Modes de défaillance à prendre en compte:

• Surchauffe. Cela modifie les propriétés de synchronisation de la puce et entraîne finalement une erreur. Cela peut se manifester par des erreurs sur un seul bit au milieu d'un fonctionnement apparemment normal; il se plantera éventuellement , mais peut d'abord générer des données incorrectes.
• Dégâts d'eau. Se manifeste comme une résistance parasite sur la carte et peut vous amener à mal interpréter les bits comme étant hauts ou bas. Il peut s'agir de boîtiers qui fuient, de condensation, etc.
• Interférences électromagnétiques. (Le système est censé résister à cela, mais cela vaut la peine d'y réfléchir.)
• Problèmes de connexion physique. Soit pendant la construction (défauts de soudure), soit induits par la suite (chaleur, vibrations). Les fissures microscopiques dans les planches ou les joints peuvent passer le contrôle qualité mais entraîner des défauts intermittents. Encore une fois, cela peut vous perdre un seul morceau à la fois. Ceci est lié au problème de "l'anneau rouge de la mort" sur Xbox.
• Panne d'autres composants. Les condensateurs sont le suspect habituel; électrolytique, tantale, céramique ont tous des modes de défaillance différents. Encore une fois, cela peut aboutir à un système qui fonctionne principalement mais qui est enclin à mal interpréter les valeurs marginales ou souffre de dérive temporelle.
• Bizarre science des matériaux ( "Purple plague", moustaches en étain dues à une soudure sans plomb)
• Le contrôle qualité de la pièce peut ne pas être à la hauteur des normes que vous attendez (les fournisseurs expédient des pièces de qualité inférieure avec une fausse étiquette de «qualité aérospatiale»). Difficile à détecter même après que cela se soit produit.

Il est important de reconnaître que dans les systèmes numériques à grande vitesse, vous n’obtenez pas un «un» et un «zéro» bien nets, vous obtenez une série de les fronts montants et descendants qui sont maculés par la capacité parasite et l'inductance du câblage. Ceci est intrinsèquement vulnérable à une mauvaise interprétation dans des conditions électriques marginales.

Comme une autre réponse l'a souligné: un processeur peut échouer. Soit partiellement (donnant des réponses erronées), soit totalement.

De plus, tous les ordinateurs sont soumis à des radiations cosmiques qui peuvent de temps en temps basculer un peu en mémoire (en plus d'autres sources d'erreur comme le court-circuit,. ..). C'est pourquoi les expériences scientifiques et les serveurs de longue durée utilisent la mémoire ECC. Les vaisseaux spatiaux utilisent également des processeurs renforcés spécifiques pour limiter cet effet car ils sont moins protégés contre de telles interférences. Les avions volent à haute altitude. et sont soumis à plus de ces interférences que votre ordinateur terrestre.

Même si l'événement de ce qui se produit est très rare (mais pas inconnu), vous DEVEZ vous assurer que les résultats sont précis à 100%. Un bit retourné pourrait changer le comportement de votre avion de manière imprévisible, comme inverser les commandes, inverser la loi de protection de l'enveloppe de vol, ...

Pourquoi les ordinateurs de vol critiques sont-ils redondants?

Logiciels

Un point qui a été oublié est que les systèmes redondants sont souvent des conceptions indépendantes, en particulier le logiciel. Cela protège contre les défauts de conception (ou les bogues logiciels) qui pourraient autrement causer des problèmes dans des combinaisons de circonstances rares.

Matériel

Même si un microprocesseur est très fiable, il existe un certain nombre de facteurs qui peuvent être pertinents

• les aéronefs volent à haute altitude où l'atmosphère offre moins de protection contre les rayons cosmiques. Cela affecte non seulement la santé de l’équipage, mais peut également interférer avec les appareils électroniques.
• Les systèmes avioniques sont composés de plus que de simples microprocesseurs, il y en a certainement également d'autres dispositifs, plus sujets aux pannes, tels que les condensateurs. Il existe d'innombrables façons dont l'électronique peut échouer, par ex. défaillance de la mise à la terre induite par les vibrations entraînant des interférences sur les lignes de données (par exemple, à partir de capteurs analogiques).

