En vue de l'obtention du

THESE

En vue de l'obtention du
DOCTORAT DE L’UNIVERSITÉ DE TOULOUSE

Délivré par l’Institut National Polytechnique de Toulouse
Discipline ou spécialité : Systèmes Informatiques



Présentée et soutenue par :

Caroline Lu

Le 14 décembre 2009
Titre:
Robustesse du logiciel embarqué multicouche par
une approche réflexive: application à l'automobile

JURY
Françoise Simonot (Prof. INP-Lorraine / LORIA, Rapporteur)
Yvon Trinquet (Prof. Univ. Nantes / IRCCYN, Rapporteur)
Charles Consel (Prof. ENSEIRB / LABRI)
Arnaud Albinet (Continental Automotive SAS, Toulouse)
François Ougier (Renault SAS Technocentre, Guyancourt)
Marc-Olivier Killijian (CR CNRS, LAAS-CNRS)
Jean-Charles Fabre (Prof. INP-Toulouse / LAAS-CNRS)

École doctorale : EDSYS
Unité de recherche : LAAS-CNRS, Groupe TSF
Directeur(s) de Thèse : Jean-Charles Fabre, Marc-Olivier Killijian

- 1 - Résumé

Les mécanismes de détection et de recouvrement d'erreur doivent être
soigneusement sélectionnés pour les applications embarquées automobiles,
principalement à cause de ressources limitées et de contraintes économiques.
Cependant, des exigences de sûreté importantes, aggravées par la complexité
croissante du logiciel, motive l'industrie automobile à chercher des solutions
techniques pour améliorer la robustesse à l'exécution. Le défi est de concevoir une
solution de tolérance aux fautes portable, flexible, à forte contraintes économique,
en examinant différemment les techniques classiques de redondance et de
diversification. Le principe directeur est de contrôler rigoureusement quelle
information et quand elle est essentielle à récupérer; quelle instrumentation est
nécessaire pour réaliser de la tolérance aux fautes et où il faut la placer dans le
programme. La thèse propose une approche pour développer un logiciel de défense,
tel un composant externe configurable, reposant sur l'observabilité et la
contrôlabilité de mécanismes fournis par un standard d'architecture logicielle
automobile émergent AUTOSAR.
Titre: Robustesse du logiciel embarqué multicouche par une approche réflexive:
application à l'automobile

Due to limited resources and stringent economical constraints in the automotive
industry, error detection and recovery mechanisms of embedded systems are
carefully selected. However, critical safety requirements and increasing software
complexity motivate car makers to look for technical solutions to improve online
software robustness. The challenge is to design a portable, customizable, and low-
cost solution for fault tolerance by using differently classical techniques, such as
redundancy and diversification. The main principle is to control rigorously which
information and when it is necessary to get it; which instrumentation is necessary to
perform fault tolerance and where to add this instrumentation in the source code.
An approach to develop a defense software is proposed. The defense software is
designed as an external customizable component, relying on control and
observability mechanisms provided by an emergent standard for automotive
software architecture AUTOSAR.
Title: Robustness of multilayered embedded software through a reflective
approach: application in the automotive industry

Mots-clés: Tolérance aux fautes, Logiciel embarqué automobile, Réflexivité
Discipline: Systèmes informatiques critiques
Intitulé et adresse du laboratoire: CNRS ; LAAS ; 7 avenue du colonel Roche, 31077
Toulouse, France
- 2 -








A mes parents et à mon frère.











« Les machines un jour pourront résoudre tous les problèmes, mais jamais aucune
d’entre elles ne pourra en poser un ! »
A. Einstein

