Le plantage des appareils

[marc.suisse]

Bonsoir à toutes et tous

Depuis quelque temps, je me demandais ce qui produisais le plantage des appareils numérique, en plus, si j'étais étudiant, je me dis que ce sujet pourrait être un bon sujet d'exposé ou autre.

Que ce soit les ordinateurs, les smartphones, les décodeurs satellite et TNT, tous ont été redémarrés au moins une dizaine de fois.

Mais je me pose la question de la raison pour laquelle les plantages se produisent.

Est-ce une défaillance du SOFT ? Ou l'explication se situerait plutôt dans la partie HARD ?

Dans d'autres domaines, par exemple l'aviation ou les projets spatiaux, comment sont gérés les plantages ? Car j'imagine bien que là, ils ne devraient même pas se produire.

Merci d'éclairer ma lanterne.

Marc
-----

[jiherve]

Bonsoir,
en fait les plantages ont de multiples origines: bug soft(ceci est un pléonasme), panne hardware et de plus en plus agression neutronique qui perturbe les états logiques des mémoire et/ou du processeur.
Pour les applications critiques on redonde(machine différentes programmées par des équipes différentes) et on dispose de code correcteurs d'erreurs sur les memoires.
C'est très savant et surtout très couteux!
Métier d'avenir.
JR

[gienas]

Bonsoir à tous

... en fait les plantages ont de multiples origines ...

Je ne peux que confirmer tes sinistres informations.

Ta liste ne mentionne pas l'une des origines, pourtant très fréquente: le parasite d'amplitude inhabituelle, qui crève le plafond, ou tout simplement, est tellement violent que les protections (quand il y en a) n'ont pas réussi à atténuer assez.

Un des cas typiques, rencontrés ici très souvent: "mon µC fonctionne très bien tant que ne lui demande pas de commander la bobine du relais. Dès que je la commande, tout se mord la queue..."

[marc.suisse]

Bonsoir Messieurs, merci pour vos avis

JIHERVE =>

agression neutronique, tu fais références aux irruptions solaire ? Ou vent solaire.

Gienas =>

Dans le cas que tu cites, la diode de roue libre ne suffit pas ?

Dans la partie hardware, je ne parle pas des condensateurs d'alimentation défectueux par exemple, je le précise, car je pensais à des plantages avec des appareils en parfaits états.

[A voir en vidéo sur Futura]

[jiherve]

Re,
c'est vrai j'ai oublié tous les problèmes CEM mais normalement ils sont gérés au niveau de la conception avant ou pendant la qualification si qualification il y a.
Si l'on savait faire du zéro défaut pour pas cher on le ferait .
Oui l'agression neutronique provient du vent solaire : protons accélérés => impact avec l'atmosphère => neutrons => impact avec le silicium => kaboum
Voir : neutron showers , excellent sujet
JR

[Zenertransil]

Dans le cas que tu cites, la diode de roue libre ne suffit pas ?

Beh non! Cette diode est là pour permettre à l'énergie emmagasinée dans la bobine de s'évacuer lors des mises hors tension. Mais le bruit électromagnétique que la bobine produit est très efficace pour perturber tous les appareils pas ou peu protégés qui sont à proximité!

[luc_1049]

Bonsoir

Du soft vite validé et échéance courte pour vendre le produit civil, des composants aux limites, alimentation faible qui cree des reset, une immunité cem faible, température de fonctionnement limite voila des causes possibles.
Un watchdog, du codage avec un logiciel temps réel pour éviter les bug, des allocations mémoires non dynamiques ou bien contrôlées, le respect de règle de codage.
Et surtout un développement dans les règles avec traçabilité des fonctions et test unitaires et autre avec outils calculant le pourcentage de couverture de test.
Du hard et du soft validés par des tests en endurance et en climatique permettent aussi de découvrir des problèmes, ainsi que des test hard aux limites donc température, tension...