Je n'ai jamais entendu parler de microprocesseurs en panne soudaine. strong>

Fiabilité ≠ Sécurité

• De nombreux accidents se produisent sans aucune «défaillance» des composants
  
  • Causés par l'équipement fonctionnement en dehors des paramètres et des délais sur lesquels reposent les analyses de fiabilité.
  • Causé par des interactions de composants fonctionnant tous conformément aux spécifications.
  • Les composants hautement fiables ne sont pas nécessairement sûrs

^{De Nancy Leveson, MIT, via UCSD}

Je sais que cette question a déjà reçu une poignée de réponses, mais aucune d'elles ne semble aborder la question de savoir pourquoi il y a trois systèmes dans l'ensemble redondant, plutôt que deux.

Tout d'abord, comme l'ont souligné Simon, Jan Hudec et RedGrittyBrick, les designs ne sont pas du tout identiques. En effet, ils sont souvent complètement différents pour une très bonne raison: la probabilité qu’un problème donné affecte tous les systèmes redondants, et surtout affecte tous les systèmes redondants de la même manière, va du "petit" au "tout à fait minuscule à la limite de l'inexistant". Comparez À quel point les ordinateurs de contrôle de vol redondants sont-ils différents?

Deuxièmement, pour pourquoi il y a trois systèmes dans chaque configuration redondante. Lorsque tout fonctionne correctement et que l'avion est en vol régulier, pour une certaine valeur et un ensemble donné d'entrées, tous les systèmes signalent qu'une correction de 0 (quelle que soit l'unité) est nécessaire. À ce stade, il n'y a pas de problème et les ordinateurs servent simplement à maintenir l'état actuel. Maintenant, l'un des systèmes de composants ne parvient pas à faire son travail correctement pour quelque raison que ce soit, et commence à signaler qu'une correction de +50 unités est nécessaire. Autrement dit, l'ensemble des réponses passe de [0,0,0] à [0,0, + 50]. Deux systèmes sont d'accord et le troisième rapporte quelque chose d'autre, donc nous pouvons probablement ignorer en toute sécurité la valeur aberrante et opter pour les deux systèmes qui rapportent la même chose: traiter le résultat comme [0,0, incorrect] et ignorer le résultat incorrect lors de l'enregistrement des détails techniques et affichant une sorte d'avertissement proéminent indiquant que les systèmes doivent être examinés dès que possible. Mais que se passe-t-il si nous n'avions que deux systèmes au départ et que l'un des deux échoue de la même manière? La correction déterminée nécessaire va de [0,0] à [0, + 50]. Vite maintenant: quelle valeur est correcte? Devez-vous maintenir l'état ou corriger de +50?

À ce stade, il n'y a aucun moyen de savoir si la correction par 0 ou +50 est la bonne marche à suivre. Vous pouvez prendre une moyenne, mais utiliser une moyenne de deux nombres (dont l'un est probablement incorrect) pourrait en fait être pire que l'une ou l'autre des valeurs en soi.

En ajoutant un troisième système à l'ensemble redondant, vous ajoutez un coupe-circuit pour la situation où il y a un système défectueux. Ce n'est que si deux des trois systèmes commencent à mal fonctionner en même temps que vous avez un problème réel, et si l'avion a des problèmes tels que deux systèmes redondants sur trois donnent des sorties erronées, alors vous avez probablement de sérieux problèmes pour commencer. .

La plupart des réponses ont tourné autour du potentiel d'erreurs matérielles informatiques et autres choses de cette nature. Bien que tout cela soit vrai, personne n'a mentionné ce que les ordinateurs regardent réellement.

Disons que vous êtes en approche, que vous vous préparez à faire un autoland CAT III, et que vous n'avez que deux systèmes informatiques. Les deux systèmes informatiques comparent les systèmes radioaltimétriques n ° 1 et n ° 2. Seulement, il y a un dysfonctionnement avec l'un des systèmes de radioaltimètre causant un écart d'une valeur arbitraire qui n'est pas dans les limites.

Comment l'ordinateur sait-il lequel est erroné? Un ordinateur regarde le système radioaltimétrique # 1 et voit 500 pieds. L'autre regarde le système # 2 et voit 1000 pieds. Lequel est juste et lequel est faux? Comment l'ordinateur pourrait-il prendre cette décision?

Entrez le troisième ordinateur. Si la valeur de ce qu'il voit concorde avec celle de l'un des deux autres ordinateurs, il peut effectivement "voter" la lecture invalide "hors de l'île".

