HABILITATION À DIRIGER DES RECHERCHES présentée par Alain GIRAULT pour obtenir le diplôme d’HABILITATION À DIRIGER LES RECHERCHES de l’INSTITUT NATIONAL POLYTECHNIQUE DE GRENOBLE (Spécialité : Informatique) Contributions à la conception sûre des systèmes embarqués sûrs. Date de soutenance : 5 septembre 2006 Composition du jury : Président Denis Trystram Rapporteurs David Powell Alberto Sangiovanni-Vincentelli Jean-Bernard Stéfani Examinateurs Albert Benveniste Étienne Closse André Schiper Travauxderechercheeffectuéssuccessivementauseindeséquipes MEIJE (INRIA Sophia- Antipolis/ Centre deMathématiquesAppliquéesdel’Écoledes Mines deParis), PTOLEMY et PATH (département EECS de l’Université de Californie à Berkeley), et enfin BIP et POP ART (INRIA Rhône-Alpes). Table des matières Remerciements 7 1 Introduction 9 2 Répartition automatiquedeprogrammessynchrones 11 2.1 Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 2.1.1 Lessystèmesréactifs embarqués . . . . . . . . . . . . . . . . . . . . . . . . . . 11 2.1.2 Laprogrammation synchrone . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 2.1.3 Lacompilation desprogrammessynchrones . . . . . . . . . . . . . . . . . . . . 13 2.1.4 Exécution centralisée desprogrammessynchrones . . . . . . . . . . . . . . . . 15 2.2 Misesenœuvreréparties . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16 2.2.1 Lebesoinderépartition automatique . . . . . . . . . . . . . . . . . . . . . . . . 16 2.2.2 Lesprimitivesdecommunication . . . . . . . . . . . . . . . . . . . . . . . . . 17 2.2.3 Lesdifférentes méthodesderépartition automatique . . . . . . . . . . . . . . . 17 2.2.4 Systèmesglobalement asynchrones localementsynchrones (GALS) . . . . . . . 19 2.2.5 Plandelecture . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19 2.2.6 Leproblèmedestâchesdelongue durée . . . . . . . . . . . . . . . . . . . . . . 20 2.3 Répartition automatique deprogrammesOC . . . . . . . . . . . . . . . . . . . . . . . . 20 2.3.1 ModèledesprogrammesOC . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21 2.3.2 Localisation desactions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21 2.3.3 Aperçudel’algorithme derépartition . . . . . . . . . . . . . . . . . . . . . . . 22 2.3.4 Preuvedecorrection del’algorithme derépartition . . . . . . . . . . . . . . . . 23 2.3.5 Éliminationdesmessagesredondants . . . . . . . . . . . . . . . . . . . . . . . 23 2.3.6 Désynchronisation durythme . . . . . . . . . . . . . . . . . . . . . . . . . . . 24 2.3.7 Répartition deprogrammes LUSTRE dirigée parleshorloges . . . . . . . . . . . 25 2.3.8 Implémentation etdiscussion . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26 2.4 Répartition automatique deprogrammesSC . . . . . . . . . . . . . . . . . . . . . . . . 28 2.4.1 ModèledesprogrammesSC . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28 2.4.2 Algorithmederépartition . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29 2.4.3 Implémentation etdiscussion . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37 2.5 Répartition automatique deprogrammesCP . . . . . . . . . . . . . . . . . . . . . . . . 38 2.5.1 ModèledesprogrammesCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38 2.5.2 Algorithmederépartition . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38 2.5.3 Implémentation etdiscussion . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39 2.6 Exécution deprogrammes synchrones répartis . . . . . . . . . . . . . . . . . . . . . . . 