Une validation croisée avec des intervenants différents pour la conception et la validation. Une analyse amdec .

et de plus en plus agression neutronique qui perturbe les états logiques des mémoire et/ou du processeur.
=> cela s'appliquerait pas plutôt au spatial ?
Quelques explications des contextes défavorables seraient interessants!

cdlt

[luc_1049]

j'ai oublié :
validation hardware avec vérification des chronogrammes voire calcul des marges théoriques aux limites, analyse d'intégrité du signal en phase de conception, respects des règles de découplage, manipulation des cartes en tenant compte des règles esd sur tout le flux de la fabrication y compris en stockage.

cdlt

[jiherve]

Re,
Non l'agression neutronique vaut maintenant pour tout le monde y compris au sol c'est l'une des raisons de la présence de codes correcteurs sur les mémoires des serveurs.
Voir aussi à ce sujet tout ce qui se publie sur : deep sub micron.
Il y a d'autres joyeusetés passées sous silence : durée de vie limitée des composants.
Bonne chasse.
JR

[marc.suisse]

Beh non! Cette diode est là pour permettre à l'énergie emmagasinée dans la bobine de s'évacuer lors des mises hors tension. Mais le bruit électromagnétique que la bobine produit est très efficace pour perturber tous les appareils pas ou peu protégés qui sont à proximité!

Quel serait la solution pour protéger les autres appareils ou les circuits de l'appareil contrôlant cette bobine ?

Luc_1049 =>

Merci pour ces éléments très intéressants !

Un watchdog pourrait-il suffire à reseter le système en cas de bug ?

jiherve =>

L'agression neutronique provoque entre outre un plantage d'un appareil peut-il également endommager physiquement un appareil ?

[MorpheusPic]

il y dans les plantages aussi les débordements de pile

j vais essayer de te faire un exemple

imagine tu est le cpu tu doit faire la moyenne des notes d'une classe

tu a un casier qui contiens des cases, les cases impaire contiennent la note de l’élève, et les paires contiennent le nom de l’élève.
dans les cases tu peut écrire jus-qu’a 16 caractères ou chiffres
si tu écrit plus de 16 caractères les caractères en plus sont écrits sur la case suivante(normalement dans le programme on sait sa et on évite de le faire)


un professeur lance le programme et commence a remplir les lignes
il écrit en premier les notes puis les noms.

si le nom d'un des élèves fait plus que 16 caractères un bug va se produire

par exemple avec NapuAmoHallaOnaOnaA

quand le professeur va écrire se nom vu qu'il fait plus que 16 caractères les 3 dernier caractères vont se retrouver dans la case suivante(la ou il y a normalement une note)

--------case 2-----------------case 3------------

NapuAmoHallaOnaO | naA_________12.5

donc on se retrouve avec des caractères la ou il devrais y avoir une note
quand l'addition des notes dans les cases va se faire le processeur pourra pas addition des caractères -> plantage du programme

tu peut tester par toi même dans certains programmes le fait d’écrire une centaine de caractères dans les zones de saisi les fait buger / planter.

c'est d’ailleurs comme sa que certains programme sont cracké puisque on peut arriver a écrire a des emplacement impossible normalement suffi de trouver celui qui rend le programme "activé" et écrire la bonne valeur.

[PIXEL]

Quel serait la solution pour protéger les autres appareils ou les circuits de l'appareil contrôlant cette bobine ?

une bonne conception tenant compte des régles de CEM.

cela demandes des connaissances de base et SURTOUT une grande expérience,
car il n'y a pas de recettes toutes faites

[jiherve]

Bonjour,

L'agression neutronique provoque entre outre un plantage d'un appareil peut-il également endommager physiquement un appareil ?

Oui il peut y avoir induction d'un phénomène de latch up qui dans certains cas peut conduire à une destruction partielle ou totale du composant, j'ai vu des mémoires RAM statiques dont la métallisation (les pistes internes) avait fondu par endroit.
JR

[luc_1049]

Bonjour

Pour revenir sur ce risque d'agression neutronique, j'ai vu que des mesures préventives peuvent être prises :

-Par le choix de composants mais je pense que pour un amateur les composants sont tout venant et ne sont pas validés comme étant peu sensibles à ces effets .
=> Quelles sont donc les possibilités au niveau du choix des composants ?

-Par des mesures aux niveaux fonctions :
Processeur sans cache, sur un pic de base par exemple il n'y a pas ce problème, mais sur un micro plus évolué c'est quand même plus rapide d'en avoir un. Après cela dépend effectivement du traitement à faire.