Je dois noter que la plupart de ces ordinateurs ont entre deux et quatre processeurs, tous comparant leurs propres résultats. C'est la redondance INTERNE pour éviter les pannes matérielles, mais le fait d'avoir de nombreuses comparaisons croisées de systèmes externes est en grande partie la raison pour laquelle un troisième système existe.

Note: En tant que mécanicien A&P, 9 fois sur 10 c'est l'un des systèmes externes ayant échoué (radioaltimètre, erreur de comparaison MMR / ILS, etc ...) qui provoque une dégradation des capacités - PAS le ordinateur lui-même.

Les ordinateurs échouent, spontanément, tout le temps. Vous n'êtes pas habitué à cela car vous n'avez pas utilisé beaucoup d'ordinateurs. Mais pensez à quelqu'un comme Google, qui gère d'énormes centres de données contenant des milliers d'ordinateurs. Le logiciel qui exécute Google est conçu autour de l'hypothèse explicite que les ordinateurs échouent parce que cela se produit plusieurs fois par jour. Maintenant, un avion ne contient pas beaucoup d'ordinateurs, mais ceux qu'il contient sont essentiels à la sécurité. Ils sont donc dupliqués pour s'assurer que leur échec ne pose pas de problème.

Si nous considérons cela d'un point de vue strictement technique, les microprocesseurs comme tout ont une durée de vie en cycle. D'une manière générale, c'est très long, et le PC à partir duquel vous publiez ce message sera probablement obsolète bien avant qu'il n'atteigne la durée de vie du cycle. Bien qu'un microprocesseur n'ait pas de pièces mobiles, il prend les entrées de divers capteurs. Je ne peux que supposer que les entrées sont fusionnées d'une manière ou d'une autre, mais cela ne signifie pas que les pointes sont complètement éliminées et isolées si elles se produisent. Pour ce que ça vaut, même des surtensions relativement petites feront frire un microprocesseur. En gardant cela à l'esprit, pour faire preuve de prudence, plusieurs systèmes sont utilisés. Avec la taille de plus en plus réduite de la technologie, il est devenu plus facile et moins coûteux de transporter une pièce de rechange, donc du point de vue des ventes, la tranquillité d'esprit est là. Encore une fois, il vaut mieux l'avoir et ne pas l'utiliser que de ne pas l'avoir quand vous en avez besoin.

Pour répondre directement à votre question, je travaille depuis longtemps dans le domaine des microprocesseurs, des micro-contrôleurs et autres. Pendant ce temps, j'ai eu peut-être deux ou trois échecs spontanés, généralement liés à la chaleur. Dans un avion, cela peut ne pas sembler être un problème, mais en fait, un froid extrême peut causer des problèmes ainsi qu'une chaleur extrême en ce qui concerne l'électronique. Cela étant dit, j'ai grillé d'innombrables unités en les frappant avec des entrées surchargées. Disons que votre avion a été touché par l'éclairage (je sais que les compagnies aériennes modernes sont protégées contre cela) mais pour des raisons d'argumentation, disons qu'un sol était mauvais: cela porterait facilement un toast à une unité.

Remarque: il est plus courant que les puces / lecteurs de mémoire tombent en panne de nos jours. C'est quelque chose que vous ne savez peut-être jamais car la plupart des ordinateurs modernes peuvent gérer la mémoire morte, que ce soit sur le disque ou dans la mémoire système.

Concernant la redondance spécifique, l ' environnement d'installation de ces systèmes est probablement le facteur le plus important. Non seulement de nombreux systèmes sont entassés étroitement ensemble dans des espaces restreints, mais le flux d'air y est souvent très limité. La chaleur est un grand destructeur de nombreux microprocesseurs. Les avions vibrent également beaucoup en raison des moteurs qui tournent, des turbulences en vol et du simple atterrissage. Des joints de soudure médiocres et des travaux de sertissage inférieurs à la normale ou une coque arrière de connecteur lâche, et vous avez une mauvaise connexion, ou pire, une connexion intermittente .

Sur la redondance en général, si vous faire l'expérience d'un BSOD au travail, comparativement, ce n'est pas grave. Vous avez peut-être perdu le document sur lequel vous travailliez, mais c'est à peu près tout. Si les systèmes d'avion s'éteignent, vous avez un réel problème. C'est difficile à réaliser, mais la redondance existe car la vie de centaines de personnes en dépend .

