Anne 2007 - INRIA Paris
Transcription
Anne 2007 - INRIA Paris
Publications principales Le contenu des publications est accessible à http://www-rocq.inria.fr/novaltis/publications.html 1 – Modèles de calcul/système, algorithmes distribués pour problèmes composites 1.1 – Systèmes distribués et sûreté de fonctionnement [WLLS-2005] J. Widder, G. Le Lann, and U. Schmid, “Failure detection with booting in partially synchronous systems”, Proceedings of the 5th European Dependable Computing Conference (EDCC-5), Budapest, Hungary, Lecture Notes in Computer Science (Springer), n° 3463, April 2005, pp. 20-37. Papier qui généralise le Θ-Model (introduit en [LL-2003]) et qui examine un problème fondamental en systèmes distribués, celui du « démarrage ». Comment un processeur peut-il savoir (à tout moment, donc en particulier au « démarrage » d’un système) s’il y a au moins n processeurs actifs, n étant déterminé par f, le nombre maximum (postulé) de processeurs défaillants ? Sans cette connaissance, un processeur est contraint de rester inactif (afin de préserver des propriétés de sûreté logique), ce qui entraîne l’impossibilité de prouver la vivacité. Ce problème est fondamental puisque, par définition, il est impossible de connaître l’état global courant d’un système distribué. D’autre part, pour résoudre ce problème, il est bien évidemment interdit de supposer une connaissance préalable d’éventuelles bornes supérieures de délais (calculs, communications) puisque les processeurs qui, in fine, constitueront le groupe de taille n, ne sont pas connus à l’avance. En conséquence, les modèles admissibles pour une solution sont obligatoirement de type asynchrone ou de type partiellement synchrone. On donne une solution, de type algorithme en rondes, et les preuves, pour le Θ-Model. Ce modèle a l’avantage de reposer sur une hypothèse « minimale », découverte en 2003 lors d’une séance de travail avec Ulrich Schmid à l’occasion d’une visite à VUT (Vienna University of Technology, A), hypothèse valide dans de nombreux systèmes : lorsqu’une borne sup (délais) est violée pour un processus, alors tout délai pour tout autre processus est strictement supérieur à la borne inf (délais) postulée. Soit Θ le ratio borne sup (délais)/borne inf (délais). Il existe donc des systèmes et des scénarios pour lesquels Θ (utilisé dans les algorithmes distribués) n’est pas violé lorsqu’une borne sup est violée. En conséquence, pour ces scénarios, il y a préservation des propriétés de sûreté logique et de vivacité dans le Θ-Model tandis que ces propriétés sont perdues en modèle synchrone. Ce papier résout donc des problèmes jusqu’alors sans solution connue dans le cas des systèmes ouverts, ou bien autonomes, ou bien à haute dynamicité. [LLS-2003] G. Le Lann, U. Schmid, « How to Implement a Time-Free Perfect Failure Detector in Partially Synchronous Systems », Technical Report 183/1-127, Department of Automation, Vienna University of Technology (A), January 2003. Introduces the Θ-Model, a computational/system model very “close” to the pure asynchronous model, which permits, however, to circumvent well known impossibility results (such as FLP 1985). [WLLS-2005] is an instance of papers that build upon [LLS2003]. Link to the Θ-Model web page: http://ti.tuwien.ac.at/ecs/research/projects/theta [H&al-2005] C. Honvault, M. Le Roy, P. Gula, J.-C. Fabre, G. Le Lann, and E. Bornschlegl, "Novel Generic Middleware Building Blocks for Dependable Modular Avionics Systems", 5th European Dependable Computing Conference (EDCC-5), Budapest, Hungary, 20-22 April, Lecture Notes in Computer Science (Springer), n° 3463, pp. 140-153. [GLLH-2003] C. Guettier, G. Le Lann, and J.-F. Hermant, "Ad Hoc Sensor Networks, Constraint Programming and Distributed Agreement", IEEE International Conference on Information Technology: Research and Education (ITRE 2003), Newark, New Jersey, USA, 10-13 August, pp. 291-295. 1 [PGLLB-2001] J.