

# Universidad de Buenos Aires Facultad de Ciencias Exactas y Naturales Departamento de Computación

# TESIS Directed Controller Synthesis for Non-Maximal Blocking Requirements

Tesis de Licenciatura en Ciencias de la Computación

Matias Duran, Florencia Zanollo

Director: Sebasitán Uchitel

Codirector: ???

Buenos Aires, 2020

# SINTESIS DE CONTROLADORES DIRIGIDA

El presente proyecto de tesis consistió en un estudio y extensión del método previamente propuesto por Daniel Ciolek en su tesis de doctorado [2]. Más precisamente, se trató de analizar carencias del algoritmo de exploración on-the-fly para problemas de Supervisory Control, cuya propiedad central era de tipo Non-blocking y, posteriormente analizados los problemas, afrontarlos con una nueva especificación e implementación del algoritmo. La funcionalidad fue incorporada al software MTSA<sup>1</sup>. Finalmente, se adaptó el algoritmo para construir directores en lugar de supervisores maximales, presentando así la primera implementación de síntesis de directores.

Palabras claves: Discrete Event Systems, Supervisory Control (no menos de 5!!).

<sup>&</sup>lt;sup>1</sup> Modal Transition System Analyser, https://bitbucket.org/lnahabedian/mtsa/src/master/

# DIRECTED CONTROLLER SYNTHESIS

El abstract pero en ingles? (aprox. 200 palabras).

**Keywords:** blabla (no menos de 5).

# **AGRADECIMIENTOS**

Lorem ipsum dolor sit amet, consectetur adipiscing elit. Fusce sapien ipsum, aliquet eget convallis at, adipiscing non odio. Donec porttitor tincidunt cursus. In tellus dui, varius sed scelerisque faucibus, sagittis non magna. Vestibulum ante ipsum primis in faucibus orci luctus et ultrices posuere cubilia Curae; Mauris et luctus justo. Class aptent taciti sociosqu ad litora torquent per conubia nostra, per inceptos himenaeos. Mauris sit amet purus massa, sed sodales justo. Mauris id mi sed orci porttitor dictum. Donec vitae mi non leo consectetur tempus vel et sapien. Curabitur enim quam, sollicitudin id iaculis id, congue euismod diam. Sed in eros nec urna lacinia porttitor ut vitae nulla. Ut mattis, erat et laoreet feugiat, lacus urna hendrerit nisi, at tincidunt dui justo at felis. Class aptent taciti sociosqu ad litora torquent per conubia nostra, per inceptos himenaeos. Ut iaculis euismod magna et consequat. Mauris eu augue in ipsum elementum dictum. Sed accumsan, velit vel vehicula dignissim, nibh tellus consequat metus, vel fringilla neque dolor in dolor. Aliquam ac justo ut lectus iaculis pharetra vitae sed turpis. Aliquam pulvinar lorem vel ipsum auctor et hendrerit nisl molestie. Donec id felis nec ante placerat vehicula. Sed lacus risus, aliquet vel facilisis eu, placerat vitae augue.

# Índice general

| 1 | Introducción                                   | 1  |
|---|------------------------------------------------|----|
|   | 1.1. Caso de estudio                           | 1  |
|   | 1.2. Estructura de los capítulos               | 2  |
| 2 | Antecedentes                                   | 5  |
|   | 2.1. Controlador objetivo                      | 6  |
|   | 2.2. Director                                  | 7  |
|   | 2.3. Algoritmo monolítico                      | 7  |
| 3 | Exploración on-the-fly                         | 9  |
|   | 3.1. Marcado explícito errores                 | 10 |
|   | 3.2. Propagación local vs por conjuntos        | 11 |
|   | 3.3. Correcta detección de loops ganadores     | 11 |
|   | 3.4. Agnosticismo a la heurística              | 12 |
| 4 | Nuevo Directed Controller Synthesis            | 15 |
|   | 4.1. Propuesta de nuevo algoritmo              | 15 |
|   | 4.2. Demostración de correctitud y completitud | 19 |
|   | 4.3. Nuestro enfoque                           | 21 |
|   | 4.4. Demostración de Lemas                     | 22 |
|   | 4.5. Complejidad computacional                 | 27 |
| 5 | Implementación                                 | 31 |
|   | 5.1. MTSA                                      | 31 |
|   | 5.2. Heurísticas adicionales                   | 32 |
|   | 5.2.1. Dummy                                   | 32 |
|   | 5.2.2. BFS                                     | 32 |
|   | 5.3. Testing                                   | 33 |
| 6 | Performance                                    | 37 |
|   | 6.1. Comparación con versión previa de DCS     | 38 |
|   |                                                |    |
| 7 | Conclusiones                                   | 41 |

# 1. INTRODUCCIÓN

El problema de síntesis (construir automáticamente un controlador en base a una especificación) fue estudiado dentro de distintas áreas como: Discrete Event Control [REFS], Reactive Synthesis [REFS] y Automated Planning [REFS]. El problema puede modelarse con un Sistema de Eventos Discretos (DES) con un subconjunto de sus estados marcados. Un factor clave de estos problemas es que el DES se presenta de forma modular tal que la composición paralela de múltiples componentes den lugar al DES de interés. Desarrollaremos en mayor detalle las definiciones del problema en el capítulo 2.

La motivación para analizar dichos problemas surge de la necesidad de verificar software, hoy en día utilizado en prácticamente todo emprendimiento humano. Si bien puede irse ganando confianza sobre la correctitud de un algoritmo a través de una bateria de tests, éstos no proveen una garantía sino una seguridad cada vez mayor.

Un método alternativo es el de la verificación de la implementación del algoritmo con un modelo formal que cumpla los objetivos y requerimientos deseados del programa. Con esta visión en mente, el área de 'Controller Synthesis' va un paso más allá y busca la generación automática de un controlador que dado un modelo (en forma de DES) cumpla siempre en toda ejecución posible los requisitos del problema.

Una característica clave de 'Controller Synthesis' es que no requiere una base de datos de ejemplos, ya que no entrena, como sí sucede en 'Machine Learning'. Lo que sí requiere es un modelo de los movimientos posibles dentro del problema, y la dificultad actual del área no es la correcta síntesis del controlador objetivo, ya resuelta en la bibliografía [REF]. El problema radica en el tamaño excesivo que los modelos pueden para los métodos actuales.

En respuesta a esto, la idea de una exploración on-the-fly y de la síntesis de un director en lugar de un supervisor, son intentos de explorar una parte reducida de éstos modelos. Con esto, apunta a escalar el tamaño máximo de problemas que resuelve.

# 1.1. Caso de estudio

A continuación se presenta un ejemplo para comprender el problema a resolver. Se trata de una versión simplificada del problema *TravelAgency* utilizado para medir la performance del algoritmo.

Se desea armar un sevicio de venta online de paquetes vacacionales que reservará de forma automática una variedad de servicios (alquiler de auto, hotel, pasaje de avión, etc.) asegurando que no se perderá nada de dinero a menos que se reserve el paquete completo.

Para cada servicio que se desea sub-contratar presentamos una versión simplificada en la cual se consulta si ese servicio está disponible. En caso de estar disponible queda reservado hasta la compra definitiva del paquete completo y la cancelación de la reserva si otro servicio no estaba disponible no implica un gasto.

El problema puede escalar de forma muy rápida si se incrementa la cantidad de servicios a contratar o la cantidad de pasos para reservar cada servicio (como se verá en la sección 6).

Mostramos en la figura 1.1 un LTS (Labeled transition system) para cada uno de los componentes descriptos y el LTS compuesto para el caso en el que se sub-contrata un solo servicio.

Puede verse que para el caso de solo un sub-servicio que debe ser contratado el problema es manejable. Los modelos gráficos de la planta y el controlador, generados automáticamente por MTSA $^1$  se comprenden con un vistazo. Ya el caso con N=2 (fig 1.2) si bien puede generarse una representación gráfica, requiere un trabajo considerable para comprender qué estado del problema representa cada estado del modelo. Simplemente aumentando a N=5 ya la planta compuesta cuenta con 1025 estados y 4085 transiciones.



Fig. 1.1: Caso con un solo sub-sevicio

Los algoritmos tradicionales necesitan construir el sistema compuesto entero antes de empezar, es por ésta explosión de estados y transiciones que resulta muy costoso (aveces imposible), por ende los algoritmos de punto fijo pueden manejar hasta cierto tamaño de problemas. En el caso de on-the-fly al ser una exploración dirigida construye sólo lo necesario, sacando conclusiones en función de la información obtenida; en el peor caso puede contruir todo (si es que esto es posible).

# 1.2. Estructura de los capítulos

A continuación presentamos los antecedentes, algoritmos tradicionales, la idea básica de exploración on-the-fly y lemas a seguir en orden de conseguir corrección y completitud;

 $<sup>^{1}\ \</sup>mathrm{Modal}\ \mathrm{Transition}\ \mathrm{System}\ \mathrm{Analyser},\ \mathrm{https://bitbucket.org/lnahabedian/mtsa/src/master/}$ 



Fig. 1.2: Planta compuesta con 2 sub-servicios

ésto puede encontrarse en el capítulo 2.

En el capítulo 4 mostramos nuestra propuesta de algoritmo, demostramos corrección y completitud para el mismo y analizamos la complejidad computacional de su peor caso.

Luego exponemos detalles sobre la implementación en el capítulo 5, MTSA, heurísticas diseñadas para testeo y detalles sobre la batería de test, desarrollada utilizando TDD (Test Driven Development).

Como paso final en el capítulo 6 presentamos el benchmark utilizado y resultados de performance; tanto versus la versión anterior de DCS como versus otros algoritmos del estado del arte.

#### 2. ANTECEDENTES

A continuación definimos formalmente el problema composicional de síntesis de controlador nonblocking.

Definición 1 (Autómata Determinístico): Un autómata determinístico es una tupla T= $(S_T, A_T, \rightarrow_T, \bar{t}, M_T)$ , donde:  $S_T$  es un conjunto finito de estados;  $A_T$  es el conjunto de eventos del autómata;  $\rightarrow_T \subseteq (S_T \times A_T \times S_T)$  es una función de transición;  $\bar{t} \in S_T$  es el estado inicial; y  $M_T \subseteq S_T$  es un conjunto de estados marcados.

Notación 1 (Pasos y corridas): Notamos  $(t, \ell, t') \in \to_T$  como  $t \xrightarrow{\ell}_T t'$  y lo llamamos paso. A su vez, una corrida de una palabra  $w=\ell_0,\ldots,\ell_k$  en T, es una secuencia de pasos tal que  $t_i \xrightarrow{\ell_i} t_{i+1}$  para todo  $0 \le i \le k$ , notado como  $t_0 \xrightarrow{w} t_{k+1}$ .

Los autómatas definen un lenguaje, un conjunto de palabras, que aceptan. Dado un conjunto de eventos A, notamos con  $A^*$  al conjunto de palabras finitas de eventos de A. El lenguaje generado por un autómata T (notado como  $\mathcal{L}(T)$ ) es el conjunto de palabras formadas por sus eventos que cumplen  $\to_T$ . Formalmente, si  $w \in A_T^*$ , entonces  $w \in \mathcal{L}(T)$  si y solo si existe una corrida para w comenzando desde el estado inicial  $\bar{t}$  de T, que notamos  $\bar{t} \xrightarrow{w}_T t_{k+1}$ .

Generalmente los estados marcados se utilizan para indicar el logro de una tarea. Por lo tanto, consideramos como lenguaje marcado (o aceptado) por T (lo cual notamos  $\mathcal{L}_m(T)$ ) al conjunto de palabras cuya corrida termina en un estado marcado. Formalmente, sea  $w \in \mathcal{L}(T)$ , entonces  $w \in \mathcal{L}_m(T)$  si y solo si hay una corrida de w que comienza en el estado inicial  $\bar{t}$  y alcanza un estado marcado  $t_m \in M_T$ , que notamos  $\bar{t} - \stackrel{w}{\cdots} \uparrow_T t_m$ .

Este último concepto es relevante para la definición de la composición paralela. Es un parte fundamental del trabajo para definir las palabras aceptadas por el problema nonblocking ya que el lenguaje aceptado por la planta compuesta es el mismo que el aceptado por cada uno de los componentes por separado.

Definición 2 (Composición Paralela): La composición paralela ( $\parallel$ ) de dos autómatas T y Qes un operador simétrico y asociativo que produce un autómata  $T||Q = (S_T \times S_Q, A_T \cup A_Q, \rightarrow_{T||Q})$  $\begin{array}{c} (\forall t, q) \\ (\forall$ 

$$\frac{t \xrightarrow{\ell}_T t'}{\langle t, q \rangle \xrightarrow{\ell}_{T \parallel Q} \langle t', q \rangle} \ell \in A_T \setminus A_Q \qquad \qquad \frac{t \xrightarrow{\ell}_T t' \quad q \xrightarrow{\ell}_Q q'}{\langle t, q \rangle \xrightarrow{\ell}_{T \parallel Q} \langle t', q' \rangle} \ell \in A_T \cap A_Q$$

Hay ciertas características de la composición paralela a destacar. En primer lugar, la última regla realiza la sincronización entre componentes. Segundo, que el número de estados en  $T_0 \parallel ... \parallel T_n$  puede crecer exponencialmente con respecto al número de autómatas a componer. Tercero, que el lenguaje aceptado por la composición contiene las palabras que alcanzan estados marcados en todos los componentes simultaneamente.