=> Déroulement du code logiciel en prom, à défaut de prom une mémoire flash est elle moins sensible et un bon compromis qu'un déroulement en mémoire ram ?
Là c'est difficile pour des cartes micros qui doivent tourner vite, car on peut choisir de faire dérouler le code en ram. La parade serait donc des dispositifs de corrections d'erreur hardware qui intègre en quelque sorte un checksum en ram.
Si on choisit de faire dérouler le programme dans la flash du micro, tels les microcontroleur pic microchip courants ce sera difficile de faire ce correctif d'erreur.
Ou alors il faut mettre une mémoire externe au micro avec du hard corrigeant les erreurs. Mais je conçois que dans de tels équipement on ne prend pas des pic de base.
En plus c'est sans doute plus les mémoires dynamiques rapides sdram que le les ram statiques beaucoup plus simple à utiliser pour un amateur éclairé qui sont sensibles aux agressions neutroniques, elles sont moins denses au niveau silicium.

=> Logiciel tolérant aux fautes, sans doute déja en mettant au minimum un "default" après le dernier "case" d'un choix en langage C, un test exhaustif dans chaque if, une validation des paramètres sans tolérance, un os temps réel, mais encore ?

-Par des mesures au niveau de l'équipement :
Redondance de fonction, data scrubbing (recopie de la mémoire s'il est erronnée par une tâche de fond via un os temps réel) ; watchdog sur une erreur.
Là pour une application amateur le 2ème point n'est sans doute pas évident.

=> Il est aussi question de blindage, mais par rapport à la théorie du blindage classique telle que l'on peut la trouver en cem, de quoi faut il tenir compte précisément, Comment doit on définir les fentes d'aération ou autre paramètres du blindage ?

-Par des mesures au niveau système :
=> Redondance des équipements et redémarrage des entités élémentaires en panne, voir déconnexion et mise hors fonction via un mode dégradé, qui consisterait à ignorer l'équipement en panne dans un vote majoritaire, c'est à dire au changement de configuration dynamique au fur et à mesure des pannes ?

Mais tout cela si tenté qu'un amateur veuille l'implémenter dans une conception de son cru ou qu'une entreprise veuille le faire nécessite des tests de radiations.
=> Cela est totalement impossible en tant qu'amateur, mais à supposer qu'un logiciel totalise les erreurs du logiciel qui fonctionne en rebouclage, par exemple en recevant et en réemettant en permanence les données qu'il reçoit d'un pc via son interface série ou usb et en activant le plus possible le code embarqué comment serait il possible artificiellement de faire des impacts de radiation sur le matériel ?

=> Il se pose aussi le problème de l'occurence de la panne ou du bug sans radiation quelle est la probalité qu'une panne intervienne au bout d'un temps T ?
Une probabilité très faible pour un temps T très grand ce qui fait que pour du civil ou lorsque la sécurité n'est pas importante cela est ignoré ?
=> A combien faut il l'estimé sans calcul approndi ?

=> Je pense à un outils similaire même si ce n'est pas la même chose qu'à un pistolet déchargeant des impacts de haute tension sur l'équipement ou son blinage ?

cdlt

[luc_1049]

Dans les faits l'occurence d'une panne pour un produit est peut être plus rare et moins probable que celle liée au calcul de fiabilité MTBF du produit.

cdlt

[jiherve]

Bonsoir,
Il n'existe pas de blindage raisonnablement utilisable pour se protéger des neutrons, dans les fait plusieurs mètres de béton boré, 50 cm d'inox + quelques mètres d'un polymère riche en hydrogène, ce qui se fait donc autour du coeur d'une centrale nucléaire.
Les codes correcteurs sont une nécessité, la plupart des µC professionnels (Freescale , Texas, Intel) comportent des mécanisme de correction d'erreur, souvent une simple parité sur le cache de niveau 1 car les données n'y sont pas pérennes, un code de Haming sur les L2/L3 et du beaucoup plus mordant sur la mémoire principale, Reed Solomon par exemple. Compte tenu de l’évolution en capacité des Flash il est aussi nécessaire de protéger celles ci si elles n’intègrent pas une protection d'origine (cas des Nand Flash).
Pour les processeurs il existe des modèles Rad Hard voir LEON3, pour les autre il est possible de faire du lock step, dex processeurs executant le même code strictement en // avec un verrouillage au cycle d'horloge prés.
La susceptibilité d'un composant est estimé par la donnée de la section efficace ou le FIT error rate

