènements. Dans ces résultats, nous avons proposé une représentation matricielle pour décrire les comportements extrêmes des ATGs dans l'algèbre (Max,+). Cette contribution généralise les travaux entamés dans [2] pour des SED à une seule horloge, pour s'étendre à des ATGs avec plusieurs horloges et à des transitions synchronisées de temps en temps. Une deuxième contribution de ces travaux concerne l'évaluation analytique de performances des SED représentés par des ATGs multi-horloges. Pour cela, trois indicateurs ont été déduits de la représentation matricielle des ATGs pour évaluer les performances temporelles des systèmes considérés : la borne du temps généralisée supérieure, inférieure et moyenne. Pratiquement, ces paramètres permettent de calculer les différents temps d'exécution d'une séquence d'évènements et donne un aperçu de la forme de la distribution. La borne généralisée supérieure peut être utilisée pour déterminer le délai pire cas afin de valider le respect des contraintes temps-réel strictes. La borne généralisée inférieure est exploitée pour montrer le cas optimal et caractériser la réactivité d'un système. La borne généralisée moyenne peut servir à vérifier si les performances d'un système respectent bien les contraintes temps-réel flexibles. Les apports de ces travaux peuvent être utilisés pour traiter analytiquement des problèmes d'analyse de performances, de diagnostic et de la commande des SED distribués. Une première application de ces résultats théoriques a été réalisée sur les systèmes de commande en réseau (SCR). L'objectif étant de proposer une nouvelle méthode analytique d'évaluation de la borne maximale du temps de réponse des SCR fonctionnant avec le protocole client/serveur. La première étape de cette approche consiste à modéliser le SCR par un ATGs représentant les différents processus de transfert de données. Les transitions sont conditionnées par des gardes sous formes d'intervalles de temps avec deux horloges : le processeur de traitement et la carte de communication. Les comportements des modèles graphiques sont ensuite traduits sous formes matricielles dans l'algèbre (Max,+). La deuxième étape consiste à générer analytiquement le langage temporisé pouvant conduire au pire temps de réponse. En appliquant l'algorithme de calcul des indicateurs des ATGs, nous obtenons la formule de la borne maximale du temps de réponse pour un SCR comportant un automate programmable et plusieurs modules d'entrées/sorties. Nous avons illustré ces contributions théoriques sur un cas d'étude pratique traité récemment dans la littérature [3]. Nous constatons une convergence avec les résultats expérimentaux et une surestimation de cette borne maximale du temps de réponse de l'ordre de 7%. [1][1] F. Baccelli, G. Cohen, G. J. Olsder and J.-P. Quadrat, Synchronization and Lineartiy (Vol 2), New York: Wiley, 1992.[2] J. Niguez, S. Amari and J.-M. Faure, "Analysis of timed automata with guards in dioids algebra," in 2016 International Workshop on Discrete Event Systems (WODES), Xi'an, 2016. [3] B. Addad, S. Amari, J.-J. Lesage and B. Denis, "Measures vs. Analytic Evaluation of Response Time of Networked Automation Systems," in IEEE Int. Conf. on Automation Science and Engineering, Trieste, 201