39 2.6.1 Interfaces synchrone/asynchrone réparties . . . . . . . . . . . . . . . . . . . . . 39 2.6.2 Exécution desprogrammesrépartisdans PTOLEMY . . . . . . . . . . . . . . . . 40 2.6.3 Relationsémantique entreprogrammes centralisés etrépartis . . . . . . . . . . . 41 2.7 Autresapproches connexes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43 4 Tabledesmatières 2.7.1 Répartition deprogrammes LUSTRE et SIMULINK surTTA . . . . . . . . . . . 43 2.7.2 Répartition deprogrammes AUTOFOCUS . . . . . . . . . . . . . . . . . . . . . 44 2.7.3 Larépartition robuste –Leprojet CRISYS . . . . . . . . . . . . . . . . . . . . . 45 2.7.4 Compilation séparéeetexécution distribuée deprogrammes ESTEREL . . . . . . 46 2.7.5 Machines répartiesréactives . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47 2.7.6 Laméthodologie AAAetl’outildeCAOSYNDEX . . . . . . . . . . . . . . . . 47 2.7.7 Désynchronisation deprogrammes SIGNAL . . . . . . . . . . . . . . . . . . . . 49 2.8 Discussion etdéveloppements futurs . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49 2.8.1 Bilansurmescontributions . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49 2.8.2 Choixpertinent delabonneméthodederépartition . . . . . . . . . . . . . . . . 50 2.8.3 Répartition deprogrammesflot-de-données d’ordresupérieur . . . . . . . . . . 50 Bibliographie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51 3 Méthodesdeconceptionpoursystèmesrépartis,embarquésetfiables 57 3.1 Avantpropos :Leloup,lachèvreetlechevreau . . . . . . . . . . . . . . . . . . . . . . 57 3.2 Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58 3.2.1 Lasûretédefonctionnement informatique . . . . . . . . . . . . . . . . . . . . . 58 3.2.2 Entravesàlasûretédefonctionnement . . . . . . . . . . . . . . . . . . . . . . . 58 3.2.3 Moyensdelasûretédefonctionnement . . . . . . . . . . . . . . . . . . . . . . 59 3.2.4 Notionprobabiliste etquantitative :lafiabilité . . . . . . . . . . . . . . . . . . . 60 3.2.5 Hypothèse defauteetcouverture . . . . . . . . . . . . . . . . . . . . . . . . . . 60 3.3 Préliminaires . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61 3.3.1 Contexte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61 3.3.2 Résumédemescontributions . . . . . . . . . . . . . . . . . . . . . . . . . . . 62 3.3.3 Modèlesutilisés . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63 3.3.4 Problèmed’ordonnancement &répartition . . . . . . . . . . . . . . . . . . . . 64 3.3.5 Complexité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66 3.3.6 L’adéquation algorithme architecture (AAA) . . . . . . . . . . . . . . . . . . . 67 3.3.7 L’outildeCAOdesystèmesembarqués répartis SYNDEX . . . . . . . . . . . . 70 3.3.8 Modèled’exécution de SYNDEX . . . . . . . . . . . . . . . . . . . . . . . . . 71 3.3.9 Exempled’ordonnancement produit parSYNDEX . . . . . . . . . . . . . . . . 71 3.4 Méthodes d’ordonnancement &répartition baséessurAAA . . . . . . . . . . . . . . . . 73 3.4.1 Principesgénéraux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73 3.4.2 Méthodepoursystèmestolérantsauxfautesaveclienspoint-à-point . . . . . . . 74 3.4.3 Méthodepoursystèmestolérantsauxfautesavecbus . . . . . . . . . . . . . . . 83 3.4.4 Discussion surAAA-TPetAAA-TB . . . . . . . . . . . . . . . . . . . . . . . 90 3.4.5 Méthodebicritère pourgarantirlafiabilitéd’unsystème . . . . . . . . . . . . . 91 3.4.6 Étatdel’artsurl’ordonnancement etl’optimisation bicritère . . . . . . . . . . . 