Projet Reflecs

Précédent : Logiciels Remonter : Projet REFLECS, Génie système et Suivant : Actions industrielles

• Génie système prouvable et méthode TRDF
• Diffusions sélectives fiables/atomiques avec temps de réponse garanti en modèle DBC
  • Diffusions sélectives fiables avec temps de réponse garanti en modèle DBC
  • Diffusions sélectives atomiques avec temps de réponse garanti en modèle DBC
• Diffusions atomiques uniformes temps réel
• Analyse pire cas de parcours déterministes d'une suite quelconque d'arbres m-aires équilibrés
• Ordonnancement distribué sur un canal de communication à diffusion
• Comparaison des algorithmes d'ordonnancement centralisé temps réel statique et dynamique en termes d'efficacité et de complexité

Résultats nouveaux

Génie système prouvable et méthode TRDF

Participants : Gérard Le Lann


La méthode TRDF de génie système prouvable sert à dérouler correctement les phases suivantes d'un projet informatique :

• capture des besoins applicatifs.

  Cette phase produit une spécification non quantifiée de problème informatique $INF$ et une spécification de ses variables ($inf$).

  Un nouveau modèle événementiel a été spécifié : le modèle événementiel arbitraire multimodal, qui permet de définir pour chaque type d'événement une suite ordonnée de bornes supérieures de densités d'arrivée.

• conception système.

  Cette phase couvre les étapes de conception permettant d'aboutir à une spécification d'un système informatique non dimensionné $(S)$ et de ses variables $(s)$ qui, de façon prouvable, résout $INF$. Pour franchir une étape, il faut satisfaire des obligations de preuves (de conception correcte). Ces preuves produisent les conditions de faisabilité (CF). Un nouveau résultat concerne la permutation qui s'effectue entre modèles et propriétés, lorsque l'on extrait d'une solution intermédiaire $(S')$ le sous-problème $(INF')$ à résoudre à l'étape suivante (noeud d'un arbre de conception).

• dimensionnement de système.

  Cette phase produit une spécification $Q(s)$, le dimensionnement physique de $S$, qui est dérivé de $Q(inf)$, une quantification du problème $INF$. Pour obtenir $Q(s)$, il faut satisfaire des obligations de preuves (de dimensionnement correct), en appliquant (CF).

  Un nouveau résultat concerne la démonstration de découplage total entre la phase de conception et la phase de dimensionnement, sur un problème ouvert (le problème HRTDM, cf. §6.5) et sur le problème d'avionique modulaire posé par Dassault Aviation (cf. §7.1).

Diffusions sélectives fiables/atomiques avec temps de réponse garanti en modèle DBC

Participants : Laurent George (CSTI) , Pascale Minet

Dans le cadre de la thèse de Laurent George (soutenance fixée en janvier 1998), différents algorithmes de diffusion sélective fiable/atomique avec temps de réponse garanti ont été spécifiés en modèle DBC.

Une diffusion sélective est une diffusion dans un groupe destinataire. Un processus peut appartenir à plusieurs groupes destinataires. Les algorithmes de diffusion sélective présentés ici n'exigent pas la connaissance du groupe destinataire (c'est-à-dire ne nécessitent pas un algorithme d'appartenance au groupe). Ce sont d'authentiques algorithmes de diffusion sélective selon la terminologie de Schiper. Ces algorithmes ont été conçus en modèles DBC (Délais de communication et de traitement Bornés et Connus), aussi appelés modèles synchrones. Leur conception se conforme à la méthode TRDF.

Les demandes de diffusion du message $m_i$ sont supposées survenir selon une loi sporadique de période $T_i$. La livraison du message $m_i$ doit survenir dans un délai $d_i$ après la demande de diffusion, où $d_i$ est l'échéance relative du message $m_i$. Les processus peuvent défaillir par arrêt définitif (au plus $f_o$ processus peuvent défaillir) et le réseau peut défaillir par omission (au plus $f_c$ omissions peuvent survenir lors du traitement de la demande de diffusion de tout message $m_i$).