-C. Poncet, C. Guettier, G. Le Lann and E. Bornschlegl, “Constraint-based Layered Planning and Distributed Control for an Autonomous Spacecraft Formation Flying”, Proceedings of the International European Space Agency Workshop on On-Board Autonomy, Noordwijk, The Netherlands, October 2001, 9 pages. [KDLL-1982] F. Kamoun, M.B. Djerad, G. Le Lann, "Queueing Analysis of the ordering issue in a distributed database concurrency control mechanism: A General Case", 5th IEEE International Conference on Distributed Computing Systems (ICDCS’82), pp. 447-453. [LL-1981] G. Le Lann, « A Distributed System for Real-Time Transaction Processing », IEEE Computer, vol. 14(2), février 1981, p. 43-48. Décrit – en particulier – un algorithme décentralisé pour la terminaison fiable (non bloquante) de transactions distribuées (2-phase commit) en modèle synchrone, la construction de mémoire stable, et un algorithme de réinsertion dynamique de processeurs, découverts de façon concomitante par Xerox PARC, mais jamais publiés (et utilisés depuis dans la plupart des systèmes transactionnels). Papier référencé dans les ouvrages réputés suivants : « Distributed Algorithms », Nancy Lynch (MIT), (Morgan Kaufmann pub.), 1996, et «Concurrency Control and Recovery in Distributed Databases», Philip A. Bernstein, Vassos Hadzilacos, Nathan Goodman, (Addison-Wesley pub.), 1987. [LB&al.-1980] J. Le Bihan, C. Esculier, G. Le Lann, W. Litwin, G. Gardarin, S. Sédillot, L. Treille, « SIRIUS – A French Nationwide Project on Distributed Databases », 6th IEEE International Conference on Very Large Data Bases, October 1-3, 1980, Montreal, Canada, pp. 75-85. [LL-1978c] G. Le Lann, "Algorithms for Distributed Data-Sharing Systems Which Use Tickets", 3rd Berkeley Workshop on Distributed Data Management and Computer Networks, August 29-31, 1978, pp. 259272. [LL-1978b] G. Le Lann, “Pseudo-dynamic resource allocation in distributed databases”, International Conference on Computer Communications (ICCC), September 1978, North-Holland, pp. 245-251. [LL-1977] G. Le Lann, « Distributed Systems: Towards a Formal Approach », Congrès triennal IFIP, août 1977, p. 155-160. Un des papiers pionniers de l’informatique distribuée, enseigné dans de nombreuses universités nord-américaines et européennes. Premier papier qui donne une solution du problème de l’exclusion mutuelle distribuée en présence de défaillances. Egalement, premiers exemples de preuves pour les systèmes distribués. Ce papier introduit les concepts de «jeton circulant » et d’«anneau virtuel », puis donne (1) un algorithme d’exclusion mutuelle distribuée tolérant les fautes, (2) les preuves de sûreté logique (jamais plus d’un jeton en circulation) et de vivacité (toute période sans jeton est de durée finie bornée). Papier référencé dans l’ouvrage réputé suivant : « Distributed Algorithms », Nancy Lynch (MIT), (Morgan Kaufmann pub.), 1996. Solution utilisée ultérieurement par IBM dans ses réseaux locaux « token rings ». On trouve également dans ce papier, pour la première fois, l’idée d’utiliser les hypothèses de connaissance préalable sur les délais (de calcul, de communication) pour construire une classification des modèles de calcul/système distribué. La classification introduite dans ce papier est obtenue avec quatre hypothèses, qui couvrent le spectre des modèles aujourd’hui connus sous les noms de synchrone pur, partiellement synchrone, et asynchrone pur. 2 1.2 – Systèmes distribués, sûreté de fonctionnement et temps réel [LL-2006] G. Le Lann, “Problèmes de communication et de coordination dans les systèmes spatiaux”, CFIP’2006, 12ème Colloque Francophone sur l’Ingénierie des Protocoles, Tozeur, Tunisie, octobre/novembre 2006, Hermès/Lavoisier, pp. 67-87. [LL-2004] G. Le Lann, "Time-Utility Scheduling and Provably Correct Critical Computer-Based Systems", 12th IEEE Workshop on Parallel and Distributed Real-Time Systems, held in conjunction with the 18th International Parallel and Distributed Processing Symposium (IPDPS 2004), Santa Fe, New Mexico, USA, 26-28 April, 8 pages. [LL-2003] Gérard Le Lann, "Asynchrony and Real-Time Dependable Computing", 8th IEEE