100 3.4.7 Lienentrefiabilitéettolérance auxfautes . . . . . . . . . . . . . . . . . . . . . 103 3.5 Méthodeparfusiond’ordonnancements simples . . . . . . . . . . . . . . . . . . . . . . 105 3.5.1 Modèlesutilisés . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105 3.5.2 Énoncéduproblème . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106 3.5.3 Hypothèse defaute . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106 3.5.4 SchémagénéraldelaméthodeHFOS . . . . . . . . . . . . . . . . . . . . . . . 106 3.5.5 Génération desplacements simples . . . . . . . . . . . . . . . . . . . . . . . . 107 3.5.6 Fusiondesplacementssimples . . . . . . . . . . . . . . . . . . . . . . . . . . . 108 3.5.7 Ordrepseudo-topologique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109 3.5.8 Calculdesdatesdedébutd’exécution . . . . . . . . . . . . . . . . . . . . . . . 110 3.5.9 Résultatsd’exécution del’heuristique HFOSetdiscussion . . . . . . . . . . . . 111 Tabledesmatières 5 3.6 Synthèsedecontrôleurs pourlatolérance auxfautes . . . . . . . . . . . . . . . . . . . . 112 3.6.1 Contexte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113 3.6.2 Principesgénéraux d’utilisation delaSCDpourlatolérance auxfautes . . . . . 115 3.6.3 Unsystèmetemps-réeltolérant auxfautesdesprocesseurs . . . . . . . . . . . . 115 3.6.4 Unsystèmetolérantauxfautesenvaleurdescapteurs . . . . . . . . . . . . . . . 119 3.6.5 Lesgénéraux byzantins revisités . . . . . . . . . . . . . . . . . . . . . . . . . . 122 3.6.6 Étatdel’artsurlasynthèse decontrôleurs tolérantsauxfautes . . . . . . . . . . 125 3.6.7 Discussion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127 3.7 Discussion etdéveloppements futurs . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128 3.7.1 Commentchoisirlabonneméthodepourunproblèmedonné? . . . . . . . . . . 128 3.7.2 Ordonnancement &répartition bicritère longueur/fiabilité . . . . . . . . . . . . 128 3.7.3 Transformation deprogrammesetprogrammation orientéeaspects . . . . . . . . 129 Bibliographie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 130 4 Commandelongitudinaledevéhiculesautonomes 137 4.1 Contexte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 137 4.2 Loisdecommandelongitudinales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 138 4.2.1 Loid’accélération pourconsigne envitesse . . . . . . . . . . . . . . . . . . . . 138 4.2.2 Loid’accélération poursuividuleader . . . . . . . . . . . . . . . . . . . . . . . 139 4.2.3 Régulation autourdupointd’équilibre . . . . . . . . . . . . . . . . . . . . . . . 140 4.2.4 Étudedesbornes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 143 4.2.5 Automateshybrides . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 144 4.2.6 Simulations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 145 4.3 Contrôleurhybride . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 148 4.3.1 Capteurs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 149 4.3.2 Principedefonctionnement . . . . . . . . . . . . . . . . . . . . . . . . . . . . 150 4.3.3 Phasesducontrôleur hybride . . . . . . . . . . . . . . . . . . . . . . . . . . . . 150 4.3.4 Preuvedel’absence decollisions surl’autoroute . . . . . . . . . . . . . . . . . 153 4.3.5 Stratégies d’insertion alternatives . . . . . . . . . . . . . . . . . . . . . . . . . 154 4.4 Micro-simulations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 157 4.4.1 Donnéesdetravail . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 157 4.4.2 Résultats . