Anne 2007 - INRIA Paris

Publications principales
Le contenu des publications est accessible à http://www-rocq.inria.fr/novaltis/publications.html
1 – Modèles de calcul/système, algorithmes distribués pour problèmes composites
1.1 – Systèmes distribués et sûreté de fonctionnement
[WLLS-2005]
J. Widder, G. Le Lann, and U. Schmid, “Failure detection with booting in partially synchronous
systems”, Proceedings of the 5th European Dependable Computing Conference (EDCC-5), Budapest,
Hungary, Lecture Notes in Computer Science (Springer), n° 3463, April 2005, pp. 20-37.
Papier qui généralise le Θ-Model (introduit en [LL-2003]) et qui examine un problème fondamental en
systèmes distribués, celui du « démarrage ». Comment un processeur peut-il savoir (à tout moment,
donc en particulier au « démarrage » d’un système) s’il y a au moins n processeurs actifs, n étant
déterminé par f, le nombre maximum (postulé) de processeurs défaillants ? Sans cette connaissance,
un processeur est contraint de rester inactif (afin de préserver des propriétés de sûreté logique), ce qui
entraîne l’impossibilité de prouver la vivacité. Ce problème est fondamental puisque, par définition, il
est impossible de connaître l’état global courant d’un système distribué. D’autre part, pour résoudre ce
problème, il est bien évidemment interdit de supposer une connaissance préalable d’éventuelles bornes
supérieures de délais (calculs, communications) puisque les processeurs qui, in fine, constitueront le
groupe de taille n, ne sont pas connus à l’avance. En conséquence, les modèles admissibles pour une
solution sont obligatoirement de type asynchrone ou de type partiellement synchrone. On donne une
solution, de type algorithme en rondes, et les preuves, pour le Θ-Model. Ce modèle a l’avantage de
reposer sur une hypothèse « minimale », découverte en 2003 lors d’une séance de travail avec Ulrich
Schmid à l’occasion d’une visite à VUT (Vienna University of Technology, A), hypothèse valide dans
de nombreux systèmes : lorsqu’une borne sup (délais) est violée pour un processus, alors tout délai
pour tout autre processus est strictement supérieur à la borne inf (délais) postulée. Soit Θ le ratio borne
sup (délais)/borne inf (délais). Il existe donc des systèmes et des scénarios pour lesquels Θ (utilisé
dans les algorithmes distribués) n’est pas violé lorsqu’une borne sup est violée. En conséquence, pour
ces scénarios, il y a préservation des propriétés de sûreté logique et de vivacité dans le Θ-Model tandis
que ces propriétés sont perdues en modèle synchrone. Ce papier résout donc des problèmes jusqu’alors
sans solution connue dans le cas des systèmes ouverts, ou bien autonomes, ou bien à haute dynamicité.
[LLS-2003]
G. Le Lann, U. Schmid, « How to Implement a Time-Free Perfect Failure Detector in Partially
Synchronous Systems », Technical Report 183/1-127, Department of Automation, Vienna University
of Technology (A), January 2003. Introduces the Θ-Model, a computational/system model very
“close” to the pure asynchronous model, which permits, however, to circumvent well known
impossibility results (such as FLP 1985). [WLLS-2005] is an instance of papers that build upon [LLS2003].
Link to the Θ-Model web page: http://ti.tuwien.ac.at/ecs/research/projects/theta
[H&al-2005]
C. Honvault, M. Le Roy, P. Gula, J.-C. Fabre, G. Le Lann, and E. Bornschlegl, "Novel Generic
Middleware Building Blocks for Dependable Modular Avionics Systems", 5th European Dependable
Computing Conference (EDCC-5), Budapest, Hungary, 20-22 April, Lecture Notes in Computer
Science (Springer), n° 3463, pp. 140-153.
[GLLH-2003]
C. Guettier, G. Le Lann, and J.-F. Hermant, "Ad Hoc Sensor Networks, Constraint Programming and
Distributed Agreement", IEEE International Conference on Information Technology: Research and
Education (ITRE 2003), Newark, New Jersey, USA, 10-13 August, pp. 291-295.
1
[PGLLB-2001]
J.-C. Poncet, C. Guettier, G. Le Lann and E. Bornschlegl, “Constraint-based Layered Planning and
Distributed Control for an Autonomous Spacecraft Formation Flying”, Proceedings of the
International European Space Agency Workshop on On-Board Autonomy, Noordwijk, The
Netherlands, October 2001, 9 pages.