International Workshop on Object-Oriented Real-Time Dependable Systems (WORDS 2003), Guadalajara, Mexico, 15-17 January, pp. 18-25. [ALLT-2002] M.K. Aguilera, G. Le Lann, S. Toueg, “On the Impact of Fast Failure Detectors on Real-Time FaultTolerant Systems”, Proc. of the 16th Intl. Conference on Distributed Computing (DISC 2002), Toulouse (F), Lecture Notes in Computer Science n° 2508 (Springer), Oct. 2002, pp. 354-369. Les "fast failure detectors" (FFD) sont une variation des « failure detectors » (FD) de Chandra/Toueg (1996). Les FFD furent introduits dans [HLL-2002]. Ici, il est montré que l’on peut « casser » les bornes pires cas connues pour la complexité en temps par recours aux FFD. On examine plusieurs problèmes d’accord distribué (consensus, terminating reliable broadcast, atomic broadcast), et l’on donne les solutions algorithmiques fondées sur les FFD, ainsi que les nouvelles bornes pires cas de complexité en temps. [HLL-2002] J.-F. Hermant et G. Le Lann, “Fast Asynchronous Uniform Consensus in Real-Time Distributed Systems”, IEEE Transactions on Computers, vol. 51(8), Août 2002, pp. 931-944. [LL-1998a] G. Le Lann, “Predictability in Critical Systems”, Proc. of the 5th Intl. Symposium on Formal Techniques in Real-Time and Fault-Tolerant Systems, Lecture Notes in Computer Science n°1486, Springer-Verlag Pub., Sept. 1998, pp. 315-338. [LL-1995] G. Le Lann, “On Real-Time and Non Real-Time Distributed Computing”, Proc. of the 9th Intl. Workshop on Distributed Algorithms, Lecture Notes in Computer Science n°972, Springer-Verlag Pub., Sept. 1995, 51-70. Premier papier qui présente le principe de « design immersion », grâce auquel on peut concevoir des systèmes temps réel et prouver des propriétés de ponctualité dans tout modèle de calcul partiellement synchrone ou asynchrone. Sont discutés les avantages qui en résultent (principalement, préservation des propriétés de sûreté logique lorsque les hypothèses de délais bornés ou de temps global sont violées). [LL-1994b] G. Le Lann, « Scheduling in Critical Real-Time Systems: A Manifesto », Proc. of the 3rd Intl. Symposium on Formal Techniques in Real-Time and Fault-Tolerant Systems, Lübeck (D), Sept. 1994, Lecture Notes in Computer Science n° 863, Springer-Verlag, pp. 511-528. 3 [LL-1983] G. Le Lann, “On Real-Time Distributed Computing Systems", 9th World Computer Congress of the International Federation for Information Processing (IFIP’83), Paris, France, 19-23 September, NorthHolland, pp. 741-753. 2 – Ingénierie système fondée sur les preuves (ISP) La méthode d’ISP TRDF a été et est utilisée dans différents projets ou études, qui font principalement l’objet de rapports contractuels. [BLLS-2005] M. Biely, G. Le Lann, and U. Schmid, "Proof-Based System Engineering Using a Virtual System Model", 2nd International Service Availability Symposium (ISAS 2005), Berlin, Germany, 25-26 April, Lecture Notes in Computer Science (Springer), n° 3694, pp. 164-179. [R&al-2003] B. Ravindran, G. Le Lann, J. Wang, and P. Li, "A Systems Engineering Approach for Constructing Certifiable Real-Time Distributed Systems", 6th IEEE Intl. Symposium on Object-Oriented Real-Time Distributed Computing (ISORC 2003), Hakodate, Hokkaido, Japan, 14-16 May, pp. 105-112. [RLLL-2002] B. Ravindran, G. Le Lann, and P. Li, "Constructing High Assurance Asynchronous Real-Time Distributed Systems: A Proof-Based System Engineering Approach", 7th IEEE International Symposium on High-Assurance Systems Engineering (HASE 2002), Tokyo, Japan, 23-25 October, pp. 89-90. [LL-1999] G. Le Lann, “Models, Proofs and the Engineering of Computer-Based Systems: A Reality Check”, Best Paper Award, Proceedings of the 9th Annual Intl. INCOSE Symposium on “Systems Engineering: Sharing the Future”, vol. 4, Juin 1999, pp. 495-502. Donne les principes de l’ISP. Présente des analyses d’échecs (Ariane 5/501, usine Danone) et de problèmes opérationnels (sonde Mars Pathfinder, US Public Switched Telephone Network) fondées sur l’ISP, et détaille une mise en œuvre (avionique ORECA). [CHLL-1999] P. Carrère, J.