#### 2.1. Controlador objetivo

Dado un (conjunto de) autómata(s) y una partición de sus eventos en dos subconjuntos: controlables y nocontrolables, lo que buscamos es un controlador (director) que restrinja el vocabulario aceptado de forma de mantener un camino posible a los estados marcados del autómata.

Un controlador observa las transiciones no controlables y deshabilita alguna transiciones controlables para generar una planta restringida. Una palabra w pertenece al lenguaje generado por T restringido por una función del controlador  $\sigma: A_T^* \mapsto 2^{A_T}$  (anotado como  $\mathcal{L}^{\sigma}(T)$ ) si cada prefijo de w "sobrevive" a  $\sigma$ . Formalmente, sea  $w=\ell_0,\ldots,\ell_k$  una palabra en  $\mathcal{L}(T)$ , entonces  $w \in \mathcal{L}^{\sigma}(T)$  si y solo si para todo  $0 \leq i \leq k$ :  $\bar{t} \xrightarrow{\ell_0 \dots \ell_i} t_{i+1} \wedge \ell_i \in \mathcal{L}^{\sigma}(T)$  $\sigma(\ell_0,\ldots,\ell_{i-1})$ 

Definición 3 (Problema de Control Safe y Non-Blocking): Un Problema de Control con objetivos Safe y Non-Blocking composicional es una tupla  $\mathcal{E} = (E, A_E^C)$ , donde E es un conjunto de autómatas  $\{E_0,\ldots,E_n\}$  (podemos abusar la notación y usar  $E=(S_E,A_E,\rightarrow_E$  $, \bar{e}, M_E)$  para referirnos a la composición  $E_0 \| \dots \| E_n)$ , y  $A_E^C \subseteq A_E$  es el conjunto de eventos controlables (i.e.,  $A_E^U = A_E \setminus A_E^C$  es el conjunto de eventos no controlables). Una solución para  $\mathcal E$  es un supervisor  $\sigma: A_E^* \mapsto 2^{A_E}$ , tal que  $\sigma$  es:

• Controlable:  $A_E^U \subseteq \sigma(w)$  con  $w \in A_E^*$ ; y

- Safe y Nonblocking: para cada palabra  $w \in \mathcal{L}^{\sigma}(E)$  existe una palabra no vacía  $w' \in A_E^*$  tal que, la concatenación  $ww' \in \mathcal{L}^{\sigma}(E)$  y  $\bar{e} \xrightarrow{ww'} e_m$  con  $e_m \in M_E$  (i.e., un estado marcado de E).

En resumen, un supervisor  $\sigma$  es controlable si solo deshabilita eventos controlables, y es safe y nonblocking si restringe el lenguaje generado a palabras que siempre puedan extenderse para llegar a un estado marcado. Notar que no es necesario efectivamente alcanzar un estado marcado, puede haber eventos no controlables que lo eviten, pero siempre debe haber una extensión válida para alcanzar tal estado marcado.

Sabiendo que el objetivo del problema es sintetizar un controlador, queremos distinguir estados quandores (resp. perdedores), aquellos estados que podemos incluir (resp. no podemos incluir) en un controlador.

Notación 2: Decimos que un estado s es ganador ["winning"] (resp. perdedor, errores, ["losing"]) en el problema  $\mathcal{E} = (E, A_E^C)$  si hay (resp. no hay) una solución para  $(E_s, A_E^C)$  donde  $E_s$  es el resultado de cambiar el estado inicial de E a s. Nos referimos como controlador para s en E a una solución de  $(E_s, A_E^C)$ . Nos referimos a los estados ganadores y perdedores de E cuando  $A_E^C$  es inferible del contexto, también usamos  $W_E$  y  $L_E$  para denotar el conjunto de estados ganadores y perdedores de  $\mathcal{E}$ .

Podemos pensar en un controlador non-blocking como un jugador optimista. Se encarga de no perder, y solo requiere conocer un futuro camino posible para llegar a un estado ganador.

Es importante notar que como se busca que cualquier palabra sea extendible a otro estado marcado, lo que se busca es pasar por algún estado marcado infinitas veces. Es decir, un estado 'e' marcado que tenga un camino para que el jugador pueda volver controlablemente al mismo estado 'e'.

2.2. Director 7

Por esto, las estructuras claves que analizamos en nuestro algoritmo son los ciclos (loops), ya que los primeros estados ganadores son aquellos que están en un loop controlable con un estado marcado dentro. Luego anotamos como ganadores también a cualquier estado que controlablemente alcanza un estado ganador.

Los ciclos también son esenciales para encontrar los estados perdedores, ya que la única forma de que un estado sea perdedor es que no pueda alcanzar un estado ganador. En otras palabras, los estados perdedores son aquellos que forman parte de un loop que no tiene estados marcados ni transiciones salientes.

#### 2.2. Director

En particular, buscamos como solución al problema de control, controladores que sean directores, como en [REFS Huang]. Un director se destaca por habilitar a lo sumo un evento controlable en cada punto de la ejecución.

Definición 4 (Director): Dado un controlador  $\sigma: A_E^* \mapsto 2^{A_E}$  de un problema de control  $\mathcal{E}$ , decimos que  $\sigma$  es un director si  $\forall w \in A_E^*$ ,  $\|\sigma(w) \cap A_E^C\| \leq 1$ .

Esto es en contraste con las soluciones tradicionales de Discrete Event Control y sus herramientas, como poner a SUP? que presentan supervisores maximales. Los supervisores deben habilitar todos los eventos controlables que sean válidos en algún controlador que cumpla el objetivo del problema. Es decir que un director será un controlador que cumpla el mismo objetivo que un supervisor, pero restringiendo las palabras posibles a un subconjunto del lenguaje aceptado por el supervisor.

El foco en la construcción de directores tiene las siguientes razones:

- Los directores pueden ser más apropiados en contextos donde el controlador *ejecuta* las acciones controlables REF.
- La construcción de directores puede requerir una menor exploración de la planta que la construcción de un supervisor. Esto se sinergiza y potencia las ganancias en tiempo de la técnica al explorar la composición on-the-fly y permite componer una proporción menor de la planta.
- En el caso de poder sintetizar un director explorando menos de la planta, se podría usar tanto para controlar la planta como para probar la controlabilidad de un problema donde herramientas de construcción de supervisores fallan por tener que explorar en mayor medida un problema de gran tamaño.
- Hay hasta la fecha una falta de herramientas disponibles para la síntesis de directores

Notar que en [REF 15 paper] se prueba que un director existe si y solo si un supervisor maximal existe.

#### 2.3. Algoritmo monolítico

Una solución a este problema, anteriormente estudiada [3] se basa en un menor punto fijo. Simplemente se comienza con el conjunto de los estados que no tienen ningún camino para alcanzar un estado marcado. Luego en cada iteración se agrega al conjunto de los

estados perdedores todos aquellos que en un paso son forzados al conjunto de la iteración anterior.

Si al concluir el punto fijo el estado inicial no se encuentra en el conjunto entonces existe un controlador para el problema en cuestión y para construirlo se deben evitar las transiciones controlables que llevan al conjunto de estados perdedores.

Presentamos en el listing 2.1 una simplificación del algoritmo monólitico (que resuelve toda la planta ya compuesta).

```
\begin{aligned} & \text{Algorithm classicalSolver}(E, A_E^C): \\ & B = \{s \in S_E \mid \nexists w \:.\: s \:-\!\!\!\! \text{$\cdots$} \to_E m \land m \in M_E\} \\ & B' = \emptyset \\ & \text{while } B' \neq B: \\ & B' = B \\ & B = B \cup \{s \in S_E \mid \texttt{forcedTo}(s, e, E) \land e \in B\} \\ & \text{return } \bar{e} \notin B \end{aligned}
```

Listing 2.1: Algoritmo Monolitico

Nuestro problema surge de que para el primer paso, encontrar el conjunto B inicial de estados que no alcanzan un marcado, necesitaríamos conocer los caminos que puede tomar cualquier estado, lo cual implica componer toda la planta.

Sin embargo, utilizamos la idea del punto fijo que detecta errores en la función findNewGoalsIn ya que en ese momento no lo podemos evitar, y simplemente asumimos que lo no explorado no puede llegar a un estado marcado. Esto se discutirá en mayor profundidad en el capítulo 4.

# 3. EXPLORACIÓN ON-THE-FLY

El problema de síntesis de controlador ya tiene una solución clásica, por lo que la dificultad del trabajo no consistió en desarrollar un algoritmo que detectara estados ganadores y perdedores de un LTS totalmente explorado.

El conflicto reside en que al componer distintos DES, la cantidad de estados de la composición es exponencial respecto de los estados en los componentes. Esto es de suma relevancia ya que la solución clásica, que compone toda la planta para luego explorarla, tiene un límite de escalabilidad en el cual la composición de la planta llega al límite de tiempo o memoria, y nunca se llega a la exploración.

Para combatir esto, la exploración on-the-fly, presentada en REF DANY, clasifica estados como ganadores o perdedores durante la composición. Se espera que con esto sea posible, en primer lugar, cortar la exploración de una rama de la planta que ya se sabe que es perdedora o ganadora, reduciendo así la memoria y tiempo necesarios. Pero más aún, si el estado inicial fuera marcado como ganador o perdedor antes de la composición completa de la planta, ni siquiera sería necesario completar el proceso de composición.

```
\begin{split} & \text{Algorithm basicOTF-Exploration}(E, A_E^C): \\ & \bar{e} = \langle \bar{e}^0, \dots, \bar{e}^n \rangle \\ & ES \subseteq E \\ & \text{until seguroGanaOPierde}(\bar{e}): \\ & \text{expandirES}() \\ & \text{computarGanadoresYPerdedores}(ES) \\ & \text{return armarControlador}(\bar{e}) \end{split}
```

Listing 3.1: Algoritmo on-the-fly básico

En el listing 3.1 mostramos la estructura básica de este método. Trabajando sobre la parte de la planta compuesta hasta el momento (estructura explorada, Explored Structure, ES), se expande ES consiguiendo nueva información hasta que sea seguro si el estado inicial es ganador o perdedor en E. Al llegar a esta conclusión se retorna el controlador para  $\bar{e}$  en E o se notifica que no es controlable.

Puede haber muchas variantes de cada una de estas partes, cómo se expande, cómo se computan nuevos ganadores y perdedores, etc. En particular, nuestro enfoque se muestra en el listing 3.2 y consiste en ir agregando una transición a la vez a la parte conocida de la planta, y en cada paso ver si esta nueva transición permite concluir que un estado es ganador o perdedor. Si algún nuevo estado se clasifica como ganador o perdedor, se propaga esta información a sus antecesores, posiblemente marcándolos a su vez como ganadores o perdedores, respectivamente.

A medida que exploramos mantenemos dos conjuntos de estados de ES (Goals y Errors) para los cuáles ya se tiene una conclusión, es decir, se sabe que son ganadores (o perdedores) en E.

Como se demostrará en el capítulo 4, al expandir ES con una transición a la vez  $(e, \ell, e')$ , a menos que e' ya fuera un ganador/perdedor entonces sólo puede haber nueva información si existe un loop entre e y e'. Ésto permite optimizar la detección de nuevos ganadores/perdedores en lugar de ejecutar un algoritmo clásico sobre todo ES.

En el peor caso, no se pudo concluir nada antes de componer la planta en su totalidad,

se perdió tiempo en los puntos fijos, intentando clasificar estados, y se realiza una última vez el algoritmo clásico con la planta totalmente explorada. Esto garantiza la completitud del algoritmo, como se detalla en mayor profundidad en el capítulo 4.

```
Algorithm genericOTF-Exploration(E,A_{E}^{C}):
   \bar{e} = \langle \bar{e}^0, \dots, \bar{e}^n \rangle
    Goals = Errors = \emptyset
   ES = initial //la parte conocida de la planta
    while initial \notin Goals \cup Errors:
      (e, \ell, e') = \operatorname{proxTransicion}(ES, heuristica)
      expandirES (ES, (e, \ell, e'))
      if e' \in Errors:
         propagarError(e')
       else if e' \in Goals:
         propagarGoal(e')
       else if isLoop(e,e'):
         if nuevoLoopGanador(e, e'):
            propagarGoal(e')
         else if nuevoLoopPerdedor(e,e'):
            propagarError(e')
    if initial \in Goals:
      return armarControlador(Goals)
    else:
      return "UNREALIZABLE"
```

Listing 3.2: Nuestro enfoque on-the-fly

Para incrementar las ramas podadas se utiliza una heurística de exploración Best First Search [2] que busca ganar controlablemente o perder no controlablemente, para garantizar con la menor exploración posible que el estado actual es ganador o perdedor.

Una heurística no presenta garantía de resultados perfectos, más bien da una recomendación. Son ampliamente utilizadas al optimizar, pero es importante que la correctitud de los algoritmos no dependan de estas recomendaciones, ya que por su misma naturaleza no tienen garantías fuertes.

A continuación presentamos los puntos más delicados de la exploración on-the-fly, donde buscamos invariantes a cumplir para garantizar su correcto funcionamiento.

En todos los gráficos siguientes vamos a utilizar las letras c, u, para denotar si una transición es controlable o no, respectivamente; en caso de no especificar letra para una transición es porque su controlabilidad no afecta el resultado del ejemplo.