Le risque de défaillance du processeur est certes très faible, mais pas nul. En cas de panne du processeur, que se passe-t-il pendant le temps de transition entre une panne et une fonctionnalité complète après le redémarrage? Avec un événement rare comme celui-ci, pourrions-nous acquérir suffisamment d'expérience pour être sûrs d'avoir testé en toutes circonstances? Nous parlons ici des nombres < $ 10 ^ {- 9} $.

Les sauvegardes sont sujettes à des échecs cachés. La sauvegarde n'est normalement pas utilisée et n'est activée que lorsque cela est nécessaire - mais a quelque chose de rouillé, ou a un moule funky niché dans un endroit chaud et confortable et provoque un court-circuit lors de l'activation? Murphy hante toujours les applications aérospatiales. La sauvegarde peut être testée avant le décollage, mais que se passe-t-il si elle secoue et le processeur principal tombe en panne? Les chances sont minces, mais tous les accidents majeurs de nos jours sont causés par des chaînes improbables d'événements comme celui-ci.

La redondance est utile car elle démontre en permanence que les principaux appareils fonctionnent correctement et elle est utilisée pour des circonstances de vol critiques . Des systèmes de secours peuvent être utilisés si vous pouvez vous passer de l'appareil principal, ou s'il est garanti que le secours fonctionnera toujours, comme l'actionnement manuel des commandes de vol.

Un pilote automatique en croisière n'est pas vol critique et peut être déconnecté sans conséquences graves. Lors d'un atterrissage CAT III où la piste ne peut être observée qu'une fois que vous roulez dessus, elles sont absolument vitales. Vous ne voulez pas que le pilote automatique se déconnecte à 10 mètres au-dessus de la piste, pas de visibilité, vent latéral en rafales - il n'y a pas le temps d'engager la sauvegarde.

Si un microprocesseur est surchauffé ou surchargé et tombe en panne spontanément, je m'attendrais à ce qu'il cesse de faire quoi que ce soit et ne produise aucune sortie.

Avez-vous déjà overclocké un processeur ou regardé un vieux morceau de matériel meurt? Vous pouvez obtenir toutes sortes d'artefacts étranges pendant que le processeur est toujours en cours d'exécution.

Dans un avion, la sécurité est plus importante que tout autre facteur (après cela vient le poids optimal pour l'efficacité énergétique, et le coût global est le troisième). Si l'avion n'était pas sûr, il n'y aurait pas assez de gens qui voleraient et l'industrie aérienne s'effondrerait. C'est pourquoi il y a des règlements de la FAA, et c'est pourquoi il y a tant de règles pour les compagnies aériennes. (le contrôle de sécurité de l'aéroport est un autre sujet, lié à la sécurité nationale / politique avec l'immigration, etc., donc quand nous disons `` sécurité '' de l'avion, je veux dire au niveau de l'ingénierie)

Systèmes critiques à bord (ie systèmes qui sont nécessaires pour piloter l’avion) ​​auront besoin de redondance. Comme le brûleur dans le moteur à réaction a 2 allumeurs, même si un suffit. De plus, si un moteur tombe en panne, l'autre moteur peut piloter l'avion et l'ordinateur compensera le déséquilibre des forces gauche / droite. De nombreux systèmes dans l'avion dépendent de l'ordinateur, il doit donc avoir un 'plan b' (la redondance est l'un des 'plan b')

Parce que, bien que la théorie soit bonne, la réalité est que tous les composants informatiques ne sont pas égaux.

Un exemple spécifique du début des années 90: Intel a produit le processeur 486/33 (il était assez avancé et incroyablement rapide pour la journée). La plupart ont très bien quitté l'usine, mais certains avaient un bogue ésotérique dans le FPU qui générait des réponses incorrectes. Les magazines du jour étaient remplis de calculs que vous pouviez mettre dans votre feuille de calcul qui produiraient X si votre CPU était bon, ou Y s'il avait le bogue.

Si votre avion fonctionne avec l'un des les processeurs défectueux qu'il contient, et juste le bon ensemble de données est collecté et introduit dans l'un des programmes de contrôle de vol et se heurte à ce bogue FPU, vous serez heureux que les deux autres processeurs aient calculé la valeur correcte et lancé le un errant hors de la boucle.