[KDLL-1982]
F. Kamoun, M.B. Djerad, G. Le Lann, "Queueing Analysis of the ordering issue in a distributed
database concurrency control mechanism: A General Case", 5th IEEE International Conference on
Distributed Computing Systems (ICDCS’82), pp. 447-453.
[LL-1981]
G. Le Lann, « A Distributed System for Real-Time Transaction Processing », IEEE Computer, vol.
14(2), février 1981, p. 43-48.
Décrit – en particulier – un algorithme décentralisé pour la terminaison fiable (non bloquante) de
transactions distribuées (2-phase commit) en modèle synchrone, la construction de mémoire stable, et
un algorithme de réinsertion dynamique de processeurs, découverts de façon concomitante par Xerox
PARC, mais jamais publiés (et utilisés depuis dans la plupart des systèmes transactionnels).
Papier référencé dans les ouvrages réputés suivants : « Distributed Algorithms », Nancy Lynch (MIT),
(Morgan Kaufmann pub.), 1996, et «Concurrency Control and Recovery in Distributed Databases»,
Philip A. Bernstein, Vassos Hadzilacos, Nathan Goodman, (Addison-Wesley pub.), 1987.
[LB&al.-1980]
J. Le Bihan, C. Esculier, G. Le Lann, W. Litwin, G. Gardarin, S. Sédillot, L. Treille, « SIRIUS – A
French Nationwide Project on Distributed Databases », 6th IEEE International Conference on Very
Large Data Bases, October 1-3, 1980, Montreal, Canada, pp. 75-85.
[LL-1978c]
G. Le Lann, "Algorithms for Distributed Data-Sharing Systems Which Use Tickets", 3rd Berkeley
Workshop on Distributed Data Management and Computer Networks, August 29-31, 1978, pp. 259272.
[LL-1978b]
G. Le Lann, “Pseudo-dynamic resource allocation in distributed databases”, International Conference
on Computer Communications (ICCC), September 1978, North-Holland, pp. 245-251.
[LL-1977]
G. Le Lann, « Distributed Systems: Towards a Formal Approach », Congrès triennal IFIP, août 1977,
p. 155-160. Un des papiers pionniers de l’informatique distribuée, enseigné dans de nombreuses
universités nord-américaines et européennes. Premier papier qui donne une solution du problème de
l’exclusion mutuelle distribuée en présence de défaillances. Egalement, premiers exemples de preuves
pour les systèmes distribués. Ce papier introduit les concepts de «jeton circulant » et d’«anneau
virtuel », puis donne (1) un algorithme d’exclusion mutuelle distribuée tolérant les fautes, (2) les
preuves de sûreté logique (jamais plus d’un jeton en circulation) et de vivacité (toute période sans
jeton est de durée finie bornée). Papier référencé dans l’ouvrage réputé suivant : « Distributed
Algorithms », Nancy Lynch (MIT), (Morgan Kaufmann pub.), 1996. Solution utilisée ultérieurement
par IBM dans ses réseaux locaux « token rings ».
On trouve également dans ce papier, pour la première fois, l’idée d’utiliser les hypothèses de
connaissance préalable sur les délais (de calcul, de communication) pour construire une classification
des modèles de calcul/système distribué. La classification introduite dans ce papier est obtenue avec
quatre hypothèses, qui couvrent le spectre des modèles aujourd’hui connus sous les noms de
synchrone pur, partiellement synchrone, et asynchrone pur.
2
1.2 – Systèmes distribués, sûreté de fonctionnement et temps réel
[LL-2006]
G. Le Lann, “Problèmes de communication et de coordination dans les systèmes spatiaux”,
CFIP’2006, 12ème Colloque Francophone sur l’Ingénierie des Protocoles, Tozeur, Tunisie,
octobre/novembre 2006, Hermès/Lavoisier, pp. 67-87.
[LL-2004]
G. Le Lann, "Time-Utility Scheduling and Provably Correct Critical Computer-Based Systems", 12th
IEEE Workshop on Parallel and Distributed Real-Time Systems, held in conjunction with the 18th
International Parallel and Distributed Processing Symposium (IPDPS 2004), Santa Fe, New Mexico,
USA, 26-28 April, 8 pages.
[LL-2003]
Gérard Le Lann, "Asynchrony and Real-Time Dependable Computing", 8th IEEE International
Workshop on Object-Oriented Real-Time Dependable Systems (WORDS 2003), Guadalajara, Mexico,
15-17 January, pp. 18-25.