#### 3.1. Marcado explícito errores

Un estado deadlock (sin transiciones de salida) es obviamente un error, ya que si caemos en él no podemos alcanzar nunca un estado marcado. Ahora, ¿qué pasa si tenemos un conjunto de estados conectados entre sí pero sin conexión a otros fuera del conjunto?. Depende si existe un estado marcado dentro del conjunto o no, de no haberlo no tenemos forma de alcanzar uno (ya que no podemos salir del conjunto).

Es el caso de la figura 3.1, el conjunto o rama B fue totalmente explorado y no contiene ningún estado marcado. En éste momento es importante que agreguemos todos los estados de B a Errors, de no hacerlo podríamos incurrir en un error al propagar goal desde otra rama. Es decir, si se mira primero la rama de abajo y no lo marcamos como error (a pesar de estar completamente explorado), entonces al mirar la de arriba diremos que es goal y propagaremos dicha información, equivocadamente, más allá de e.

Éste problema se evita respetando el invariante presentado en la propiedad 1, como se explica en 4.3.



Fig. 3.1: Caso sub-autómata completamente explorado (B), sin marcados dentro.

#### 3.2. Propagación local vs por conjuntos

Una vez obtenido un resultado necesitamos propagarlo hacia los estados ancestros; necesitamos saber, para cada estado, si es posible sacar una conclusión dada la nueva información. Muchas veces es imposible hacerlo teniendo una mirada local ya que se pierde información sobre lo que sucede dentro del "conjunto" de ancestros vecinos.

Por ejemplo en el caso de la figura 3.2a, hay un loop controlable entre dos estados, el cual se explora primero, y uno de ellos va controlablemente a un error. Es obvio que todo debe ser error pues si no habilitamos una controlable estaremos en deadlock; pero según la mirada local ambos ancestros (1 y 2) tienen una forma de escapar del error, el otro estado del conjunto.

Equivalentemente la mirada local tampoco funciona propagando *Goals*, en la figura 3.2b se puede ver un ejemplo. El estado 2 llega al estado marcado 3 pero no puede forzarlo, sin importar si la transición a 3 es controlable o no ya que tiene transición no controlable a 1. Como 1 sólo puede volver a 2 ésta situación no nos molestaría (por ser non-blocking) y el modelo debería ser controlable. Pero si miramos localmente al propagar *Goal* desde 3, no sabemos dónde nos lleva la transición no controlable, y deberíamos suponer lo peor.

Entonces una mirada local no funciona a la hora de propagar. Pero ¿qué conjunto de ancestros vecinos deberíamos tomar? es difícil decidir dónde hacer el corte; son muchos casos y no se puede, localmente, distinguirlos a todos. Por ende es necesario una propagación más inteligente, con una mirada global del conjunto de ancestros.

#### 3.3. Correcta detección de loops ganadores

La detección de loops con estados ganadores es una pieza central para la optimización y corrección del algoritmo, y tampoco puede solucionarse con una mirada local. Es sencillo dar una descripción declarativa de los estados a encontrar (ver listing 3.3) pero no resulta claro cómo implementarla.



Fig. 3.2: Problemas de propagación local.

Luego de varios intentos más veloces pero que presentaban fallas, llegamos a la conclusión de utilizar un algoritmo de punto fijo clásico (similar a listing 2.1) pero con una planta reducida. Los enfoques más veloces que intentamos sí funcionaron a la hora de detectar errores y terminaron sembrando las bases para findNewErrorsIn(loops).

Como se verá más adelante, para detectar ganadores, corremos un algoritmo clásico sobre una versión optimista que asume que toda transición no explorada es perdedora, y de los estados ya explorados solo tomamos en cuenta un grupo reducido que forma un loop sobre la última transición explorada. Este enfoque otorga la completitud del algoritmo tradicional mientras que sostiene la eficiencia de la exploración on-the-fly.

Listing 3.3: vieja descripción estados ganadores

#### 3.4. Agnosticismo a la heurística

Una distinción clave del algoritmo on-the-fly es que está dividido en dos partes. Por un lado se tiene el algoritmo de exploración responsable de que al final se llegue al resultado correcto, por el otro tenemos una heurística que le brinda la próxima transición a explorar. Ese algoritmo de exploración no puede depender de la heurística, ya que la misma no garantiza siempre elegir el mejor camino posible, sino solo la mejor aproximación que encuentre. Uno de los focos de nuestro trabajo fue en esa correctitud independiente del orden de exploración de las transiciones.

El proyecto MTSA inicialmente contaba con dos heurísticas Best First Search para exploración, *Monotonic Abstraction* y *Ready Abstraction*.

El inconveniente con la versión anterior del algoritmo de exploración es que había sido desarrollado en conjunto con las heurísticas. Si bien esto ayudaba a la eficiencia del

mismo, generaba una dependencia del orden de observación de las transiciones, dando resultados erróneos al cambiar las recomendaciones. El nuevo enfoque no depende de la forma de explorar, por ende, da una mayor libertad de investigar a futuro nuevos criterios de evaluación para mejorar la eficiencia de la técnica sin comprometer corrección ni completitud. Esto fue útil durante el desarrollo del trabajo, ya que facilitó la inclusión de nuestras nuevas heurísticas (Dummy y Breadth First Search, ver sección 5.2) para la experimentación.

# 4. NUEVO DIRECTED CONTROLLER SYNTHESIS

En esta sección presentamos el nuevo algoritmo DCS, que realiza una exploración sobre la marcha del espacio de estados. Por medio de dicha exploración el algoritmo encuentra un director que es solución para el problema dado de control composicional. También discutimos la correctitud y completitud del nuevo algoritmo DCS, demostramos los lemas presentados, detallamos la complejidad de nuesstro algoritmo y presentamos las ideas que llevaron a diseñar el algoritmo presentado.

# 4.1. Propuesta de nuevo algoritmo

```
function DCS(\mathcal{E}{=}(E,A_E^C), heuristic):
          \bar{e} = \langle \bar{e}^0, \dots, \bar{e}^n \rangle
 3
          ES = (\{\bar{e}\}, A_E, \emptyset, \bar{e}, M_E \cap \{\bar{e}\})
          Goals = Errors = Witnesses = \emptyset
          None = \{\bar{e}\}\
          if (isDeadlock(\bar{e})):
 6
 7
          Errors = \{\bar{e}\}
          None = \emptyset
          while \bar{e} \not\in \mathit{Errors} \cup \mathit{Goals}:
 9
              (e, \ell, e') = expandNext(heuristic)
10
              S_{ES'} = S_{ES} \cup \{e'\}
11
              ES' = (S_{ES'}, A_E, \rightarrow_{ES} \cup \{e \stackrel{\ell}{\rightarrow} e'\}, \bar{e}, M_E \cap S_{ES'})
12
              if e' \in Errors:
13
                  {\tt propagateError}\,(\{e'\})
14
15
               else if e' \in Goals:
                  {\tt propagateGoal}\,(\{e'\})
16
               else if canReach(e,e',ES):
17
                  loops = getMaxLoop(e,e')
18
                   if canBeWinningLoop(loops):
19
20
                      C = findNewGoalsIn(loops)
                       Witnesses = Witnesses \cup (C \cap M_{ES'})
21
                      Goals = Goals \cup C
22
                      None = None \setminus C
23
                      propagateGoal(C)
24
25
                   else:
26
                      P = findNewErrorsIn(loops)
                      Errors = Errors \cup P
27
28
                      None = None \setminus P
                      propagateError(P)
29
              ES = ES
30
31
          if \bar{e} \in Goals:
32
              \begin{array}{l} r = rankStates(ES) \\ return \ \lambda w \ . \ \{ \ell \mid \bar{e} \stackrel{w}{-} \stackrel{\ell}{\cdots} \rightarrow_{ES} e \stackrel{\ell}{\rightarrow} _{ES} e' \wedge e' \in \textit{Goals} \end{array}
33
34
              \land (l \in A_E^C \Rightarrow \ell = bestControllable(s, r, ES))\}
35
36
              return UNREALIZABLE
37
```

Listing 4.1: On-the-fly Directed Exploration Procedure.

```
\verb|function|| \verb|propagateGoal|| (new Goals):
   C' = \emptyset; C = ancestorsNone(newGoals)
   while C' \neq C:
       C' = C
C = C \setminus \{s \in C \mid
           \begin{array}{l} \texttt{forcedTo}\left(s,S_{ES'_{\perp}}\setminus(C\cup Goals),ES'_{\perp}\right) \ \lor \\ \texttt{cannotReachGoalIn}\left(s,C\right) \end{array}\}
    \mathit{Goals} = \mathit{Goals} \cup \mathit{C}
    None = None \setminus C
\verb"procedure propagateError" (new Errors"):
    P = ancestorsNone(newErrors)
   C = P; C' = \emptyset while C' \neq C:
       C' = C
       C = C \setminus \{s \in C \mid
             forcedTo(s, Errors, ES'_{\pm}) \vee
              {\tt cannotReachGoalIn}\,(s,C)\,\}
   P = P \setminus C
    Errors = Errors \cup P
    None = None \setminus P
```

Listing 4.2: Status propagation procedures.

```
 \begin{array}{c} \text{function findNewGoalsIn}(loops): \\ C = loops; \ C' = \emptyset \\ \text{while } C' \neq C: \\ C' = C; \ C'' = \emptyset \\ \text{while } C'' \neq C: \\ C'' = C \\ C = C \setminus \{s \in C \mid \\ \text{forcedTo}(s, S_{ES'_{\perp}} \setminus (C \cup Goals), ES'_{\perp}) \ \lor \\ \text{cannotBeReached}(s, C) \ \} \\ C = C \setminus \{s \in C \mid \text{cannotReachGoalOrMarkedIn}(s, C)\} \\ \text{return C} \\ \\ \text{function findNewErrorsIn}(loops): \\ \text{if } (\exists s \in loops . s \xrightarrow{}_{ES'_{\perp}} s' \land (s' \notin loops \land s' \notin Errors)): \\ \text{return } \emptyset \\ \text{else:} \\ \text{return } loops \\ \end{array}
```

Listing 4.3: Status confirmation.

```
\verb"procedure expandNext" (\textit{heuristic}):
     let (e, \ell, e') . e \in S_{ES} \land e \xrightarrow{\ell}_{E} e' \land \neg e \xrightarrow{\ell}_{ES} e' \land \Leftrightarrow (\forall s, \ell', s') . s \in S_{ES} \land s \xrightarrow{\ell}_{E} s' \land \neg s \xrightarrow{\ell}_{ES} s' \implies heuristic(e, \ell, e') >= heuristic(s, \ell', s'))
      if isDeadlock(e'):
          Errors = Errors \cup \{e'\}
      if e' \notin Errors \cup Goals:
          None = None \cup \{e'\}
      return (e, \ell, e')
function ancestorsNone(targets):
     return \{e \in ES' \mid \exists e' \in targets : \exists w : e \xrightarrow{w}_{ES'} e' \land \}
                         \nexists s \in w(e) . s \neq e' \land \in Goals \cup Errors \}
function canBeWinningLoop(loop):
      return (\exists e_m \in loop : e_m \in M_{ES'}) \lor
                         (\exists s \in loop . \mathtt{canReachInOneStep}(s, ES, Goals))
\begin{array}{ll} \texttt{function getMaxLoop}\,(e\,,e'\,): \\ \texttt{return } & \{s \mid \exists w,w' \ . \ e^{-\cdots} \rightarrow_{ES'} s \wedge s \xrightarrow{w'} e' \wedge \\ & \sharp s' \ . \ (s' \in w(e) \vee s' \in w'(s)) \wedge s' \neq e' \wedge s' \in \textit{Goals} \cup \textit{Errors} \} \end{array}
\begin{array}{ll} \texttt{function forcedTo}\left(s, Dest, Z\right): \\ \texttt{return } & (\exists \ell_u \in A_Z^U \:.\: \exists e \in Dest \:.\: s \xrightarrow{\ell_u}_{Z} e) \ \lor \\ & (\forall \ell \in A_Z \: (s \xrightarrow{\ell}_{Z} e \Rightarrow e \in Dest)) \end{array}
function cannot Be Reached (s, C):
        return \nexists s' \in C, \exists \ell . s' \xrightarrow{\ell}_{ES'} s
\begin{array}{ll} \texttt{function cannotReachGoalOrMarkedIn}\,(s,C) \\ \texttt{return} \  \, \nexists w \, . \, s - \cdots \rightarrow_C s' \wedge s' \in C \  \, \wedge \end{array}
                           (canReachInOneStep(s', ES, Goals))
                            v s' \in \mathcal{M}_{ES'}
function cannot Reach Goal In (s, C)
        return \nexists w \cdot s \stackrel{w}{-} \stackrel{w}{\cdots} \cdot_C s' \wedge s' \in C \wedge
                            \verb|canReachInOneStep|(s', ES, Goals)|
\verb|function| | \verb|canReach| (s',s)
        return \exists w : s' \xrightarrow{w}_{ES'} s
\verb|function| | \verb|canReachInOneStep| (s, Targets)|
        return \exists l : s \xrightarrow{\ell}_{ES'} s' \land s' \in Targets
function isDeadlock(s)
        return \nexists l \cdot s \xrightarrow{\ell}_E s'
```

Listing 4.4: auxiliary procedures.

```
\begin{array}{l} \text{function rankStates}\,(ES) \\ r=0\,;\;W'=\textit{Witnesses}\,;\;W=\emptyset \\ \text{while }W'\neq W\,: \\ \forall w\in W', \text{rank}(w)=r \\ W=W\cup W' \\ W'=\{s\in (\textit{Goals}\setminus W)\mid \exists s'\in W\;.\;s\to_{ES}s'\} \\ r=r+1 \\ \text{return rank} \\ \\ \text{function bestControllable}\,(e,r,ES) \\ \text{return }\ell\in A_E^C\;.\;e\overset{\ell}{\to}_{ES}\,e'\wedge \nexists \ell'\in A_E^C\;. \\ e\overset{\ell'}{\to}_{ES}\,e'', r(e'')\leq r(e') \end{array}
```

Listing 4.5: ranking procedures.