- 3 - - 4 - Avant-propos

Les travaux de thèse présentés dans ce mémoire ont été effectués les deux
premières années principalement à Toulouse, au Laboratoire d’Analyse et
d’Architecture des Systèmes du Centre National de la Recherche Scientifique (LAAS-
CNRS), et la troisième année chez Renault au Technocentre, à Guyancourt.
Ainsi, je remercie le directeur du LAAS-CNRS, Raja Chatila, et parallèlement les
directeurs successifs de l’Electronique Avancée (DEA) de Renault, Takao Asami et
Patrick Bastard, pour m’avoir accueilli dans leur unité de recherche respective.
Je remercie également Jean Arlat et Karama Kanoun, les responsables successifs
du groupe de recherche Tolérance aux fautes et sûreté de fonctionnement
informatique (TSF), au sein duquel j’ai réalisé mes travaux au LAAS, pour leur accueil
et leur soutien. De même, je remercie Olivier Guetta, responsable du PUCE Logiciels
Embarqués, service dans lequel j’ai travaillé chez Renault.
Je tiens à exprimer une profonde reconnaissance à mes encadrants académiques
Jean-Charles Fabre, professeur à l’INP-Toulouse, et Marc-Olivier Killijian, chargé de
recherche CNRS, d’abord pour tout le savoir technique qu’ils m’ont enseigné. J’ai
également eu un plaisir immense à travailler avec eux. Les deux premières années à
Toulouse, j’ai énormément apprécié les réunions, les workshop et débats techniques
toujours très pointus, très passionnants et passionnés, qui m’ont aidé à orienter,
petit à petit, les recherches. Je me rappellerai toujours avec un sourire comment
nous sommes arrivés à travailler ensemble et communiquer à distance, malgré les
contraintes de la crise économique, la dernière année (les corrections de manuscrit
par fax, entre autres…). Pour tout cela, j’ai eu beaucoup de chance d’avoir des
encadrants aussi sympathiques, chaleureux, compréhensifs, motivés, dynamiques,…
tout simplement exceptionnels.
Je tiens à exprimer ma gratitude envers mon encadrant industriel, François
Ougier, responsable de l’équipe Technologie du Logiciel au sein du PUCE. Par son
approche industrielle, stratégique, et sa surveillance hebdomadaire, il m’a permis de
ne pas me perdre dans mes recherches théoriques pour construire à temps une
solution industrialisable adaptée au monde automobile. J’ai également beaucoup
apprécié son écoute, sa disponibilité et sa gentillesse.
Je remercie Charles Consel, professeur à l’ENSEIRB, pour l’honneur qu’il m’a fait
en présidant mon jury de thèse. Je remercie très vivement Françoise Simonot,
professeur à l’INP-Lorraine, et Yvon Trinquet, professeur à l’université de Nantes,
pour avoir accepté de rapporter sur mes travaux ; ainsi que Arnaud Albinet,
responsable de projets à Continental Automotive, pour avoir accepté d’être
examinateur.
- 5 - En utilisant l’exécutif temps réel « Trampoline » développé par l’IRCCYN pour mes
prototypes, j’ai travaillé en étroite collaboration avec l’équipe Systèmes Temps Réel
d’Yvon Trinquet, pendant mes deux dernières années de thèse. Je tiens à adresser
toute mon amitié et remercier en particulier Jean-Luc Béchennec et Sébastien
Faucou, pour la qualité (et quantité aussi) de leur support et de leurs conseils
techniques, ainsi que pour leur disponibilité, leur extrême gentillesse et leur soutien
moral qui a été très important pour moi, à des moments difficiles. Mais je n’oublie
pas non plus tous les autres : Florent, Pierre, Dominique, Mickaël,…En passant,
« Trampoline » et Jean-Luc m’ont amené aussi à découvrir les premiers pas d’Autosar
Lab, et donc à travailler agréablement sur microcontrôleur quelques jours dans les
locaux de Geensys à Nantes. Je remercie Jean-Sébastien Berthy et Julien Monsimier
pour leur accueil et leur support.
Le sujet de cette thèse a pour origine le projet collaboratif « Systèmes Critiques
pour l´Automobile : Robustesse des Logiciels Embarqués Temps-réels (SCARLET) »,
financé par l’Agence Nationale de la Recherche (ANR). Ce projet m’a donné l’occasion
d’interagir régulièrement, avec beaucoup de plaisir, avec tous ses membres de
cultures industrielle et académique différentes, riches et complémentaires (Renault,
Trialog, Valeo, LAAS, IRCCYN, LORIA, CEA). Ayant déjà remercié Françoise, Yvon,
Sébastien et les intervenants du LAAS, je remercie maintenant chaleureusement :
Philippe, Saidou, Michel, Antonio, Nico