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 158 4.5 Discussion etdéveloppements futurs . . . . . . . . . . . . . . . . . . . . . . . . . . . . 160 4.5.1 Bilan . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 160 4.5.2 Étatdel’art . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 161 4.5.3 Priseencomptedescontraintes surlavitesse . . . . . . . . . . . . . . . . . . . 163 Bibliographie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 165 5 Conclusion 169 Remerciements Ce document est la synthèse de mes activités de recherche depuis la fin de ma thèse (janvier 1994) jusqu’à maintenant. Cela représente donc douze années de recherche. Je tiens à remercier tous les col- lègues qui m’ont accueilli, aidé et accompagné pendant ces douze années. En premier lieu Paul Caspi quim’abeaucoup appris etquiaconstamment éclairé mesréflexions parsesconseils avisés etsespro- fondes connaissances scientifiques; Paul est, pour moi, l’idéal du chercheur et le chemin est encore très long avant d’atteindre un tel niveau de compréhension des problèmes, tant en informatique qu’en automatique. Gérard Berry m’a fait l’honneur de m’accueillir à Sophia-Antipolis dans l’équipe MEIJE pour travailler sur le langage ESTEREL. Après avoir fait ma thèse sur LUSTRE, ce fut très instructif de travailler sur ESTEREL etjeremercie Gérard pourtout cequ’il m’aappris, des circuits auxnombres 2- adiques. J’aieubeaucoup dechance qu’Edward Leemeprenne enpostdoc àBerkeley etj’aibeaucoup appris aussi avec lui, en particulier surlemodèle PTOLEMY. Jeluisuis très reconnaissant de cela etde l’excellente année passée dans la Bay Area. Pravin Varaiya m’a offert la possibilité de prolonger mon séjour à Berkeley dans son laboratoire PATH surles autoroutes automatisées. Lestravaux que j’ai pu y démarrer sont à l’origine du chapitre 4 de mon habilitation. De retour en France, je dois un remercie- ment tout particulier àBernard Espiau pourm’avoir laissé une entière liberté àmon arrivée àl’INRIA; grâceàcetteliberté,j’aipuexplorersereinementdeuxnouvellespistesderecherche, d’unepartlacom- mande continue des véhicules autonomes pour les autoroutes automatisées, et d’autre part la tolérance aux fautes, sujet que j’ai abordé avec l’insouciance de la jeunesse (j’ai même coordonné et animé une ARC),enn’yconnaissantpresquerienaudépart(j’aibeaucoupapprisdepuis,fortheureusement), etsur lequel j’ai réussi à obtenir des résultats intéressants (du moins je crois); ceci constitue, à mon avis, un belexempledelanécessité delaisserauxjeuneschercheurs unegrandeliberté dechoixsurleurssujets derecherche. Enfin,mondernier«chef»futÉricRutten,quejeremerciepourm’avoirfaitdécouvrirla synthèse decontrôleurs discrets etm’avoirpousséàécriremonrapportd’habilitation. Je remercie également tout particulièrement les membres de mon jury d’habilitation : mes trois rapporteurs DavidPowell,AlbertoSangiovanni-Vincentelli etJean-Bernard Stéfani,mestroisexamina- teursAlbertBenveniste,AndréSchiperetÉtienneClosse,etenfinmonprésidentdejuryDenisTrystram. Parmieux,jedoisdesremerciementstrèsappuyésàDavidPowellpourlesnombreusescorrectionsqu’il m’afait faire surlechapitre 3. Certes, surle moment cela nem’apas fait plaisir dutout derecevoir 15 pagesdecorrections (!),maislaqualitédemondocuments’estgrandementamélioréetjel’enremercie beaucoup. Suite à une grève non annoncée à l’aéroport Lyon Saint-Exupéry, ma soutenance a du être reportée;aussi,Albert,DavidetAndréontdûseleverauxauroresdeuxfois,etAlbertoquantàluis’est levé pour rien puisqu’il n’a