-F. Hermant et G. Le Lann, “In Pursuit of Correct Paradigms for Object-Oriented RealTime Distributed Systems”, Proceedings of the 2nd Intl. IEEE ISORC Symposium, Mai 1999, pp. 271279 [publication décrivant une partie des travaux du projet ORECA]. [LL-1998b] G. Le Lann, “Proof-Based System Engineering and Embedded Systems”, invited paper, European School on Embedded Systems (Veldhoven, NL, Nov. 1996), Lecture Notes in Computer Science n°1494, Springer-Verlag Pub., Oct. 1998, pp. 208-248. Premier papier décrivant en détail la méthode d’ingénierie système prouvable TRDF, ainsi que les retours de mise en œuvre sur 4 études. [LL-1997] G. Le Lann, « An Analysis of the Ariane 5 Flight 501 Failure – A System Engineering Perspective », Annual Intl. IEEE Conference on the Engineering of Computer-Based Systems, mars 1997, p. 339346. Papier contenant les arguments qui permettent de conclure que la défaillance est due à des fautes d’ingénierie système (et non pas à des fautes d’ingénierie logicielle, selon le rapport de l’Inquiry Board). 4 La version courte suivante a été retenue (à la demande de Peter Ladkin) par le Safety-Critical Forum en janvier 1999 : G. Le Lann, “The Failure of Satellite Launcher Ariane 4.5”, http://www.cs.york.ac.uk/hise/safety-critical-archive/1999/0005.html [LL-1996] G. Le Lann, "A methodology for designing and dimensioning critical complex computing systems", Proc. IEEE International Symposium on the Engineering of Computer-Based Systems, Friedrichshafen (D), 11-15 March, pp. 332-339. [LL-1994a] G. Le Lann, « Certifiable Critical Complex Computing Systems », Proc. of IFIP Congress'94, Hamburg (D), North-Holland/Springer Verlag Pub., vol.3, Sept. 1994, pp. 287-294. 3 – Réseaux et protocoles de communication [HLL-1998] J.-F. Hermant, G. Le Lann, "A protocol and Correctness Proofs for Real-Time High-Performance Broadcast Networks", 18th IEEE International Conference on Distributed Computing Systems (ICDCS 98), Amsterdam, The Netherlands, 26-29 May, pp. 360-369. Papier qui donne : -- le protocole Ethernet déterministe (803.3D) fondé sur une combinaison de CSMA (Ethernet classique) et de parcours d’arbres équilibrés pour la résolution de collisions (brevet INRIA de 1984, classifié Confidentiel Défense), -- l’expression analytique calculable des bornes supérieures exactes des délais de transmission réussie pour tout message dont on tente la transmission, -- l’extension de ce protocole à un protocole (802.3DD) qui « tient compte » des échéances des messages (ce qui, de facto, revient à instancier l’algorithme d’ordonnancement EDF (earliest deadline first) sur un bus à diffusion en accès multiple (distribué). Outre l’intérêt scientifique du résultat analytique (expression des bornes exactes des délais), le travail sur 802.3D a été exploité industriellement, dans les domaines civils et militaires, pendant plusieurs années. Le travail sur 802.3DD est d’intérêt actuel pour de nombreux problèmes d’informatique distribuée temps réel. [LL-1986] G. Le Lann, « Issues in Fault-Tolerant Real-Time Local Area Networks », Proc. IEEE International Symposium on Reliability in Distributed Software and Database Systems (SRDS 86), pp. 28-32. [LL-1978a] G. Le Lann, H. Le Goff, "Verification and Evaluation of Communication Protocols", Computer Networks, vol. 2, pp. 50-69. Papier qui donne les résultats de simulation établis en 1973 et 1974, qui ont conduit au mécanisme de “fenêtre glissante », utilisé par la suite dans le protocole Internet TCP/IP. Le rôle de pionnier joué par l’équipe du Professeur Vint Cerf (dont je faisais partie à la suite de mes travaux de simulation) a été officialisé en 2005 par une plaque installée dans le Gates Building à l’Université de Stanford en 2005. Birth_of_the_Internet.pdf [LL-1976] G. Le Lann, H. Le Goff, "Advances in Performance Evaluation of Communication Protocols", International Conference on Computer Communications (ICCC 76), North-Holland, pp. 361-366. 5 Présentations récentes ETR-2007 UBIROADS-2007 6