#### 4.2. Demostración de correctitud y completitud

El algoritmo (ver Listing 4.1) explora incrementalmente el espacio de estados de E utilizando una estructura de exploración parcial (ES), añadiéndole una transición por vez.

Notación 3: Decimos que un estado s es alcanzado por una palabra w en una corrida comenzando en el estado s', anotado como  $s \in w(s')$ , cuando  $\exists w_0 : \exists w_1 : w = w_0.w_1$  y  $s' \xrightarrow{w_0}_{E} s$ 

Definición 5 (Exploración Parcial): Sea  $E = (S_E, A_E, \rightarrow_E, \bar{e}, M_E)$ . Decimos que ES es una exploración parcial de E ( $ES \subseteq E$ ) si  $S_{ES} \subseteq S_E$  y  $ES = (S_{ES}, A_E, \rightarrow_{ES}, \bar{e}, M_E \cap S_{ES})$ , donde  $\rightarrow_{ES} \subseteq (\rightarrow_E \cap (S_{ES} \times A_E \times S_{ES}))$ . Escribimos  $ES \subset E$  cuando  $S_{ES} \subset S_E$ .

Para explicar el algoritmo y argumentar su correctitud y completitud introducimos dos nuevos problemas de control para exploraciones parciales. Uno toma una visión optimista de la región no explorada  $(\top)$  asumiendo que todas las transiciones no exploradas llevan a un estado ganador. El otro toma una visión pesimista  $(\bot)$  asumiendo que las transiciones no exploradas llevan a estados perdedores.

```
Definición 6 (Problemas de Control \top y \bot): Sean \mathcal{E} = (E, A_E^C), E = (S_E, A_E, \to_E, \bar{e}, M_E) y ES = (S_{ES}, A_E, \to_{ES}, \bar{e}, M_E \cap S_{ES}), y ES \subseteq E. Definimos \mathcal{E}_\top como (ES_\top, A_E^C) donde ES_\top = (S_{ES} \cup \{\top\}, A_E, \to_\top, \bar{e}, (M_E \cap S_{ES}) \cup \{\top\}) y \to_\top = \to_{ES} \cup \{(s, \ell, \top) \mid \exists s' . (s, \ell, s') \in (\to_E \setminus \to_{ES})\} \cup \{(\top, \ell, \top) \mid \ell \in A_E\} Definimos \mathcal{E}_\bot como (ES_\bot, A_E^C) donde ES_\bot = (S_{ES} \cup \{\bot\}, A_E, \to_\bot, \bar{e}, M_E \cap S_{ES}) y \to_\bot = \to_{ES} \cup \{(s, \ell, \bot) \mid \exists s' . (s, \ell, s') \in (\to_E \setminus \to_{ES})\}
```

Usamos estos problemas de control para decidir tempranamente si un estado s es ganador o perdedor en E basado en lo que exploramos previamente en ES. Si s es ganador en  $ES_{\perp}$  esto significa que sin importar a dónde lleven las transiciones no exploradas, s también va a ser ganador en E. Similarmente, s es perdedor en E si es perdedor en  $ES_{\perp}$ . El Lema 1 refuerza este razonamiento.

Lema 1: (Monotonicidad de  $W_{ES_{\perp}}$  y  $L_{ES_{\top}}$ ) Sean ES y ES' dos exploraciones parciales de E tal que  $ES \subset ES'$  entonces  $W_{ES_{\perp}} \subseteq W_{ES'_{\perp}}$  y  $L_{ES_{\top}} \subseteq L_{ES'_{\top}}$ .

El algoritmo agrega iterativamente una transición de E a ES a la vez y asegura que al final de cada iteración, los estados en ES están correcta y completamente clasificados en ganadores y perdedores si hay suficiente información de E en ES. Los conjuntos de estados Errors, Goals y None se usan para este propósito.

Propiedad 1 (Invariante): El loop principal del Algorithm 4.1 tiene el siguiente invariante:  $ES \subseteq E \land \forall s \in ES$ .  $(s \in Goals \Leftrightarrow s \in W_{ES_{\perp}}) \land (s \in Errors \Leftrightarrow s \in L_{ES_{\top}}) \land s \in Errors \uplus Goals \uplus None$ 

La explicación del Algorithm 4.1 que detallamos a continuación sirve también como un esquema de demostración para la propiedad 1.

Para empezar, notar que la función expandNext (line 10) retorna una nueva transición  $e \xrightarrow{\ell}_E e'$  garantizando que e ya se encontraba en ES y  $e \in None$ . Esto significa que en

cada iteración, hay algo de información nueva disponible para un estado que actualmente no está clasificado en ganador ni perdedor.

Si el estado e' ya es clasificado como ganador en  $ES_{\perp}$  (line 15) o perdedor en  $ES_{\top}$  (line 13) entonces esta información necesita ser propagada a los estados en None para ver si pueden convertirse en ganadores en  $ES'_{\perp}$  o perdedores en  $ES'_{\top}$ . Tanto propagateGoal como propagateError realizan un punto fijo estándar [?] sobre  $ES_{\perp}$  y  $ES_{\top}$  pero solo sobre predecesores de e' que están en None. El Lema 2 asegura la completitud de esta propagación restringida.

Lema 2: (Ganadores/Perdedores nuevos tienen camino de estados-None a transición nueva) Sea la transición  $e \xrightarrow{\ell}_{ES} e'$  la única diferencia entre dos exploraciones parciales, ES y ES', de E. Si  $s \notin (W_{ES_{\perp}} \cup L_{ES_{\top}})$  y  $s \in (W_{ES'_{\perp}} \cup L_{ES'_{\top}})$ , entonces hay  $s_0, \ldots, s_n \notin (W_{ES_{\perp}} \cup L_{ES_{\top}})$  tal que  $s = s_0 \wedge s_0 \xrightarrow{\ell_0}_{ES} \ldots s_n \xrightarrow{\ell}_{ES} e'$ .

Ya en la linea 17 sabemos que e' no es ganador en  $ES_{\perp}$  ni perdedor en  $ES_{\top}$ , determinamos si  $e \xrightarrow{\ell}_{ES} e'$  cierra un nuevo loop al chequear si e' puede alcanzar a e. Si no es el caso, entonces no hay nada que hacer ya que e' alcanza las mismas transiciones en ES' que en ES (o es un estado nuevo cuyas transiciones salientes no están exploradas). Entonces,  $e' \notin (W_{ES'_{\perp}} \cup L_{ES'_{\top}})$  ya que cualquier controlador para e' en  $ES'_{\perp}$  (resp.  $ES'_{\top}$ ) es también un controlador en  $ES_{\perp}$  (resp.  $ES_{\perp}$ ) y viceversa. Más aún, que no haya nueva información para e' implica que no hay nuevos ganadores o perdedores (Lemma 3)

Lema 3: (Nuevos ganadores/perdedores solo si e' es un nuevo ganador/perdedor) Sea  $e \stackrel{\ell}{\to} e'$  la única diferencia entre dos exploraciones parciales, ES y ES', y  $e' \notin L_{ES_{\top}} \cup W_{ES_{\bot}}$ . Si  $W_{ES'_{\bot}} \neq W_{ES_{\bot}}$  entonces  $e' \in W_{ES'_{\bot}} \setminus W_{ES_{\bot}}$ , y si  $L_{ES'_{\top}} \neq L_{ES_{\top}}$  entonces  $e' \in L_{ES'_{\top}} \setminus L_{ES_{\top}}$ .

Si se cerró un nuevo loop(line 17), por Lemma 3 alcanza con analizar si  $e' \in W_{ES'_{\perp}} \uplus L_{ES'_{\perp}}$ , y por Lemma 2 propagar cualquier información nueva de e' a sus predecesores.

En la linea 18 computamos loops, el conjunto de estados que pertenecen a un loop que pasa por  $e \xrightarrow{\ell}_{ES'} e'$  y nunca por  $W_{ES_{\perp}} \cup L_{ES_{\perp}}$ . Intuitivamente, cualquier controlador para e' va a depender de alguno de estos loops. O, en términos del Lemma 2, para que e' cambie su estado, debe ser a través de un camino de estados None.

En la linea 19 usamos can BeWinningLoop(loops) para chequear si existe algún estado marcado en loops o si es posible escapar de loops y alcanzar un goal en un paso. Esto distingue entre dos posibles opciones:  $e' \in W_{ES'_+}$  o  $e' \in L_{ES'_+}$  (ver Lemma 4).

Lema 4: (Condición necesaria/suficiente para ganar/perder) Sea  $e \stackrel{\ell}{\to} e'$  la única diferencia entre dos exploraciones parciales, ES y ES'. Sea loops = getMaxLoop(e, e'). Si  $e' \in W_{ES'_{\perp}} \setminus W_{ES_{\perp}}$  entonces canBeWinningLoop(loops). Además, si canBeWinningLoop(loops) entonces  $e' \notin L_{ES'_{\perp}}$ 

Si canBeWinningLoop() retorna true, en la linea 20, sabemos que si e' cambia su estado es porque  $e' \in W_{ES'_{\perp}}$ . Para ver si este cambio se produce, se realiza una computación de punto fijo basada en la solución del problema monolítico (2.3). Sin embargo, el método findNewGoalsIn aplica una optimización basada en Lemma 2; solo considera estados que están en un None-loop a través de la nueva transición (loops).

Si canBeWinningLoop() retorna false, entonces debemos comprobar si  $e' \in L_{ES'_{\top}}$ . Esto puede hacerse de forma más eficiente que con un punto fijo usando el Lemma 5 que muestra que alcanza con observar si no es posible escapar de *loops* alcanzando en un paso un estado que no esté en  $L_{ES_{\top}}$ .

Lema 5: (findNewErrorsIn es correcto y completo) Si loops = getMaxLoop(e, e')  $\land \neg canBeWinningLoop(loops)$  y P = findNewErrorsIn(loops) entonces  $(e' \in L_{ES'_{\top}}) \Rightarrow e' \in P \subseteq L_{ES'_{\top}}) \land (e' \notin L_{ES'_{\top}}) \Rightarrow P = \emptyset)$ 

Por motivos de eficiencia, findNewGoalsIn y findNewErrorsIn no solo verifican si  $e' \in W_{ES'_{\perp}}/e' \in L_{ES'_{\perp}}$  sino que también agregan estados ganadores/perdedores cuando pueden. La detección completa de nuevos estados ganadores y perdedores se hace finalmente con los procesos de propagación.

Habiendo argumentado que la propiedad 1 es válida, la correctitud y completitud se desprenden de las siguientes observaciones: i) El main loop termina cuando logró determinar que  $\bar{e}$  se encuentra en  $L_{ES'_{\perp}}$  o  $W_{ES'_{\perp}}$ . Esto en peor caso eventualmente sucede cuando  $ES=E.\ ii$ ) Las lineas 33 a 35 extraen un director del conjunto de estados ganadoes (Goals). Usamos el mismo punto fijo descripto en el Algorithm 4 de [?] para computar un ranking (line 33) y una función determinística (line 35) que retorna cuál transición controlable debe ser habilitada, cumpliendo la condición de un director.

Teorema 1 (Correctitud y Completitud): Sea  $\mathcal{E} = (E, A_E^C)$  un problema de control composicional según la Definición 3. Existe una solución para  $\mathcal{E}$  si y solo si el algoritmo DCS retorna un director para  $\mathcal{E}$ .

Demostración (Correctitud y completitud): El teorema se desprende del invariante de ciclo del algoritmo (Definition 1), el Lemma 1, la correctitud del algoritmo 4 de [?] y el hecho de que en el peor caso todas las transiciones son agregadas a la estructura de exploración. Entonces,  $E = ES = ES_{\perp} = ES_{\perp}$ .

#### 4.3. Nuestro enfoque

En esta sección presentaremos las ideas y conceptos que tuvieron un rol central en el diseño del nuevo algoritmo, con la intención de dar una intuición sobre el enfoque elegido, más allá de las demostraciones técnicas.

En función de obtener un algoritmo correcto, completo y agnóstico a la heurística, atacamos los problemas mencionados en el capítulo anterior y agregamos un *invariante* que mantenemos a lo largo de la exploración.

**Propagación no-local**: Al momento de propagar resultados, tanto estados *Goals* como *Errors* recurrimos a un punto fijo. De esta forma tenemos en cuenta toda la información acumulada de los estados en cuestión. Si bien esto implica un mayor costo de cómputo, asegura la correcta propagación de información, lo que más adelante facilita, por ejemplo, la detección de ciclos perdedores.