Diffusions sélectives fiables avec temps de réponse garanti en modèle DBC

Informellement, une diffusion sélective fiable doit garantir que tous les processus corrects (c'est-à-dire qui ne défaillent pas) appartenant au groupe destinataire de la diffusion, livrent les mêmes messages et que tout message diffusé par un processus correct est livré par tous les processus corrects du groupe destinataire. Mais ceux-ci peuvent livrer les messages dans un ordre différent.

L'algorithme de diffusion fiable masque les omissions du réseau et la défaillance d'une source en cours de diffusion par les relais. À chaque source de diffusion sont associés $f_{c} + f_{o} + 1$ relais dans le groupe destinataire ; ces relais retransmettent le message reçu pour la première fois. La composante temps réel est fournie par un ordonnancement. Nous avons étudié deux ordonnancements : l'ordonnancement EDF (Earliest Deadline First : échéance absolue la plus proche en premier) et l'ordonnancement FIFO (First In First Out : premier arrivé-premier servi). L'évaluation du temps de réponse ``pire cas'' a été faite pour ces deux ordonnancements. Les conditions de faisabilité, conditions sous lesquelles la diffusion de chaque message respecte son échéance relative, sont fournies.

Cet algorithme se distingue de celui proposé par Hadzilacos et Toueg de par la limitation du nombre des relais et de par la composante temps réel.

Diffusions sélectives atomiques avec temps de réponse garanti en modèle DBC

Une diffusion atomique est une diffusion fiable qui satisfait la propriété d'ordre total : informellement tous les processus corrects livrent les messages dans le même ordre. Dans le cas de diffusions sélectives atomiques et dans le cas où un processus peut appartenir à plusieurs groupes destinataires, on distingue selon la terminologie de Hadzilacos et de Toueg les propriétés d'ordre local (c'est-à-dire dans tout groupe destinataire pris isolément) et l'ordre global (c'est-à-dire dans tous les groupes destinataires pris simultanément).

Afin d'éviter tout risque d'interblocage, qui serait dû à la présence d'un cycle dans la livraison des messages, l'ordre total garanti par les algorithmes de la famille que nous proposons est un ordre global. Les algorithmes de cette famille se distinguent les uns des autres par les propriétés supplémentaires offertes par cet ordre total global. Cet ordre peut n'offrir aucune autre propriété supplémentaire. Il peut préserver l'ordre FIFO d'une source localement ou globalement. Il peut préserver l'ordre causal localement ou globalement. Il peut également préserver l'ordre chronologique localement ou globalement. À chacune de ces possibilités correspond un algorithme de diffusion sélective atomique. La composante temps réel est fournie par un ordonnancement EDF. Pour chacun des 7 algorithmes de la famille, l'ordre total est construit au-dessus de l'algorithme de diffusion sélective fiable décrit ci-dessus. Concrètement ces algorithmes se distinguent par le réglage d'un paramètre. Les temps de réponse ont été évalués pour les 7 algorithmes. L'impact des propriétés supplémentaires de l'ordre global sur le temps de réponse a été mis en évidence.

Diffusions atomiques uniformes temps réel

Participants : Bernadette Charron-Bost (LIX) , Carole Delporte (LIAFA) , Hugues Fauconnier (LIAFA) , Gérard Le Lann , Pascale Minet

Cette collaboration scientifique s'est établie à l'occasion du lancement du projet ATR (cf §7.2 pour la présentation des problèmes applicatifs traités). Dans le cadre de ce projet, deux algorithmes de diffusion atomique uniforme temps réel ont été spécifiés : l'un en modèle DBC et l'autre en modèle DNB (Délais Non Bornés), aussi appelé modèle asynchrone.

Les demandes de diffusion des messages suivent des lois arbitraires unimodales : pas plus de $n_i$ demandes de diffusion du message $m_i$ dans toute fenêtre temporelle de largeur $w_i$. La livraison du message $m_i$ doit intervenir dans un délai $d_i$ après la demande de diffusion ($d_i$ est l'échéance relative du message $m_i$). Les processeurs peuvent défaillir par arrêt définitif.