Dans les faits l'occurence d'une panne pour un produit est peut être plus rare et moins probable que celle liée au calcul de fiabilité MTBF du produit.

c'est en partie vrai et c'est pourquoi il faut trimer la MIL HDBK.
C'est un domaine appelé à un grand avenir.
JR

[marc.suisse]

Re,
c'est vrai j'ai oublié tous les problèmes CEM mais normalement ils sont gérés au niveau de la conception avant ou pendant la qualification si qualification il y a.
Si l'on savait faire du zéro défaut pour pas cher on le ferait .
Oui l'agression neutronique provient du vent solaire : protons accélérés => impact avec l'atmosphère => neutrons => impact avec le silicium => kaboum
Voir : neutron showers , excellent sujet
JR

Non l'agression neutronique vaut maintenant pour tout le monde y compris au sol c'est l'une des raisons de la présence de codes correcteurs sur les mémoires des serveurs.

Oui il peut y avoir induction d'un phénomène de latch up qui dans certains cas peut conduire à une destruction partielle ou totale du composant, j'ai vu des mémoires RAM statiques dont la métallisation (les pistes internes) avait fondu par endroit.

Est-ce que ces dommages physiques se produisent sur terre ou sur des satellites par exemple ?

Beh non! Cette diode est là pour permettre à l'énergie emmagasinée dans la bobine de s'évacuer lors des mises hors tension. Mais le bruit électromagnétique que la bobine produit est très efficace pour perturber tous les appareils pas ou peu protégés qui sont à proximité!

Très intéressant merci !

il y dans les plantages aussi les débordements de pile

j vais essayer de te faire un exemple

imagine tu est le cpu tu doit faire la moyenne des notes d'une classe

tu a un casier qui contiens des cases, les cases impaire contiennent la note de l’élève, et les paires contiennent le nom de l’élève.
dans les cases tu peut écrire jus-qu’a 16 caractères ou chiffres
si tu écrit plus de 16 caractères les caractères en plus sont écrits sur la case suivante(normalement dans le programme on sait sa et on évite de le faire)


un professeur lance le programme et commence a remplir les lignes
il écrit en premier les notes puis les noms.

si le nom d'un des élèves fait plus que 16 caractères un bug va se produire

par exemple avec NapuAmoHallaOnaOnaA

quand le professeur va écrire se nom vu qu'il fait plus que 16 caractères les 3 dernier caractères vont se retrouver dans la case suivante(la ou il y a normalement une note)

--------case 2-----------------case 3------------

NapuAmoHallaOnaO | naA_________12.5

donc on se retrouve avec des caractères la ou il devrais y avoir une note
quand l'addition des notes dans les cases va se faire le processeur pourra pas addition des caractères -> plantage du programme

tu peut tester par toi même dans certains programmes le fait d’écrire une centaine de caractères dans les zones de saisi les fait buger / planter.

c'est d’ailleurs comme sa que certains programme sont cracké puisque on peut arriver a écrire a des emplacement impossible normalement suffi de trouver celui qui rend le programme "activé" et écrire la bonne valeur.

Merci beaucoup pour cette explication !

Mais la personne qui créé le code du programme ne peut pas mettre des "sécurités" et ainsi éviter ce genre de désagréments ?

luc_1049 =>

Merci beaucoup pour ces explications très détaillées !

J'ai regardé sur internet ce qu'étais un watchdog, ne serait-il pas la solution idéale qui redémarrerait un appareil planté au lieu de le faire nous-même ?

J'imagine qu'inclure un watchdog ne doit pas prendre beaucoup de temps et/ou d'argent ?

Merci encore beaucoup à tous !

Marc

[luc_1049]

Bonsoir

Un watchdog c'est une piste mais pas suffisante si on condère les agressions neutroniques.

Facile à mettre dans le hard, ensuite dans le soft il faut une fois qu'il est activé s'arranger pour qu'une tâche du logiciel ou une fonction qui risque d'être longue soit découpée en petit morceau et entre chacun de ces morceaux réactiver ce chien de garde afin qu'il ne se déclenche pas. Cf découpe du soft sous forme d'automate...