Completitud de la exploración: Nos pareció esencial resolver toda la clasificación necesaria de ganadores y perdedores durante la exploración. Llegado el momento en el que se intenta comenzar a construir el controlador queremos asegurar que no es necesario volver

a explorar más transiciones. También queremos asegurar que cuando concluímos que el estado inicial es ganador vamos a poder construir un controlador. Es decir, al momento de la construcción no podemos encontrar información nueva que nos haga cambiar de opinión.

Para esto, los lemas detallados en la próxima sección aseguran que un estado marcado como ganador o perdedor lo es en la planta compuesta totalmente explorada, y nunca puede cambiar su estado. También probamos que al terminar de explorar, el estado inicial está marcado como ganador o perdedor; nunca podemos terminar la exploración porque no hay más transiciones a explorar pero no llegamos a una conclusión sobre el estado inicial.

Encontrar errores: Los estados perdedores pueden dividirse en tres grandes casos, de los cuales dos son sencillos pero uno trae grandes problemas que lo ponen al mismo nivel de la detección de ganadores. El caso de un deadlock, un estado sin transiciones salientes es trivial. Luego al propagar errores, la clasificación de s como perdedor por estar forzado en un paso a caer en estados perdedores cuando toma una transición no trae dificultades. El problema radica en detectar los ciclos de estados que pueden extender sus palabras infinitamente pero nunca alcanzarán un estado marcado infinitas veces.

Sólo podemos concluir que un ciclo es error cuando este ha sido explorado en su completitud y los descendientes que salen del ciclo han sido clasificados. Esto es así debido a la naturaleza optimista de los problemas non-blocking.

Fue esta necesidad y dificultad para marcar errores lo que nos llevó a incluir el siguiente invariante para la síntesis on-the-fly.

**Invariante**: Intentando resolver el problema del marcado de errores, buscamos una separación fuerte entre los estados  $error = L_E$  y los estados para los cuales no tenemos suficiente información para clasificar en este momento None.

Como se verá en la propiedad 1, un estado s solo puede seguir sin clasificar (siendo None) si, con los explorados hasta el momento, y siendo totalmente optimistas sobre las transiciones desconocidas no podemos asegurar que s está condenado a ser perdedor (y tampoco podemos concluir que es ganador).

Al momento de haber explorado todos los descendientes de s, incluso si no se exploró toda la planta total, es claro que no importa si se es optimista ( $\top$ ) o pesimista ( $\bot$ ) para saber si s es un estado ganador o perdedor, por lo que nos forzamos por nuestro invariante a clasificarlo. Con esto evitamos las ramas totalmente exploradas pero sin clasificar que traían complicaciones en la figura 3.1 y solo permitimos que un estado sea *None* si tiene un camino a una transición no explorada.

findGoals en planta reducida: Para detectar los loops ganadores, el enfoque con mejores resultados fue el de un punto fijo clásico. La diferencia consiste en el uso del problema pesimista y en el uso de los lemas para solo analizar los estados que forman loops de estados NONE con la última transición explorada.

#### 4.4. Demostración de Lemas

Demostración Lemma 1: (Idea: Para probar  $W_{ES_{\perp}} \subseteq W_{ES'_{\perp}}$  mostramos que un controlador para un estado s en  $W_{ES_{\perp}}$  puede ser usado como un controlador para s en  $W_{ES'_{\perp}}$ . Para  $L_{ES_{\top}} \subseteq L_{ES'_{\top}}$ , asumimos que hay un estado  $s \in L_{ES_{\top}} \setminus L_{ES'_{\top}}$ . Llegamos a una contradicción mostrando que el controlador que s debe tener en  $ES'_{\top}$  es también un controlador

para s en  $ES_{\top}$ .)

Si  $s \in W_{ES_{\perp}}$  entonces existe un controlador  $\sigma$  para el problema de control  $ES_{\perp}$ . Sea Z tal que  $ES \subseteq Z$ . Demostraremos que  $\sigma$  es un controlador para  $Z_{\perp}$ . Esto requiere dos condiciones según la Definición 3. La primera, que  $\sigma$  es controlable, es trivial ya que los conjuntos de eventos controlables y no controlables no fueron cambiados.

Para la segunda, nonblocking, primero mostramos que  $\mathcal{L}^{\sigma}(Z_{\perp}) = \mathcal{L}^{\sigma}(ES_{\perp})$ .

Si asumimos que  $\mathcal{L}^{\sigma}(Z_{\perp}) \not\subseteq \mathcal{L}^{\sigma}(ES_{\perp})$  y  $w \in \mathcal{L}^{\sigma}(Z_{\perp}) \setminus \mathcal{L}^{\sigma}(ES_{\perp})$ , la corrida que verifica w debe permanecer siempre en Z o alcanzar eventualmente un estado deadlock en  $Z_{\perp}$ . En cualquier caso, sea  $w_0$  el prefijo más largo en ES. Sabemos que  $w_0$  es un prefijo no vacío de w. Sea  $\ell$  tal que  $w_0.\ell$  es un prefijo de w. Por la definición de  $ES_{\perp}$ ,  $w_0.\ell$  alcanza un estado deadlock en  $ES_{\perp}$ . Esto es una contradicción, ya que  $\sigma$  es un controlador para  $ES_{\perp}$ .

Para mostrar que  $\mathcal{L}^{\sigma}(Z_{\perp}) \supseteq \mathcal{L}^{\sigma}(ES_{\perp})$ , asumimos que  $w \in \mathcal{L}^{\sigma}(ES_{\perp})$ . Si w también está en  $\mathcal{L}^{\sigma}(ES)$  entonces debe pertenecer a  $\mathcal{L}^{\sigma}(Z)$  y  $\mathcal{L}^{\sigma}(Z_{\perp})$ . De otra forma,  $w = w_0.\ell$  alcanza un estado deadlock en  $ES_{\perp}$ . Como  $w_0$  pertenece a  $\mathcal{L}^{\sigma}(ES)$ , debe pertenecer también a  $\mathcal{L}^{\sigma}(Z)$ . Consideramos el estado s alcanzado por  $w_0$  en E, debe tener una transición etiquetada como  $\ell$  para justificar su inclusión en  $ES_{\perp}$ . En E, el estado E0 tiene la transición y por lo tanto E1 tiene una transición E2 un estado E3 un estado E4 un estado E5 un tanto E6.

Ahora, sabiendo que  $\mathcal{L}^{\sigma}(Z_{\perp}) = \mathcal{L}^{\sigma}(ES_{\perp})$ , procedemos a nonblocking. Sea una palabra  $w \in \mathcal{L}^{\sigma}(Z_{\perp})$  que no puede ser extendida con w' tal que w.w' se encuentra en  $L^{\sigma}(Z_{\perp})$  y alcanza un estado marcado de  $Z_{\perp}$ . Como w también se encuentra en  $L^{\sigma}(ES_{\perp})$  entonces, como  $\sigma$  es un controlador para  $ES_{\perp}$ , existe un w' tal que  $w.w' \in L^{\sigma}(ES_{\perp}) = L^{\sigma}(Z_{\perp})$  y alcanza un estado marcado. Notar que la corrida para w.w' siempre se encuentra en ES, lo que significa que la corrida también está en  $Z_{\perp}$ . Finalmente llegamos a una contradicción.

Para demostrar que  $L_{ES_{\top}} \subseteq L_{ES_{\top}'}$ , asumimos que existe un estado  $s \in L_{ES_{\top}} \setminus L_{ES_{\top}'}$ . Como  $s \notin L_{ES_{\top}'}$ , tiene un controlador  $\sigma$  en  $ES_{\top}'$ , pero  $s \in L_{ES_{\top}}$  por lo que no puede existir un controlador válido  $\sigma'$  para s en  $ES_{\top}$ . Esto es falso, más aún, mostraremos que si  $\sigma$  es un controlador para s en  $ES_{\top}'$ , entonces hay un controlador válido  $\sigma'$  para s en cualquier  $Z_{\top}$  si  $Z \subseteq ES$ .

 $\sigma$  es un controlador valido en  $ES'_{\top}$ , por lo que cualquier palabra en  $\mathcal{L}^{\sigma}(ES'_{\top})$  puede ser extendida para alcanzar un estado marcado. Solo hay una cantidad finita de estados en  $ES'_{\top}$ , por lo que deben existir w' y w'' tal que  $w.w'.w'' \in \mathcal{L}^{\sigma}(ES'_{\top})$ , w.w' llega a un estado marcado, y w.w'.w'' llega al mismo estado que w.w'.

Si w.w'.w'' está en  $\mathcal{L}^{\sigma}(Z)$ , entonces no hay nada que hacer, es claro que  $\sigma$  tiene la misma forma de extender w en  $Z_{\top}$ . Si no, notemos que  $w.w'.w'' = w_0.l.w_1$  tal que  $w_0$  es el prefijo más largo de w.w'.w'' en  $\mathcal{L}^{\sigma}(Z)$ , esto significa que  $w_0.l$  alcanza el estado marcado ganador  $\top$ , y desde ahí toda extensión de la palabra solo puede permanecer en ese mismo estado, por lo tanto,  $\sigma$  también es un controlador válido en  $Z_{\top}$ .

Demostración Lemma 2: (Idea: Si s no es un predecesor de e', como  $e \xrightarrow{l}_{ES'} e'$  es la única diferencia entre ES y ES', entonces los descendientes de s son los mismos, por lo tanto sus posibles controladores en  $ES'_{\top}$  y  $ES'_{\bot}$  no cambiaron. Entonces,  $s \notin W_{ES'_{\bot}} \cup L_{ES'_{\top}}$  lo cual es una contradicción.

Como paso siguiente probamos que hay al menos un camino desde s a e' a través de estados None por contradicción asumiendo que todos los caminos a e' en ES' atraviesan un estado  $s' \in (W_{ES_{\perp}} \cup L_{ES_{\perp}})$ . Como  $s \notin L_{ES_{\perp}}$ , hay un controlador  $\sigma$  desde s en  $ES_{\perp}$ .  $\sigma$  no va a alcanzar estados en  $L_{ES_{\perp}}$ , luego para todo s' que alcance, debe haber un controlador  $\sigma_{s'}$  para  $ES_{\perp}$  (por lo tanto  $\sigma_{s'}$  evita la nueva transición  $\ell$ ). Usamos  $\sigma$  y  $\sigma_{s'}$  para construir un controlador para s en  $ES'_{\perp}$  para mostrar que  $s \notin L_{ES'_{\perp}}$ . Un controlador para s en  $ES'_{\perp}$  no puede existir porque de otra forma podríamos usarlo para construir un controlador para s en  $ES_{\perp}$  usando un razonamiento similar al anterior. Esto significa que  $s \in W_{ES_{\perp}}$  contradiciendo la hipótesis. )

Si un estado s no se encuentra en  $W_{ES_{\perp}} \cup L_{ES_{\top}}$  es porque tiene un controlador  $\sigma$  en  $ES_{\top}$  pero no tiene uno para  $ES_{\perp}$ . Esto depende únicamente de los descendientes de s, dado que éstos son los únicos estados que  $\sigma$  puede alcanzar. Si s no es un predecesor de e', y  $e \xrightarrow{l}_{ES'} e'$  es la única diferencia entre ES y ES' entonces los descendientes de s son los mismos, por lo que los posibles controladores no tuvieron ningún cambio, y s sigue siendo NONE.

Lo que no es tan claro, es que s no tiene nuevos controladores posibles si tiene un camino que puede alcanzar e' pero solo pasando por al menos un estado de  $W_{ES_{\perp}} \cup L_{ES_{\top}}$ . Asumiendo que debe pasar por estados en  $W_{ES_{\perp}} \cup L_{ES_{\top}}$  mostramos que:

■ Sabiendo que s tenía un controlador  $\sigma$  en  $ES_{\top}$ , mostramos que s tiene un controlador válido  $\sigma'$  en  $ES'_{\top}$ :

 $\sigma'(w) = \sigma(w)$  si no existe un  $w_0$  sufijo de w tal que  $s \xrightarrow{w_0}_{ES'} s_i \wedge s_i \in L_{ES_{\top}} \cup W_{ES_{\perp}}$ .

 $\sigma'(w) = \sigma_{s_i}(w_1)$  donde  $w_0$  es el sufijo más corto de  $w = w_0.w_1$  tal que  $s \xrightarrow{w_0}_{ES'} s_i \land s_i \in W_{ES_{\perp}}$ .  $\sigma_{s_i}$  es el controlador que sabemos que  $s_i$  tiene en  $ES_{\perp}$  ya que  $s_i \in W_{ES_{\perp}}$ , y que cada controlador válido en  $ES_{\perp}$  es también válido en  $ES_{\perp}$ .

Como  $\sigma$  es un controlador válido, sabemos que no puede alcanzar estados en  $L_{ES_{\tau}}$ .

Finalmente, es claro que  $\sigma'$  es un controlador válido para s en  $ES'_{\top}$ . Notar que  $\sigma'$  no depende de la nueva transición.

■ Sabiendo que s no tiene controlador en  $ES_{\perp}$ , mostramos que s no tiene controlador en  $ES'_{\perp}$  asumiendo que tiene uno y llegando a una contradicción:

Suponemos que existe un controlador  $\sigma'$  para s en  $ES'_{\perp}$ , y que  $e \xrightarrow{l}_{ES'} e'$  es la única diferencia entre ES y ES'.

Con  $\sigma'$  construimos  $\sigma$ , un controlador para s en  $ES_{\perp}$ .