De plus, dans le modèle DBC, nous étudions l'incidence des défaillances temporelles du réseau. Un message est normalement acheminé par le réseau en au plus $R$ unités de temps. Une défaillance temporelle est le dépassement de cette borne $R$. L'algorithme conçu en modèle DBC procède par ``rounds''. Tout message reçu pour la première fois est retransmis. À chaque round $r$, un processeur diffuse des messages à tous les autres processeurs, traite les messages reçus et livre selon un ordre défini les messages initialement diffusés au round $r - f - 3$ avec $f$ = nombre maximum de processeurs défaillants et $n$ = nombre de processeurs, et ceci uniquement si le message a été reçu plus de $\lfloor n/2 \rfloor$ fois. Les défaillances temporelles du réseau sont transformées en omissions des processeurs. Un processeur est dit correct si et seulement si il est relié avec au moins une majorité de processeurs sans subir de défaillance temporelle. Une des conditions de faisabilité est $2f < n$.

La composante temps réel est fournie par un ordonnancement EDF oisif. La livraison des messages est faite selon l'ordre des échéances absolues des messages. Pour ce faire, l'ordonnanceur du début du ${\mbox{k}}^{{\mbox{i\`eme}}}$ round, avec $k$ entier positif, traite les demandes de diffusion dont l'instant de traitement au plus tard $H_i$ vérifie $k\tau < H_i \leq (k+1)\tau$, avec $\tau$ = durée d'un round. Les conditions de faisabilité ont été établies. La valeur optimale de $\tau$ a été donnée.

Nous avons également étudié le cas où l'ordre de livraison des messages doit se conformer à un ordre partiel reflétant des relations de causalité externe.

L'algorithme de diffusion atomique conçu en modèle DNB (Délais Non Bornés) utilise les détecteurs de défaillance $\Diamond S$ et l'algorithme du coordinateur tournant. Cet algorithme de diffusion atomique est destiné à être plongé, en vue d'un fonctionnement opérationnel, dans un environnement DBC avec défaillances temporelles du réseau. La composante temps réel est fournie par un ordonnancement EDF. Les conditions de faisabilité ont été établies.

Les deux algorithmes ont été comparés par leurs propriétés de sûreté, de ponctualité et de confiance, par leur coût en messages, ainsi que par leurs conditions de faisabilité, d'une part en l'absence de défaillances temporelles du réseau, et d'autre part, en présence de telles défaillances.

Analyse pire cas de parcours déterministes d'une suite quelconque d'arbres m-aires équilibrés

Participants : Patrice Carrère , Jean-François Hermant


Nous avons poursuivi nos travaux précédents sur les communications temps réel qui portent sur les solutions algorithmiques déterministes destinées à résoudre le problème générique temps réel distribué de partage d'un canal à diffusion en accès multiples, noté HRTDM pour Hard Real-Time Distributed Multiaccess. Ces solutions sont basées sur des protocoles à compétition asynchrone et elles reposent sur des parcours déterministes d'arbres m-aires équilibrés lorsque des conflits d'accès au canal à diffusion surviennent.

L'établissement des conditions de faisabilité de ces solutions pour résoudre le problème HRTDM est loin d'être un problème trivial et repose au préalable sur la résolution des deux sous-problèmes suivants :

• P1 : exprimer une borne supérieure exacte sur les pires cas de parcours déterministes d'un arbre m-aire équilibré ;
• P2 : exprimer une borne supérieure exacte sur les pires cas de parcours déterministes d'une suite quelconque d'arbres m-aires équilibrés.

Nous avons donné les solutions pour P1 et P2 (formes closes) ainsi que leurs comportements asymptotiques. En outre, nous avons caractérisé et dénombré les scénarios donnant ces bornes supérieures exactes. Nous avons également étudié l'influence de la base m sur les pires cas de parcours déterministes d'un arbre et d'une suite quelconque d'arbres m-aires équilibrés. Nous avons caractérisé la valeur optimale de cette base pour tout dimensionnement du problème HRTDM.