pas pu venir à la seconde soutenance (la vraie) ◦|◦. J’en suis sincèrement ⌢ désolé. Je continue mes remerciements avec mes collègues, et néanmoins amis, Thao Dang, Jean-Claude Fernandez, Fabienne Lagnier, Pascal Raymond, Nicolas Halbwachs, Florence Maraninchi, Xavier Ni- collin, Sergio Yovine, Anne Rasse, Susane Graf, Laurent Mounier, Yassine Lacknech, Oded Maler, StavrosTripakisetbiensûrJosephSifakis(lessbiresdeVERIMAG).PuisXavierFornari,AmarBouali, Jean-Paul Marmorat, Illaria Castellani, Davide Sangiorgi, Gérard Boudol, Valérie Roy, Frédéric Bous- sinotetRobertdeSimone(lasaladeniçoise), ChristopherHighlands, JohnReeckie, JoséPino,Stephen 8 Remerciements Edwards, Wan-Teh Chang, Bilung Lee, Akash Deshpande, Aleks Göllü, Marco Antoniotti et Daniel Weisman (les cowboys de Berkeley), Daniel Simon, Gregor Gößler, Pascal Fradet, Hamoudi Kalla, Gwenaël Delaval TolgaAyav, MassimoTivoli etSimpliceDjoko-Djoko (les popartistes), Pierre-Brice Wieber, SophieChareyron,BernardBrogliato,ClaudeLemaréchal, VincentAcaryetJérômeMalik(les bipopiens), Florence Forbes, Gilles Celeux, Cécile Delhumeau, Paulo Goncalves, Henri Bertholon et Stéphane Girard (les stateux du couloir D), Jacques Mossière, Daniel Hagimont, Vivien Quéma, Alan Schmitt, Ali-Erdem Ozcan, Oussama Layaida, Hubert Garavel, Frédéric Lang et Wendelin Serwe (les éminents collègues du couloir B), Muriel Jourdan, Nabil Layaida, Vincent Quint, Irène Vaton, Claude Castellucia, Vincent Roca et Jérôme Euzenat (idem mais à l’étage supérieur), Horia Toma, Radu Ma- teescu, Mihaela Sighireanu, Ca˘ta˘lin Dima, Radu Horaud etEmilDumitrescu (le gang roumain), Roger Pissard-Gibollet, Hervé Mathieu, Gérard Baille, Soraya Arias et Nicolas Turro (les roboticiens parfois marcheurs, parfois roulants), Brigitte Plateau, Denis Trystram, Bruno Gaujal, Jean-Louis Roch, Jean- Marc Vincent, Grégory Mounié etLionel Eyraud (les Apaches), MarcPouzet, Louis Mandel, Grégoire HamonetThérèseHardin(lesparigotsduLIP6),JacquesPulou,ÉtienneClosse,DanielWeiletKathleen Milsted(lesmousquetairesdeFranceTelecomR&D),DanielPilaud,PatrickMunieretCyrillePrévé(les rois des polyèdres de chez POLYSPACE), Philippe Audfray, Isabelle Guigues et Franck Combet-Blanc (lesmélangeurs d’IGRIP etd’ESTERELdechez ATHYS,maintenant DASSAULT SYSTÈME). Jen’oubliepasmesétudiantsenthèse(LaureFrance,ChristopheLegal,HamoudiKallaetGwenaël Delaval), ils m’ont beaucoup appris, ni mes étudiants de DEA ou de stage ingénieur (trop nombreux pourlescitertous). J’accorde une très grande importance aux fonctions de support à la recherche. J’ai conscience à l’INRIAd’êtreunprivilégiépuisquenousdisposonsd’uneadministrationàlafoiscompétenteetefficace (cequineveutpaspourautantdirequenousensoyonstoujourssatisfaits).Certes,parfoisjem’emporte parcequej’ail’impressionquecetteadministrationdevienttrop«pléthorique»,parfoisj’ailesentiment qu’ils oublient que le ‘R’ de INRIA veut dire « Recherche », et que, en fin de compte, l’unique raison d’êtredel’INRIAestdefairedelarecherche.Maisd’unautrecôté,quandjedemandedesbilletsdetrain enurgence,ilsarriventsurmonbureaupresquetoujoursàtemps,quandjechercheunarticlede1969,on m’enfournitunephotocopieouunpdfenuntempsrecord,etsurtoutleréseauinformatiquemarchetous les jours, les imprimantes et le courrier électronique itou, et mon compte informatique est sauvegardé toutes les nuits. Pour tout cela, je remercie chaleureusement Françoise de Conninck, Véronique Roux, ÉlodieToihein,MarieWiernspergeretStéphanieBerger(assistantesdeprojet),IsabelleAllegret,Sabine