 $\sigma(w) = \sigma'(w)$  si no existe un  $w_0$  que sea prefijo de w y que  $s \xrightarrow{w_0}_{ES} s_i \wedge s_i \in W_{ES_{\perp}} \cup L_{ES_{\top}}$ . Como  $\sigma'$  es un controlador válido, sabemos que no puede alcanzar estados en  $L_{ES'_{\top}}$ . Notar que w no puede alcanzar  $e \xrightarrow{\ell}_{ES'} e'$  porque s no tiene un camino de estados None a e'.

Si  $w = w_0.w_1$  y  $s \xrightarrow{w_0}_{ES} s' \wedge s' \in W_{ES_{\perp}}$  entonces  $\sigma(w_0.w_1) = \sigma_{s'}(w_1)$  donde  $\sigma_{s'}$  es el controlador para s' en  $ES_{\perp}$ . Notar que una vez que se alcanza s' siempre seguimos  $\sigma_{s'}$ .

Como  $\sigma$  nunca alcanza la nueva transición sabemos que  $\sigma$  es válido en  $ES_{\perp}$ .

Vemos entonces que asumiendo que existe un controlador válido  $\sigma'$  para s en  $ES'_{\perp}$  estamos implicando la existencia de un controlador  $\sigma$  para s en  $ES_{\perp}$ . ABS!

Demostración Lemma 3: (Idea: Asumiendo  $e' \notin W_{ES'_{\perp}}$ , usamos un testigo s de  $W_{ES'_{\perp}} \neq W_{ES_{\perp}}$  para llegar a una contradicción. El estado s debe tener un controlador en  $W_{ES'_{\perp}}$  que evita  $e \stackrel{\ell}{\to} e'$ , la única diferencia entre  $ES_{\perp}$  y  $ES'_{\perp}$ . Este controlador entonces es también un controlador para s en  $W_{ES_{\perp}}$  llegando a un absurdo.

Asumimos  $e' \notin L_{ES'_{\top}}$  y usamos un testigo s de  $L_{ES'_{\top}} \neq L_{ES_{\top}}$  para llegar a una contradicción. Notar que como  $e' \notin L_{ES'_{\top}}$ , hay un controlador  $\sigma$  desde e' en  $ES'_{\top}$ . Como  $s \notin L_{ES_{\top}}$  también debe haber un controlador  $\sigma'$  desde s en  $ES_{\top}$ . Construimos un nuevo controlador para  $ES'_{\top}$  desde s que funciona exactamente como  $\sigma'$  pero cuando alcanza  $e \xrightarrow{\ell} e'$  se comporta como  $\sigma$ . Este nuevo controlador prueba que  $s \notin L_{ES'_{\top}}$  lo cual es una contradicción.)

Probamos ambas implicaciones por contradicción.

Primero asumimos que  $e' \notin W_{ES'_{\perp}} \setminus W_{ES_{\perp}}$ . Notar que como  $e' \notin W_{ES_{\perp}}$  entonces  $e' \notin W_{ES'_{\perp}}$ . Como  $W_{ES'_{\perp}} \neq W_{ES_{\perp}}$  y por la monotonicidad del (Lemma1) debe existir un estado s tal que  $s \in W_{ES'_{\perp}} \setminus W_{ES_{\perp}}$ , entonces s debe tener un controlador en  $W_{ES'_{\perp}}$ . Este controlador no puede alcanzar e' porque si lo hiciera, debería haber un controlador para e' y comenzamos asumiendo que  $e' \notin W_{ES'_{\perp}}$ . Más aún, si el controlador alcanzara e, entonces  $\ell$  debe ser controlable (si fuera no controlable, el controlador alcanzaría e' lo cual ya establecimos que no es posible). Entonces, el controlador evita  $e \xrightarrow{\ell} e'$  lo que significa que debe ser también un controlador para s en  $ES_{\perp}$  (i.e.,  $s \in W_{ES_{\perp}}$ ) y alcanzamos una contradicción.

Ahora asumimos  $e' \notin L_{ES'_{\top}} \setminus L_{ES_{\top}}$ . Notar que como  $e' \notin L_{ES_{\top}}$  entonces  $e' \notin L_{ES'_{\top}}$ . Sea  $s \in L_{ES'_{\top}}$  y  $s \notin L_{ES_{\top}}$ . Sabemos que desde s debe haber un controlador  $\sigma'$  para  $ES_{\top}$ . Este controlador puede o ser también un controlador para ES o alcanzar el estado  $\top$  en  $ES_{\top}$ . En el primer caso, es también un controlador en ES' y en  $ES'_{\top}$ , una contradicción. En el segundo caso, o usa una transición que no se encuentra ni en ES' ni en ES, lo que significa que en  $ES'_{\top}$  va a alcanzar un estado ganador  $\top$ ; o usa una transición que se encuentra en ES' pero no en ES lo que lleva a e'. Como sabemos que e' no se encuentra en  $L_{ES'_{\top}}$ , entonces cuenta con un controlador en  $ES'_{\top}$ , entonces sabemos que existe un controlador  $\sigma''$  que incluye tanto a  $\sigma'$  como al controlador para e'. Finalmente,  $\sigma''$  es un controlador para s en  $ES'_{\top}$ , pero  $s \notin L_{ES'_{\top}}$ , ABS!

Demostración Lemma 4: (Idea: Para probar que  $e' \in W_{ES'_{\perp}} \setminus W_{ES_{\perp}}$  implica canßeWinningLoop(loops), asumimos

¬canBeWinningLoop(loops) y mostramos que  $e' \notin W_{ES'_{\perp}} \setminus W_{ES_{\perp}}$ . Para esto, basta con ver que si ¬canBeWinningLoop(loops) entonces para alcanzar un estado marcado desde e' se debe salir de loops a un estado  $s \notin loops \cup W_{ES_{\perp}}$  lo que implica  $s \notin W_{ES'_{\perp}}$  ya que s no tiene ningún camino de estados none que llegue a  $e \stackrel{\ell}{\to} e'$  (Lemma 2). Como s no tiene controlador en  $ES'_{\perp}$ , es imposible que e' tenga uno.

Para probar que canBeWinningLoop(loops) implica  $e' \notin L_{ES'_{\top}}$  construimos un controlador  $\sigma'$  para e' en  $ES'_{\top}$  de la siguiente forma: Para una traza que se quede dentro de loops, solo elegimos sucesores controlables que no estén en  $L_{ES_{\top}}$ . Notar que no puede haber sucesores no controlables en  $L_{ES_{\top}}$  ya que  $loops \cap L_{ES_{\top}} = \emptyset$ . Tan pronto como la traza sale de loops a un estado s' usamos el controlador para s' en  $ES'_{\top}$ . Como s' no puede alcanzar  $e \stackrel{\ell}{\to}_{ES'} e'$  usando estados None, por el Lemma 2, s' debe tener el controlador que necesitamos.)

Sea  $e' \in W_{ES'_{\perp}} \setminus W_{ES_{\perp}}$  pero  $\neg$ canBeWinningLoop(loops). Existe un controlador  $\sigma$  para e' en  $ES'_{\perp}$ , esto significa que debe existir un camino w desde e' hasta un estado marcado m. Dado que  $\neg$ canBeWinningLoop(loops), no hay estados marcados en loops, w debe salir de loops. Sea s el primer estado que alcanza w fuera de loops, s pertenece a  $L_{ES_{\perp}} \cup None$ , y no tiene un camino de estados None hasta e' entonces según Lemma 2 s va a seguir sin cambiar su estado. Dado que  $s \notin W_{ES'_{\perp}}$ , s no tiene un controlador en  $ES'_{\perp}$ , pero  $\sigma$  acepta corridas que llevan a s, llegamos a un absurdo.

Asumiendo can BeWinningLoop (loops) simplemente construimos un controlador  $\sigma^4$  para e' en  $ES'_{\top}$  para probar que  $e' \notin L_{ES'_{\top}}$ 

Definimos  $\sigma^4$  tal que habilita todas las transiciones no controlables (para que sea controllable).

 $\sigma^4(w_0.w_1) = \sigma_{s'}(w_1)$  si  $w_0$  es el camino más corto tal que existe  $s' \notin loops \land s' \notin L_{ES_{\top}}$  y  $e' \stackrel{w_0}{-\cdots}_{ES'_{\top}} s'$ . En otro caso  $e' \stackrel{w}{-\cdots}_{ES'_{\top}} p \land p \in loops$  entonces para toda  $\ell'$  controlable,  $\ell' \in \sigma^4(w)$  si y solo si  $\exists p'$  .  $p \stackrel{l'}{\to} p' \land p' \notin L_{ES_{\top}}$ .

Usamos los controladores  $\sigma_{s'}$  donde s' es tal que existe  $s \in loops$  y  $s \xrightarrow{\ell'}_{ES'_{\top}} s' \wedge s' \notin loops \wedge s' \notin L_{ES_{\top}}$ . Si no existe tal s', sabemos que debe haber un estado marcado en loops y  $\sigma^4$  nunca abandona el conjunto loops ya que todos los estados alcanzables desde loops pertenecen a  $L_{ES_{\top}}$ .

Probaremos que  $\sigma^4$  es controllable y non – blocking.

Dado que habilitamos todas las transiciones no controlables,  $\sigma^4$  es trivialmente controllable.

Para non-blocking, sea w compatible con  $\sigma^4$ , mostraremos que puede ser extendido. Si  $w=w_0.w_1$  y  $w_0$  es la palabra más corta tal que existe una  $s' \notin loops \land s' \notin L_{ES_{\top}}$  y  $e' \xrightarrow{w_0}_{ES'_{\top}} s'$ . Entonces por definición de  $\sigma^4$  sabemos que  $\sigma^4(w_0.w_1.w_2) = \sigma_{s'}(w_1.w_2)$  para todo  $w_2$ . Ya que  $\sigma_{s'}$  es non-blocking, existe un  $w_2$  tal que  $\sigma_{s'}(w_1.w_2)$  alcanza un estado marcado. Entonces  $\sigma^4(w_0.w_1)$  puede ser extendido para alcanzar ese estado marcado.

En otro caso, w nunca abandona loops. Debemos probar que para todo  $\ell'$  tal que  $w.\ell'$  sea consistente con  $\sigma^4$ ,  $w.\ell'$  puede ser extendido con un w' para alcanzar un estado marcado. Sea p' tal que  $e' \xrightarrow{w.\ell'} p'$ . Si  $p' \notin loops$  entonces  $\sigma^4(w.\ell') = \sigma_{p'}(\lambda)$  y, como antes, sabemos que  $\sigma_{p'}$  es non - blocking entonces w.l' puede extenderse para llegar a un estado marcado.

Si  $p' \in loops$ , entonces w.l' puede extenderse para llegar a cualquier s en loops. Sabemos que o existe un estado marcado en loops o algún estado en  $W_{ES_{\perp}}$  es alcanzable en un paso desde loops, de cualquier forma podemos extender w.l' para llegar a un estado marcado.

Demostración Lemma 5: (Idea: Dividimos la prueba según la estructura del if/then/else de findNewErrorsIn. En el caso de que el if sea true, es suficiente probar que  $e' \notin L_{ES'_{\top}}$ . Para esto, construimos un controlador  $\sigma'$  para e' en  $ES'_{\top}$  de la siguiente forma: Para una traza que se queda dentro de loops, solo tomamos sucesores controlables que no estén en  $L_{ES_{\top}}$ . Notar que no puede haber sucesores no controlables en  $L_{ES_{\top}}$  ya que  $loops \cap L_{ES_{\top}} = \emptyset$ . Tan pronto como la traza sale de loops al estado s' usamos el controlador de s' en  $ES'_{\top}$ . Como s' no puede alcanzar  $e \xrightarrow{\ell}_{ES'} e'$  usando estados None, por el Lemma 2, s' debe tener tal controlador.

Cuando el if es false, alcanza con probar que  $P = loops \subseteq L_{ES'_{\top}}$ . Alcanzamos una contradicción asumiendo que  $s \in loops \setminus L_{ES'_{\top}}$ : Si  $s \notin L_{ES'_{\top}}$  entonces tiene un controlador  $\sigma$  que acepta una traza w alcanzando un estado marcado. Como no hay estados marcados en loops, w alcanza un estado  $s' \notin loops$ . Como el if era false,  $s' \in L_{ES'_{\top}}$  por lo que  $\sigma$  no es un controlador.)

En primer lugar, sabemos que cada estado  $s' \notin loops$  tal que  $\exists s \in loops$  .  $s \xrightarrow{l} s'$ , puede o ser y seguir siendo un estado perdedor  $(s' \in LES \land s' \in LESS)$  o es y seguir siendo None (porque s no es un predecesor-NONE de un estado en loops, de otra forma s estaría en loops).

Esto significa que ningún estado  $s' \notin loops \land s' \notin L_{ES_{\top}}$  puede ser forzado a un estado en  $L_{ES'_{\top}}$ . Entonces, si alcanzamos un estado *None* sabemos que tiene un controlador válido  $\sigma_{s'}$  en  $ES'_{\top}$ .

En el caso de que la declaración if sea verdad, probaremos que  $e' \notin L_{ES'_{+}}$ :

Usamos el mismo  $\sigma^4$  de la demostración Lemma 4. Ya sabemos que  $\sigma^4$  es tanto controllable como non - blocking en esta situación por el Lemma anterior.