Ordonnancement distribué sur un canal de communication à diffusion

Participants : Patrice Carrère , Jean-François Hermant , Gérard Le Lann

Nous avons spécifié selon la méthode TRDF un problème de communication temps réel sur canal de communication à diffusion physique et en accès multiple, qui avait été incomplètement exprimé en 1995. Une solution de ce problème, appelé HRTDM (cf. ci-dessus) a été spécifiée. Il s'agit du protocole 802.3D$^2$, aussi appelé CSMA/DDCR (Carrier Sense Multi Access/Deadline Driven Collision Resolution). Ce protocole est une variante déterministe du protocole Ethernet. Il est basé sur des parcours déterministes d'arbres m-aires équilibrés. Il émule un algorithme de type ``Earliest-Deadline-First'' non préemptif distribué. Lorsque des collisions surviennent entre messages d'échéances absolues équivalentes, il utilise le protocole 803.3D (breveté par l'INRIA en 1984).

Le protocole 802.3D$^2$ est capable d'assurer les qualités-de-service (QoS) définies dans diverses normes de l'industrie des Télécommunications (ATM) et de l'Informatique (comités IEEE 802). La difficulté principale consistait à établir des conditions de faisabilité suffisantes pour un modèle événementiel arbitraire unimodal, ce qui impliquait d'identifier les scénarios pires cas que peut subir tout message soumis à transmission.

Dans ce but, l'on a exploité les résultats présentés au §6.4 et l'on a conduit deux analyses. L'une a consisté à étudier directement les stratégies pires cas que peut jouer l' ``adversaire'' représenté par le modèle arbitraire unimodal. L'autre a consisté à étudier comment, à partir de conditions de faisabilité nécessaires et suffisantes de l'algorithme EDF non préemptif centralisé, dériver les conditions de faisabilité recherchées. Elles ont été établies, d'une part, pour une allocation donnée des priorités (index) statiques à chacune des sources de messages et, d'autre part, pour toutes les allocations possibles de ces priorités aux sources.

En outre, nous avons montré comment, sous respect d'une hypothèse de charge du canal de communication, garantir la propriété de terminaison de ces deux tests de faisabilité.

La comparaison des conditions de faisabilité ainsi obtenues doit faire l'objet d'études à venir.

Comparaison des algorithmes d'ordonnancement centralisé temps réel statique et dynamique en termes d'efficacité et de complexité

Participants : Jean-François Hermant , Laurent Leboucher (CNET) , Nicolas Rivierre (CNET depuis le 1$^{er}$ mai 1997)


Cette activité est la poursuite des travaux sur l'ordonnancement temps réel démarrés en 1996 avec le CNET d'Issy-Les-Moulineaux dans le cadre du contrat Macaron.

Le problème qui fut considéré est celui de la comparaison des algorithmes d'ordonnancement centralisé temps réel statique et dynamique en termes d'efficacité et de complexité. Nous avons introduit un cadre général basé sur une représentation algébrique (structure d'espace vectoriel) de l'ordonnancement centralisé temps réel à préemption et défini formellement un critère d'efficacité à l'aide de normes. Nous avons également défini un cadre général pour déterminer avec précision la complexité des tests nécessaires et suffisants de faisabilité des algorithmes d'ordonnancement centralisé temps réel à préemption.

Nous avons poursuivi nos travaux sur les points suivants :

• (1) Le calcul exact de l'efficacité des algorithmes d'ordonnancement centralisé temps réel à préemption. Nous avons donné une procédure de calcul de leur efficacité qui a été implantée sous le système de calcul formel Maple et qui est basée sur l'algorithme revisité du Simplex. Enfin, nous avons proposé un autre critère d'efficacité pour comparer les algorithmes d'ordonnancement centralisé temps réel à préemption et à non-préemption.
  
• (2) L'optimisation des tests nécessaires et suffisants de faisabilité des algorithmes d'ordonnancement centralisé temps réel à préemption. Nous avons donné une procédure de calcul de leurs tests de faisabilité optimisés qui a été implantée sous Maple et qui est, elle aussi, basée sur l'algorithme revisité du Simplex (élimination de contraintes redondantes). Enfin, nous avons étendu certains résultats des algorithmes à préemption aux algorithmes à non-préemption.

Une extension de ces résultats préliminaires au cas des systèmes distribués est en cours.

Précédent : Logiciels Remonter : Projet REFLECS, Génie système et Suivant : Actions industrielles