[ALLT-2002]
M.K. Aguilera, G. Le Lann, S. Toueg, “On the Impact of Fast Failure Detectors on Real-Time FaultTolerant Systems”, Proc. of the 16th Intl. Conference on Distributed Computing (DISC 2002),
Toulouse (F), Lecture Notes in Computer Science n° 2508 (Springer), Oct. 2002, pp. 354-369. Les
"fast failure detectors" (FFD) sont une variation des « failure detectors » (FD) de Chandra/Toueg
(1996). Les FFD furent introduits dans [HLL-2002]. Ici, il est montré que l’on peut « casser » les
bornes pires cas connues pour la complexité en temps par recours aux FFD. On examine plusieurs
problèmes d’accord distribué (consensus, terminating reliable broadcast, atomic broadcast), et l’on
donne les solutions algorithmiques fondées sur les FFD, ainsi que les nouvelles bornes pires cas de
complexité en temps.
[HLL-2002]
J.-F. Hermant et G. Le Lann, “Fast Asynchronous Uniform Consensus in Real-Time Distributed
Systems”, IEEE Transactions on Computers, vol. 51(8), Août 2002, pp. 931-944.
[LL-1998a]
G. Le Lann, “Predictability in Critical Systems”, Proc. of the 5th Intl. Symposium on Formal
Techniques in Real-Time and Fault-Tolerant Systems, Lecture Notes in Computer Science n°1486,
Springer-Verlag Pub., Sept. 1998, pp. 315-338.
[LL-1995]
G. Le Lann, “On Real-Time and Non Real-Time Distributed Computing”, Proc. of the 9th Intl.
Workshop on Distributed Algorithms, Lecture Notes in Computer Science n°972, Springer-Verlag
Pub., Sept. 1995, 51-70.
Premier papier qui présente le principe de « design immersion », grâce auquel on peut concevoir des
systèmes temps réel et prouver des propriétés de ponctualité dans tout modèle de calcul partiellement
synchrone ou asynchrone. Sont discutés les avantages qui en résultent (principalement, préservation
des propriétés de sûreté logique lorsque les hypothèses de délais bornés ou de temps global sont
violées).
[LL-1994b]
G. Le Lann, « Scheduling in Critical Real-Time Systems: A Manifesto », Proc. of the 3rd Intl.
Symposium on Formal Techniques in Real-Time and Fault-Tolerant Systems, Lübeck (D), Sept. 1994,
Lecture Notes in Computer Science n° 863, Springer-Verlag, pp. 511-528.
3
[LL-1983]
G. Le Lann, “On Real-Time Distributed Computing Systems", 9th World Computer Congress of the
International Federation for Information Processing (IFIP’83), Paris, France, 19-23 September, NorthHolland, pp. 741-753.
2 – Ingénierie système fondée sur les preuves (ISP)
La méthode d’ISP TRDF a été et est utilisée dans différents projets ou études, qui font principalement
l’objet de rapports contractuels.
[BLLS-2005]
M. Biely, G. Le Lann, and U. Schmid, "Proof-Based System Engineering Using a Virtual System
Model", 2nd International Service Availability Symposium (ISAS 2005), Berlin, Germany, 25-26
April, Lecture Notes in Computer Science (Springer), n° 3694, pp. 164-179.
[R&al-2003]
B. Ravindran, G. Le Lann, J. Wang, and P. Li, "A Systems Engineering Approach for Constructing
Certifiable Real-Time Distributed Systems", 6th IEEE Intl. Symposium on Object-Oriented Real-Time
Distributed Computing (ISORC 2003), Hakodate, Hokkaido, Japan, 14-16 May, pp. 105-112.
[RLLL-2002]
B. Ravindran, G. Le Lann, and P. Li, "Constructing High Assurance Asynchronous Real-Time
Distributed Systems: A Proof-Based System Engineering Approach", 7th IEEE International
Symposium on High-Assurance Systems Engineering (HASE 2002), Tokyo, Japan, 23-25 October, pp.
89-90.
[LL-1999]
G. Le Lann, “Models, Proofs and the Engineering of Computer-Based Systems: A Reality Check”,
Best Paper Award, Proceedings of the 9th Annual Intl. INCOSE Symposium on “Systems Engineering:
Sharing the Future”, vol. 4, Juin 1999, pp. 495-502.
Donne les principes de l’ISP. Présente des analyses d’échecs (Ariane 5/501, usine Danone) et de
problèmes opérationnels (sonde Mars Pathfinder, US Public Switched Telephone Network) fondées
sur l’ISP, et détaille une mise en œuvre (avionique ORECA).