De otra forma entramos en el bloque else:

Si  $\nexists s \in loops$  .  $s \xrightarrow{\ell'}_{ES'_{\top}} s' \land (s' \notin loops \land s' \notin Errors)$  probamos que  $\forall s \in loops$ ,  $s \in L_{ES'_{\top}}$ 

Sea  $\sigma'$  un controlador para s en  $ES'_{\top}$  entonces  $\exists w'$  tal que  $s \xrightarrow{\lambda.w'} ES'_{\top} e_m \wedge e_m \in M_{ES'_{\top}}$ . Ya que no hay estados marcados en loops, partiendo desde s y siguiendo w' eventualmente se abandona loops.

Sea  $w' = w_0.w_1$  tal que  $w_0$  es la palabra más corta tal que  $s \xrightarrow{w_0}_{ES'_{\top}} s' \wedge s' \notin loops$ . Dado que  $s' \in Errors \Rightarrow s' \in L_{ES_{\top}}$  no es posible que un controlador válido  $\sigma'$  acepte palabras que alcancen ese estado. ABS! Entonces no hay controlador para s en  $ES'_{\top}$  lo que implica  $\forall s \in loops, s \in L_{ES'_{\top}}$ .

### 4.5. Complejidad computacional

La complejidad del algoritmo en el Listing 4.1 está acotada por  $O(|S_E|^3 \times |A_E|^2)$ , donde  $|S_E|$  y  $|A_E|$  son el número de estados y eventos en E. Esto se desprende del hecho de que el loop principal se ejecuta a lo sumo una vez por transición (i.e.,  $|T_E|$ ), que  $|T_E| \leq |S_E| \times |A_E|$  y que la complejidad de una iteración del loop está acotada por  $O(|S_{ES}|^2 \times |A_E|) \leq O(|S_E|^2 \times |A_E|)$ .

La complejidad de cada iteración está acotada por la de findNewGoalsIn, la función más compleja de todas las llamadas durante cada iteración: propagateError, propagateGoal, canReach, getMaxLoop, canBeWinningLoop, findNewGoalsIn, and findNewErrorsIn.

A continuación presentamos un análisis detallado de la complejidad de cada sub-rutina: Usaremos  $|S_C|$  y  $|T_C|$  para referirnos al número de estados y transiciones de una exploración parcial C de la planta E.

- 1. O(findNewGoalsIn(loop)) $\langle = O(|S_{ES}| \times |T_{ES}|)$ : Un punto fijo progresivamente remueve todos los estados que no son ganadores en  $ES'_{\perp}$ . En el peor caso se deben remover  $|S_{ES}|$  estados, y el costo de remover cada un estado está acotado por  $|T_{ES}|$ . Cada iteración ejecuta otro punto fijo que va quitando los estados que son perdedores (en  $ES'_{\perp}$ ) o son inalcanzables desde dentro de C. Esto se obtiene al chequear todas las transiciones entrantes y salientes para cada estado  $(O(|T_{ES}|))$ . Luego, cada iteración del primer punto fijo realiza una exploración "backwards BFS" sobre C  $(O(|T_{ES}|))$ , comenzando desde los estados marcados de C (o estados que tienen un hijo en Goals). Cuando la exploración termina, todos los estados de C que no fueron alcanzados son removidos.
- 2. O(findNewErrorsIn(loops)) $<=O(|S_{ES}|\times |A_E|)$ : Simplemente iteramos sobre todos los estados del loop y chequeamos si hay al menos un estado con un hijo NONE fuera del loop. Como nuestro autómata es determinístico sabemos que para cualquier estado s,  $|hijos(s)| <= |A_E|$  (la cantidad de eventos). Además, la cantidad de estados del loops está acotada por  $S_{ES}$ .
- 3. O(propagateGoals(newGoals))<=  $O(|S_{ES}| \times |T_{ES}|)$ : El razonamiento es similar al de findNewGoalsIn, pero ahora iterando sobre todos los ancestros-NONE, cuya cantidad está acotada por  $S_{ES}$ . Luego, la complejidad de la función está acotada por  $O(|S_{ES}| \times (O(\text{iteración})))$ .

Cada iteración quita los estados s que son forzados a perder en un paso o no pueden alcanzar un estado goal dentro de C. La implementación logra esto con complejidad  $O(|T_{ES}|)$ . Revisar si cada estado s está forzado a perder en un paso solo requiere chequear sus hijos  $(O(|T_{ES}|))$ . Chequear cuales estados pueden alcanzar un goal requiere una búsqueda en anchura que comienza en los estados de C con un hijo goal y propagar hacia los ancestros (dentro de C). En el peor caso esto requiere iterar sobre todas las transiciones  $|T_{ES}|$ .

En conclusón  $O(\text{iteración}) = |T_{ES}|$  y  $O(\text{propagateGoals}(newGoals})) \le O(|S_{ES}| \times |T_{ES}|)$ .

- 4. O(propagateErrors(newErrors))=  $O(|S_{ES}| \times |T_{ES}|)$ ): Esta función es similar a propagateGoals y se aplica el mismo razonamiento.
- 5.  $O(\operatorname{canReach}(e, e')) = O(|T_{ES}|)$ : Simplemente requiere una búsqueda en anchura sobre las transiciones salientes.
- 6.  $O(\text{getMaxLoop}(e, e')) = O(|T_{ES}|)$ : Comenzando por e se puede realizar una búsqueda en anchura para iterar sobre todos sus ancestros, cortando la exploración cuando se llega a un estado GOAL, ERROR o e'.

7. O(can BeWinningLoop(loops))=  $O(|T_{ES}|)$ : Requiere verificar si hay un estado marcado en loops (|loops|  $\leq |S_{ES}|$ ) y ver todos los hijos de estados en loops para ver si alguno es un estado en GOAL o ERROR ( $|T_{ES}|$ ). Tenemos entonces  $O(|S_{ES}| + |T_{ES}|) = O(|T_{ES}|)$ 

Entonces concluimos que la complejidad máxima de todas las funciones está acotada por  $O(|S_{ES}| \times |T_{ES}|)$ 

Considerando que  $|T_{ES}| \leq |S_{ES}| \times |A_E|$  y que en el peor caso para el tamaño de ES se da cuando ES = E, entonces todas las iteraciones del loop principal están acotadas por  $O(|S_E|^2 \times |A_E|)$ .

Finalmente, la complejidad total de nuestro algoritmo es:  $O(|T_E| \times (|S_E|^2 \times |A_E|)) \le O(|S_E|^3 \times |A_E|^2)$ .

Previamente, [?] presentó una solución para construir un director optimal en  $O(|X| \times |\Sigma|(|Xm-Xt|+1))$  (donde  $X=S_E, \Sigma=A_E$  y  $X_m-X_t$  es el número de estados marcados que no son terminales. Luego, comparando [?] con la última iteración de nuestro enfoque (cuando ES=E), la diferencia reside en la relación entre  $|S_E|$  y  $|X_m-X_t|$ . Aunque  $|S_E| \geq |X_m-X_t|$ , el número de estados marcados no terminales puede sufrir proporcionalmente la misma explosión que los estados de la planta. Por lo tanto, en el peor caso,  $O(|S_E|) = O(|X_m-X_t|)$ . Lo que permite la afirmación de que la última iteración de nuestro algoritmo tiene una complejidad peor caso comparable a la complejidad de [?]. Sin embargo, nuestro trabajo sufre una penalidad a nivel de complejidad a raíz de intentar resolver el problema antes de conocer la composición completa de la planta. En DCS el loop es ejecuta hasta  $-T_E$ — veces, cada vez que a ES se le agrega una transición. Éste es el costo en complejidad a pagar por la construcción on-the-fly. Los resultados experimentales muestran que esta complejidad teórica adicional puede compensarse con el tiempo ganado al evitar la construcción completa del state space, y en consecuencia tener iteraciones menos costosas sobre un espacio menor.

### 5. IMPLEMENTACIÓN

El algoritmo fue implementado en el lenguaje Java, agregando a la funcionalidad del programa Modal Transition System Analyser (MTSA)[1].

#### 5.1. MTSA

El software utilizado cuenta con una gran cantidad de funcionalidad. Principalmente nos interesa la forma de escribir Labelled Transition Systems (LTS), esto se puede hacer mediante Finite State Process (FSP). En el listing 5.1 volvemos al caso de estudio presentado en 1.1 esta vez escrito en la herrmienta MTSA.

En primer lugar definimos las constantes que determinan la cantidad de sub-servicios a contratar. Luego definimos la componente Agencia, con un único estado que vuelve a sí mismo con las siguientes transiciones: cancelacion, compra, query[servicio], este último se lee como cualquier transición query[i] si  $i \in Servicio$ .

Con la definición de los sub-servicios se puede ver una definición genérica compacta de múltiples componentes idénticas del problema, tantas como elementos haya en Servicio, cada una con su id, comenzado en 0, que es utilizado para definir transiciones únicas para cada componente. También se ve que para un componente más complejo simplemente se declaran más estados, cada uno con su nombre en mayúscula, sin necesidad de aclarar que pertenecen a un componente. Si se quiere que un estado tenga 2 transiciones que lleven a estados distintos se logra con el operador | (como ejemplo, ver el estado Queried).

Finalmente mostramos cómo se pueden componer las distintas LTSs con el comando | |, con el cual nuestra planta compuesta tendrá tanto a la agencia como a los subservicios.

```
const N = 1
range Servicio = 0..(N-1)

Agencia = (
{cancelacion,compra} -> Agencia |
query[servicio] -> Agencia ).

SubService(id=0) = Unqueried,
Unqueried = (cancelacion -> Unqueried |
query[id] -> Queried),
Queried = (valido -> Disponible | noValido -> Imposible),
Disponible = ({compra,cancelacion} -> Unqueried),
Imposible = (canelacion -> Unqueried).

||Plant = Agencia || SubService[Servicio].
...
```

Listing 5.1: Ejemplo de LTS y composición

En el listing 5.2 vemos un ejemplo de cómo definir un controlador, en este caso lo llamamos Goal. En el área de Automated planning el objetivo es alcanzar algún estado final, es decir, los estados son los marcados; sin embargo en el contexto MTSA y al representar el problema con LTSs solo podemos marcar transiciones. La interpretación final es que las transiciones señaladas como marcadas llevan a estados marcados y estos serán nuestros objetivos. En el ejemplo se declara la transición compra como marcada, señalando la compra sin errores de un paquete. En este punto aclaramos, únicamente para facilitar

cualquier intento de reproducción, que al utilizar transiciones marcadas, se puede generar un desdoblamiento de los estados. Como ejemplo notar que el estado Agencia va a tener (internamente) para la herramienta 2 versiones, una marcada alcanzada por compra y otra no marcada alcanzada por cancelacion y query[servicio].

Luego definimos el conjunto de transiciones controlables, en este caso cancelacion, compra y query[Servicio]. Por último debemos agregar la palabra clave nonblocking, en caso contrario se intentará, por defecto, resolver otro problema de control fuera del alcance de este trabajo.

En la última línea utilizamos la palabra clave heuristic para aclarar que queremos utilizar el algoritmo de DCS, luego nombramos como DirectedController al controlador que devuelve nuestro algoritmo cuando lo definimos como el LTS Compuesto  $(Plant)^1$  que cumple con la especificación Goal.

```
controllerSpec Goal = {
marking = {compra}
controllable = {cancelacion, compra, query[Servicio]}
nonblocking
}
heuristic ||DirectedController = Plant~{Goal}.
```

Listing 5.2: Ejemplo de Controller y DCS

#### 5.2. Heurísticas adicionales

### 5.2.1. Dummy

Como dijimos en el capítulo 2, el algoritmo de DCS debe ser agnóstico a la heurística. Al comenzar nuestro trabajo en el proyecto y una vez que pudimos generar cierto conocimiento sobre el pseudocódigo existente nos percatamos de casos borde que no iban a ser bien resueltos. Sin embargo, al correr dichos casos el resultado era correcto, esto se debía a que la heurística era muy buena y lograba ir por un camino directo al Goal (o Error, depende el caso); entonces no caía en nuestra "trampa".

En función de poner a prueba sólo el algoritmo de exploración desarrollamos una heurística de debugging o *Dummy*. La misma ordena las transiciones a explorar alfabéticamente, dejando primero las no controlables pero sin mirar información sobre distancia a marcados o error. Decidimos dejar el ordenamiento de no controlables primero ya que esto no es heurístico, se sabe por especificación qué transiciones son controlables y cuáles no.

A partir de entonces usamos los nombres de las transiciones para explorar nuestros casos de test de la forma que nos interesaba, ganando así control sobre los tests.

#### 5.2.2. BFS

Si bien el algoritmo debe ser agnóstico a la heurística, la misma puede (y seguramente lo haga) modificar los tiempos de ejecución. Ya que si llega antes a alguna conclusión sobre un estado ésta información se puede propagar, cortando más ramas y/o más grandes.

La segunda heurística que desarrollamos es un simple BFS. La razón es para mostrar qué tanto se pueden mejorar los tiempos del algoritmo con una buena heurística. Esto se

 $<sup>^{\</sup>rm 1}$  Cabe destacar que a esta altura la composición todavía no fue calculada

puede ver en detalle en el capítulo 6, donde mostramos resultados de un mismo benchmark para las diferentes heurísticas.