Maury,BrunoMarmol,DidierChassignol,ÉricRagusi,FrédéricSaint-Marcel,Jean-MarcJoseph,Jean- PierreAugé,LudovicBellieretGuillaumeLelaurain(administrateurs systèmeetréseau),CécileBellini (servicedesmissions),KarimDekiouk,NathalieSce,CédricdiTofanoetClareBuzon(servicefinancier etjuridique),IsabelleReyetChantalBaudin(documentation),DanièleHerzog,BabetteBeaujard,Marie Collin et Marc Barret (valorisation), et enfin Ben Bouksbara, Yves Bard, Eric Anglès et Jean Panzuti (services généraux). Quecellesetceuxquej’aioubliémepardonnent. Mes parents Claude et Vivette m’ont montré la voie puisqu’ils sont tous deux chercheurs. Claude a relu minutieusement mon rapport d’habilitation et je l’en remercie. J’ai beaucoup entendu parler de l’INRIA quandj’étaisjeune.Jemesurepleinementaujourd’hui machanced’ytravailler. Pourterminer,mafemmeIsabellem’apportebeaucoupdebonheuretsupportequejerentretardpour finirderédigerdesarticles(ouunehabilitationàdirigerlesrecherches ◦|◦)etjel’adore.Également,mes ⌣ deux fistons Bastien et Mathis mettent de la joie et de l’animation dans la maison et je les adore eux- aussi. J’aurais aiméinviter àmonjury Gilles Kahn, malheureusement ilnous aquitté audébut del’année 2006.C’étaituntrèsgrandchercheuretjeluidédiecettehabilitation. Chapitre 1 Introduction Ce document est la synthèse de mes activités de recherche depuis la fin de ma thèse (janvier 1994) àmaintenant. Ilcomporte trois parties quicorrespondent àtroisétapes (entrelacées temporellement) de macarrière dechercheur. Cestrois parties ont encommun deporter surlethèmegénéral de laconcep- tion sûre des systèmes embarqués sûrs. J’ai écrit au début de chacune de ces partie une introduction spécifique, aussileprésentchapitre n’introduit-il lesujetquedefaçontrèsgénérale. Lessystèmesinformatiquesembarquéssontaujourd’huiomniprésents. Danslaviedetouslesjours, onentrouvedansleséquipements électroménagers aussibienquemultimédia, danslestéléphones por- tables aussi bien que dans voitures. Certains sont à sûreté critique, comme les avions, d’autres moins, commelesmontresoudesmachinesàlaver.Aveclaminiaturisationdescomposants,lesnouvellestech- nologies de batteries, et le développement des moyens de communication, il faut s’attendre à en avoir deplusenplusautourdenous,àtelpointquecertainsprédisentl’avènementprochaindel’informatique ubiquitaire. Mais au fait, qu’est-ce qu’un système informatique embarqué? Ladéfinition qui semble la pluscommunémentadmisestipulequecesontdessystèmesinformatiquesdontlesressourcessontlimi- tées.Parressource, onentendressourcesdetaille,depoids,deconsommationélectriqueetdepuissance de calcul. Certes, tout ordinateur de bureau a une consommation électrique limitée par la puissance de l’installation électrique de la prise sur laquelle il est branché. Il en va de même pour toutes les limites mentionnées ci-dessus puisque le monde est fini. Mais, dans le cas des ordinateurs de bureau, cette li- miten’estenpratique paspriseencompteparlesfabriquants. Enrevanche, pourunPDA,untéléphone portable ouunsatellite, elleestcritique. Jem’intéresse danscedocumentàlaconception sûredesystèmesembarquéssûrs.Monobjectifest donc double : d’une part fournir des méthodes de conception de systèmes embarqués qui soient sûres, c’est-à-dire telles que le fossé entre l’idée du programmeur et le programme soit le plus petit possible et le moins possible source de faute de conception, et aussi telles que le programme objet obtenu soit conforme àlaspécification;etd’autrepartfournirdesméthodesdeconception