Il peut être intégré à la fonction hard qui surveille la tension et fait un reset du micro en cas de défaillance de celle ci, typiquement un réseau rc sur les cartes micro de l'amateur minimaliste.

cdlt

[Ridezebigone]

bonjour,

vaste sujet que la fiabilité... quand tu dis que les appareils redémarres 10 fois, tu parles de produits "grand plublic" certainement. Cela vient du fait que selon la gamme du produit, les efforts consentis à la fiabilité du produit final sont plus ou moins poussés.
La majorité des causes de pannes sont connues : bug soft, défaillance d'un composant, perturbations extérieures (CEM, électriques et autre vent solaire parlés dans ce sujet ) etc. Aprés c'est l'industriel qui décide s'il met en face ou non des mesures pour que son produit soit robuste face à ces pannes.
Plus le produit est robuste, plus il faut de temps pour développer les solutions, plus le produit sera cher.

On ne développe pas un minuteur de cuisine comme un automate de passage à niveau pour les trains, ni comme un satellite ou l'électronique d'un coeur artificiel...

c'est pour cela qu'il existe des normes (médical, ferroviaire, spatial, militaire, ...) qui permettent de garantir un minimum de robustesse d'un produit en fonction du domaine appliqué.

Aprés ça ne veut pas dire que les logiciels dans les satellites n'ont pas de bugs, mais ça veut dire qu'il y a des systèmes mis en place qui permettent de garantir le fonctionnement opérationnel malgrés les bugs : redoncance, watchdog, il y a mêmes des systèmes qui s'auto-réparent!

un watchdog est la plupart du temps intégré dans les microcontroleurs, mais si le soft est mal fait, le watchdog peut-être réactivé alors que la fonction principale du produit n'est pas assurée.
Un plantage n'est pas toujours 'franc' , sur ton PC, quand ton logiciel MsWord plante, aimerais-tu que ton PC redémarre complètement ?
Tu ne fais qu'entrevoir les problèmes liés à la fiabilité

A+

[jiherve]

Bonjour,

Est-ce que ces dommages physiques se produisent sur terre ou sur des satellites par exemple ?

Cela se produit en aéronautique mais aussi sur terre, la probabilité d' occurrence dépend du flux neutronique et de la susceptibilité des composants, si le premier varie essentiellement en fonction de l'altitude et de la localisation géographique, la seconde varie avec la technologie et l’évolution actuelle de cette dernière va vers une moins grande résistance à ce type d'agression.
Un watchdog ne vaut que s'il est indépendant du circuit surveillé, composant séparé ayant son propre oscillateur .
JR

[luc_1049]

Bonjour,

Un watchdog ne vaut que s'il est indépendant du circuit surveillé, composant séparé ayant son propre oscillateur .
JR

Effectivement généralement un port du micro qui va sur un circuit qui vérifie la présence de transition régulière sur la sortie du micro sensé être bloqué en cas de plantage. Après si on voudrait aller plus loin ne faudrait il pas aussi qu'il n'y ait pas de fonction commune telle l'alimentation entre la fonction surveillée et celle du watchdog ?
C'est sans doute ensuite une question de probalité de panne des différentes fonctions qui permet de faire au plus simple, je n'en suis pas spécialiste !
cdlt

[MorpheusPic]

comme les conducteurs de trains il on un espèce de watchdog

ils doivent appuyer toutes les minute ou plus sur un bouton pour être sur qu'ils ne sont pas endormis si ils appuie pas le train doit s’arrêter seul.

[jiherve]

Bonsoir,
quand l'alim est défaillante il n'y a plus grand chose à faire!
JR

[marc.suisse]

Bonsoir à vous tous

Merci encore pour vos avis, c'est très sympa !

[luc_1049]

Bonsoir

Effectivement là c'est très grave, mais je pensais aussi implicitement aux perturbations induites en cem, mais j'ai pu mettre des filtres pour protéger justement les différentes sections d'alimentation sur des cartes micro.

A consulter notamment les liens suivants qui complètent :
http://en.wikipedia.org/wiki/Soft_error

http://en.wikipedia.org/wiki/Radiation_hardening

Un document dans le premier lien "white paper" je laisse le soin de le chercher donne des infos sur les erreurs selon le type de mémoire.
D'autres documents sur les sites des fabriquants xilink, altera, motorola, ... sont disponibles.
Ce qu'il faut retenir notamment c'est qu'un redémarrage ou une correction ou détection logiciel corrige ces erreurs, le hard n'étant pas définitivement en panne d'après ce que j'ai lu.

cdlt