### 5.3. Testing

Luego de haber mostrado la sintaxis con la cual desarrollamos nuestros tests vamos a hablar un poco de ellos y detalles sobre algunos a destacar. El listing 5.3 muestra un ejemplo de sintaxis completo (test 1). Si se desea ver la especificación de cada uno de los tests puede encontrarse en el repositorio de MTSA<sup>2</sup>.

```
Ejemplo = A1,
A1 = (u12 -> A2 | u14 -> A4),
A2 = (u21 -> A1),
A4 = (c45 -> A5),
A5 = (u55 -> A5).

||Plant = Ejemplo.

controllerSpec Goal = {
  controllable = {c45}
  marking = {u55}
  nonblocking
}
heuristic ||C = Plant~{Goal}.
```

Listing 5.3: Test 1 a modo de ejemplo

En total tenemos una batería de 51 tests. Los cuáles no fueron desarrollados uno detrás del otro sino que utilizamos una técnica llamada TDD (Test Driven Development). Desde el pseudocódigo e implementación existente de DCS iniciamos la batería de tests con algunos casos borde que resolvía mal. Luego entramos en un ciclo donde fuimos generando versiones que corregían los casos y más tests que rompían otras partes del algoritmo. Además en ciertos puntos críticos decidimos refactorizar completamente partes amplias de la implementación, fuera de las refactorizaciones chicas al pasar los tests.

Como recordatorio resumimos los problemas encontrados en tres grandes grupos.

- Falencias al encontrar errores
- Propagación local
- Falta de completitud

Es necesario entrar un poco en detalle sobre la implementación del algoritmo. Para manejar la exploración de manera ordenada contamos con una cola de estados *open*, en ella colocamos los estados que están esperando para ser explorados. Notar que un estado puede salir y entrar de *open* varias veces, ya que podríamos estar explorando otra transición, pero sólo una "cantidad de transiciones" de veces. Muchos de los problemas intermedios fueron a la hora de reabrir estados, para que puedan seguir siendo explorados, esto se traducía en una finalización temprana de la exploración llegando a una conclusión incorrecta.

Dentro de la batería queremos destacar algunos de especial interés. Antes necesitamos explicar un poco de notación, las transiciones empezadas con u/c son no-controlables/controlables respectivamente, los estados marcados son los que tienen doble borde; en ciertos tests con

<sup>&</sup>lt;sup>2</sup> https://bitbucket.org/lnahabedian/mtsa/src/master/maven-root/mtsa/src/test/resources/NonBlocking/

transiciones nombradas diferente vamos a aclarar en la explicación cuáles son las controlables.

Test 1 Fig 5.1 Como se vió en la sección 3.2, al propagar muchas veces es necesario ver en conjunto los estados ancestros. En este test, es necesario darse cuenta que, si bien 0 puede ser forzado a 3, no queda otra que volver. Por ende existe un director, que es el mismo autómata.



Fig. 5.1: LTS del test 1

Test 8 Fig 5.2 Es un problema de falencias al encontrar errores explicado en la sección 3.1. Si no se señala el estado 3 como error, porque no se detecta que es un livelock entonces podríamos sacar la conclusión errada que es controlable. Notar que esto sería lo mismo que si tenemos una rama totalmente explorada a partir de u33.



Fig. 5.2: LTS del test 8

Test 12 Fig 5.3 Variante del test 8, en este caso existe controlador ya que se llega al livelock por una controlable (que puede ser desactivada). Notar que aunque el estado 1 esté marcado es necesario dejarlo fuera para poder asegurar victoria, se ganaría gracias al estado 5 que también está marcado (con llegar a uno de ellos alcanza).

Test 26 Fig 5.4 Otro ejemplo de por qué la propagación no puede ser local. Ambos loops no controlables son ganadores pero es necesario saber que tanto la transición u20 como la u23 se "quedan en el conjunto de ancestros" para poder llegar a esa conclusión.

**Test 30** Fig 5.5 Caso parecido al test 26 pero ahora el estado en duda no es tan directo como antes. Esta vez 2 y 3 son agregados a *Goals* y recién podemos tener problemas al propagar a 0. Necesitamos ver que 1 y 0 son parte del mismo "conjunto controlablemente cerrado" para notar que el autómata es controlable.

5.3. Testing 35



Fig. 5.3: LTS del test 12



Fig. 5.4: LTS del test 26

**Test 35** El tema es que arma un CCC y no chequea que sea válido bien, porque ya no hay loop con marcado. Entonces el build Controller se queja y da que no hay controlador. Pero si revisaba para el otro lado había un CCC válido



Fig. 5.5: LTS del test 30

### 6. PERFORMANCE

Para realizar las pruebas de performance decidimos usar el mismo conjunto de problemas que el utilizado para examinar el algoritmo original de DCS en [2]. En esta sección presentamos los resultados de la comparación versus dicha versión y, además, contra diversos programas del estado del arte. Todos los casos de estudios fueron escritos con la posibilidad de ser escalados en el número de componentes y estados.

- Transfer Line Automatización de una fábrica, un dominio de mucho interés en el área de supervisory control. TL consiste de n máquinas conectadas por n buffers cada uno con capacidad de k unidades, termina en una máquina adicional llamada Test Unit.
- Dinning Philosophers Problema clásico de concurrencia. En DP hay n filósofos sentados en una mesa redonda, cada uno comparte un tenedor con sus vecinos aledaños. El objetivo del sistema es controlar el acceso a los tenedores de manera que los filósofos puedan alternar entre comer y pensar; evitando deadlock y starvation. Adicionalmente, cada filósofo, luego de tomar un tenedor, debe cumplir con k pasos de etiqueta antes de comer.
- Cat and Mouse Juego de dos jugadores donde cada uno toma turnos para moverse a una casilla adyacente dentro de un mapa de la forma de un corredor dividido en 2k+1 áreas. En CM n gatos y la misma cantidad de ratones son colocados en extremos opuestos del corredor. El objetivo es mover a los ratones de manera que no terminen en el mismo lugar que un gato. Los movimientos de los gatos no son controlables. En el centro del corredor hay un agujero que lleva a los ratones a un área segura.
- Bidding Workflow Modela el proceso de evaluación de proyectos de una empresa. El proyecto debe ser aprobado por n equipos. El objetivo es sintetizar un flujo de trabajo que intente llegar a un consenso, es decir, aprobar/rechazar el proyecto cuando todos los equipos lo aceptan/rechazan. La propuesta puede ser reasignada para reevaluación por un equipo hasta k veces, no se puede reasignar si el equipo ya lo había aceptado. Cuando un equipo lo rechaza k veces el proyecto puede ser rechazado sin consenso. Es un caso de estudio típico del dominio de Business Process Management.
- Air-Traffic Management Representa la torre de control de un aeropuerto, que recibe n peticiones de aterrizaje simultáneas. La torre necesita avisar si tiene permiso para aterrizar o, en caso contrario, en cuál de los k espacios aéreos debe realizar maniobras de espera. El objetivo es que todos los aviones puedan aterrizar de manera segura. El problema solo tiene solución si la cantidad de aviones es menor a la de espacios aéreos (n < k).
- Travel Agency Modela una página on-line de ventas de paquetes de viajes. El sistema depende de n servicios de terceros para realizar las reservas (ej. alquiler de auto, compra de pasajes, etc). Los protocolos para utilizar los servicios pueden variar de manera no controlable; una variante es la selección de hasta k atributos (ej. destino del vuelo, clase y fechas). El objetivo del sistema es orquestar los servicios de manera de obtener un paquete de vacaciones completo de ser posible, evitando pagar por paquetes incompletos.

# 6.1. Comparación con versión previa de des

Como ya dijimos, el foco del trabajo no estuvo solo en corregir los errores encontrados en el algoritmo sino también en brindar una mayor seguridad sobre la corrección y completitud de la exploración on the fly. Esto debía hacerse sin perder la buena performance que aportaba la técnica, permitiendo aplicarla a casos de mayor tamaño. Aclaramos que el benchmark se corrió en un equipo de las mismas características para ambas versiones de DCS.

La comparación se realizó para las dos heurísticas desarrolladas en [2], Monotonic Abstraction y Ready Abstraction. Agregamos además una de las heurísticas naif, Breadth First Search, que desarrollamos para depurar el código; esto es en función de mostrar la posible ganancia obtenida a través de una buena heurística.



Fig. 6.1: Benchmark results.

En la figura 6.1 se pueden observar los resultados con respecto a DCS anterior. Antes que nada podemos concluir que hay una ganancia al utilizar mejores heurísticas, ya que BFS pierde contra RA tanto en cantidad de instancias como tiempo. Sorprendentemente a pesar de ser muy naif termina compitiendo contra MA. Esto tiene su explicación en el cambio de objetivo, ya que MA fue presentada en [REF reachability en paper] para reachability.

Nuestra versión (dcs2) mantiene la performance en la mayoría de los casos de estudio. En TA hay algunas instancias nuevas que dan timeout, pero el resto concluyen rápidamente. El único caso donde pierde notoriamente es BW, pero mirando otras herramientas (con la excepción de MYND) vemos que en general tienen problemas con los casos más grandes de BW. Nuestra suposición es que la implementación DCS anterior clasificaba estados como *Goals* de manera anticipada y posiblemente erronea, quizás casos como el de ??. Esto puede hacer que se llegue a una conclusión apurada que posiblemente devuelva un controlador incorrecto, pero que en el benchmark parezca resolver más instancias.

## 6.2. Comparación con otros programas

En la comparación entre distintas herramientas es importante destacar que se hacen de forma ilustrativa para justificar que este trabajo presenta una herramienta del estado del arte. No debe usarse esta comparación para justificar que una herramienta es mejor que otra. En especial, cabe recordar que las herramientas no sintetizan soluciones con las mismas características. Supremica garantiza que su contralador es maximalmente permisivo, lo cual puede incurrir en un mayor costo computacional.

Adicionalmente, al comparar MTSA contra otras herramientas el benchmark es traducido a la sintaxis aceptada por MBP, MYND y SUPREMICA. La traducción se realiza de forma automática y fue probada correcta en [REF paper], sin embargo, la construcción automática de especificaciones puede omitir ciertas optimizaciones de modelado conocidas por los expertos del área. En [REF paper] se muestra que las traducciones no implican un aumento exponencial de estados, pero eso no descarta que la traducción pueda afectar los desempeños de las otras herramientas.

Si bien el algoritmo presentado parece perder un poco de escalabilidad en ciertos casos, en la figura 6.2 podemos ver que sigue estando en una posición competitiva con respecto a otras herramientas del estado del arte. Para que sea más simple la comparación decidimos mostrar solo RA, ya que es la heurística de mejor desempeño, y ambas versiones de DCS.

Aunque la nueva versión esté un poco más lejos de MYND, en calidad de cantidad de intancias y tiempo supera ampliamente el resto de las opciones, referirse a fig ?? y ??.



(b) Total solved instances (top) and execution time (bottom) with DCs.

Fig. 6.2: Benchmark results.

### 7. CONCLUSIONES

Al empezar con el proyecto y leer sobre control supervisado descubrimos que hay todo un mundo detrás. Primero debimos aprender sobre los algoritmos composicionales y no composicionales. Luego entender el algoritmo estándar y parte de su implementación para finalmente poder arrancar con el algoritmo on-the-fly. Este último lo debimos entender a la perfección, para poder descubrir y solucionar los diversos problemas.

MTSA es un proyecto con gran trayectoria y muchos avances en diversos frentes hechos por diferentes personas y grupos de investigación; como tal su código puede ser muy complejo, teniendo partes escritas incluso en versiones antiguas de java.

Pese a estos desafíos, logramos las siguientes contribuciones:

- Un nuevo algoritmo de exploración, cuya correctitud es agnóstica a la heurística utilizada.
- Hasta donde sabemos, este trabajo presenta la primera implementación para síntesis de directores.
- Una prueba de la correctitud y completitud del algoritmo presentado.
- Un análisis de la complejidad de dicho algoritmo.
- Una batería de tests de regresión como una adición permanente al proyecto de MTSA para garantizar la continua correctitud de su feature de síntesis de controladores con exploración heurística.
- Dos nuevas heurísticas de exploración, para ayudar al testeo y comprobar el agnosticismo del algoritmo a la heurística.
- Resultados experimentales para comprobar que las modificaciones a la exploración siguen manteniendo la buena performance de la técnica y que el algoritmo está en nivel de competición con otras herramientas del estado del arte.

Como trabajo a futuro, presentamos las siguientes ideas:

- Generación automática de tests por medio de mutaciones, para facilitar el desarrollo de nuevos algoritmos de síntesis sin la carga de generar nuevos tests a mano.
- Modificación del algoritmo de eploración on-the-fly para resolución de otros problemas, por ejemplo cambiando el objetivo de nonblocking por objetivos de tipo GR1.
   Acompañado del desarrollo de heurísticas correspondientes al nuevo problema.

# Bibliografía

- [1] Modal transition system analyser (mtsa).
- [2] D. Ciolek. Síntesis dirigida de controladores para sistemas de eventos discretos. PhD thesis, Laboratorio de Fundamentos y Herramientas para la Ingeniería del Software (LaFHIS), FCEyN, UBA, 2018.
- [3] Ruediger Ehlers, Stephane Lafortune, Stavros Tripakis, and Moshe Vardi. Reactive synthesis vs. supervisory control: Bridging the gap. Technical Report UCB/EECS-2013-162, EECS Department, University of California, Berkeley, Sep 2013.