quiaméliorent lasûreté defonctionnement dessystèmesproduits. Lapremière partie (chapitre 2) concerne la répartition automatique de programmes synchrones. Le caractère automatique de la répartition apporte un réel degré de sûreté dans la conception de systèmes répartiscarc’estlapartielaplusdélicatedelaspécificationquiestautomatisée. Grâceàcela,l’absence d’inter-blocage et l’équivalence fonctionnelle entre le programme source centralisé et le programme finalrépartipeuvent êtreformellement démontrées. Quiconque ayantdéjàeuàprogrammerunsystème réparti sait bien que ces deux points sont particulièrement difficiles à obtenir. Ces travaux ont démarré en 1990 pendant ma thèse sous la direction de Paul Caspi et Jean-Louis Bergerand. Les plus récents développements portent sur la prise en compte des rythmes du système, sur l’ordre supérieur et sur la mobilitédecode.Pourcesrecherches, j’aiétédansunpremiertempsencadré(enthèsepuisenpostdoc avecGérardBerryetEdwardLee,jusqu’en 1996), puis autonome (après 1996). Danscechapitre, jene relatequemesactivitéspostérieures àmathèse(doncaprès1994). 10 Introduction La deuxième partie (chapitre 3) traite le sujet de l’ordonnancement et la répartition de graphes de tâchesflots-de-donnéessurdesarchitecturesàmémoirerépartie,aveccontraintesdetoléranceauxfautes etdefiabilité.Cestravauxontdébutéfin1998avecl’ActiondeRechercheCoordonnée INRIA TOLÈRE, que j’aianimée. Cechapitre décrit donc huit années derecherches, principalement surdesheuristiques de répartition et d’ordonnancement avec pour but la tolérance aux fautes et la fiabilité des systèmes, maiségalement surl’utilisation deméthodes formelles telles que lasynthèse decontrôleurs discrets ou la programmation orientée aspects. Sur ce sujet, j’ai co-encadré quatre postdocs (Mihaela Sighireanu, Ca˘ta˘lin Dima,EmilDumitrescu etTolgaAyav), unétudiant en thèse (Hamoudi Kalla), etdenombreux stagiaires ingénieurs ouDEA. Enfin, la troisième partie (chapitre 4) concerne les autoroutes automatiques, avec deux volets : la commande longitudinale de véhicules autonomes et les stratégies d’insertion dans les autoroutes. Ces travaux ont démarré en 1997 lors de mon postdoc à l’Université de Berkeley dans le groupe PATH de Pravin Varaiya. Cette dernière partie décrit donc neuf années de recherches (intermittentes) sur des lois d’accélération et les autoroutes automatisées, domaine appartenant à l’automatique des systèmes continusetaudépartétrangeràmaculture.Surcethèmej’aiétécomplètementautonomeetj’aiencadré deuxétudiants, Jean-Philippe Roussel(stageingénieur) etFethiBouziani(DEA). Enrevanche, cedocument nedécrit pasmesactivités surlasimulation graphique derobots bipèdes et l’interpolation de mouvement entre positions-clés (« keyframing » en anglais), activité conduite de 1996 à 1999 quand j’ai co-encadré la thèse de Laure France. J’ai en effet estimé que cette activité de rechercheétaittropéloignéedessystèmesembarqués.Cedocumentnedécritpasnonplusmesactivités surlesalgorithmes locauxderecherche decheminsdisjoints danslesréseaux, parcequecesrecherches nesontpasencoreassezabouties. Enfin,cedocument ne décrit pas non plus mesactivités d’enseignement àl’ENSIMAG,au Départe- mentTélécom del’INPGetàl’UFRIMAdel’Université Joseph Fourier. De1998 à2006, j’aiencadré leprojet«GénieLogicieletCompilation»etj’aieffectuédesCoursetTravauxDirigésdeCompilation, deThéoriedesAutomates, deProgrammation Temps-RéeletRéactive,d’Algorithmique en JAVA,etde ProgrammationSynchrone.