[CHLL-1999]
P. Carrère, J.-F. Hermant et G. Le Lann, “In Pursuit of Correct Paradigms for Object-Oriented RealTime Distributed Systems”, Proceedings of the 2nd Intl. IEEE ISORC Symposium, Mai 1999, pp. 271279 [publication décrivant une partie des travaux du projet ORECA].
[LL-1998b]
G. Le Lann, “Proof-Based System Engineering and Embedded Systems”, invited paper, European
School on Embedded Systems (Veldhoven, NL, Nov. 1996), Lecture Notes in Computer Science
n°1494, Springer-Verlag Pub., Oct. 1998, pp. 208-248.
Premier papier décrivant en détail la méthode d’ingénierie système prouvable TRDF, ainsi que les
retours de mise en œuvre sur 4 études.
[LL-1997]
G. Le Lann, « An Analysis of the Ariane 5 Flight 501 Failure – A System Engineering Perspective »,
Annual Intl. IEEE Conference on the Engineering of Computer-Based Systems, mars 1997, p. 339346.
Papier contenant les arguments qui permettent de conclure que la défaillance est due à des fautes
d’ingénierie système (et non pas à des fautes d’ingénierie logicielle, selon le rapport de l’Inquiry
Board).
4
La version courte suivante a été retenue (à la demande de Peter Ladkin) par le Safety-Critical Forum
en janvier 1999 :
G. Le Lann, “The Failure of Satellite Launcher Ariane 4.5”,
http://www.cs.york.ac.uk/hise/safety-critical-archive/1999/0005.html
[LL-1996]
G. Le Lann, "A methodology for designing and dimensioning critical complex computing systems",
Proc. IEEE International Symposium on the Engineering of Computer-Based Systems, Friedrichshafen
(D), 11-15 March, pp. 332-339.
[LL-1994a]
G. Le Lann, « Certifiable Critical Complex Computing Systems », Proc. of IFIP Congress'94,
Hamburg (D), North-Holland/Springer Verlag Pub., vol.3, Sept. 1994, pp. 287-294.
3 – Réseaux et protocoles de communication
[HLL-1998]
J.-F. Hermant, G. Le Lann, "A protocol and Correctness Proofs for Real-Time High-Performance
Broadcast Networks", 18th IEEE International Conference on Distributed Computing Systems
(ICDCS 98), Amsterdam, The Netherlands, 26-29 May, pp. 360-369.
Papier qui donne :
-- le protocole Ethernet déterministe (803.3D) fondé sur une combinaison de CSMA (Ethernet
classique) et de parcours d’arbres équilibrés pour la résolution de collisions (brevet INRIA de 1984,
classifié Confidentiel Défense),
-- l’expression analytique calculable des bornes supérieures exactes des délais de transmission réussie
pour tout message dont on tente la transmission,
-- l’extension de ce protocole à un protocole (802.3DD) qui « tient compte » des échéances des
messages (ce qui, de facto, revient à instancier l’algorithme d’ordonnancement EDF (earliest deadline
first) sur un bus à diffusion en accès multiple (distribué).
Outre l’intérêt scientifique du résultat analytique (expression des bornes exactes des délais), le travail
sur 802.3D a été exploité industriellement, dans les domaines civils et militaires, pendant plusieurs
années. Le travail sur 802.3DD est d’intérêt actuel pour de nombreux problèmes d’informatique
distribuée temps réel.
[LL-1986]
G. Le Lann, « Issues in Fault-Tolerant Real-Time Local Area Networks », Proc. IEEE International
Symposium on Reliability in Distributed Software and Database Systems (SRDS 86), pp. 28-32.
[LL-1978a]
G. Le Lann, H. Le Goff, "Verification and Evaluation of Communication Protocols", Computer
Networks, vol. 2, pp. 50-69.
Papier qui donne les résultats de simulation établis en 1973 et 1974, qui ont conduit au mécanisme de
“fenêtre glissante », utilisé par la suite dans le protocole Internet TCP/IP.
Le rôle de pionnier joué par l’équipe du Professeur Vint Cerf (dont je faisais partie à la suite de mes
travaux de simulation) a été officialisé en 2005 par une plaque installée dans le Gates Building à
l’Université de Stanford en 2005.
Birth_of_the_Internet.pdf
[LL-1976]
G. Le Lann, H. Le Goff, "Advances in Performance Evaluation of Communication Protocols",
International Conference on Computer Communications (ICCC 76), North-Holland, pp. 361-366.
5
Présentations récentes
ETR-2007
UBIROADS-2007
6