le maillon faible

Le 20.05.2010 17:38, Stan a écrit :

Il y a plus de 30 ans /je dis ça pour la prescription/ ;-) avec ma femme, emplissant un caddy dans un hyper, j'observai deux employés qui finissaient de mettre en marche un grand meuble distributeur à rideau vertical animé (qui faisait bien 1,5 m de large sur + de 2 de haut, mais de quoi?... autour de la mercerie p'tet) Fallait les voir se reculer pour admirer, et guetter les chalands, et moi de même mais de plus loin, au second degré, j'attendais mon tour une étiquette autocollante à la main pour la cellule. Sitôt leur dos tourné, je colle et m'éclipse, ça nous a pris une bonne demi heure au total. Comme l'un, fier de son oeuvre, est repassé assez vite, il s'edt dit je suppose: Quoi déjà en panne! Son collègue arrive et ils cherchent, ils cherchent et finissent par trouver, on a pouffé tous les deux un bon moment... Tordus de clients!

Le Sat, 29 May 2010 18:56:08 +0200, jj a écrit :

maintenant ça existe tout fait dans les appareils photos jetables

gene

qu=E9

non, =E7a existe dans les Taser, et l=E0, y a pas photo, apr=E8s tu vois des =E9clairs ;-)

--

-Stan

On May 20, 5:38 pm, Stan

Je reviens sur ce sujet, bien que dans ce cas il ne s'agisse pas de d=E9tourner volontairement une protection : il y a quand meme bien eu une protection qui a =E9t=E9 d=E9tourn=E9e.

Ariane 5 d=E9truite en 40 secondes par quelques lignes de code 68000 !

Les syst=E8mes =E9taient redondants pour assurer plus de s=E9curit=E9, mais les deux syst=E8mes ont montr=E9 la meme d=E9faillance.

Rapport d=E9taill=E9 (PDF 15 Mo)

le samedi 10 juillet 2010 17:25, Jean-Christophe s'est penché sur son écritoire numérique et a écrit:

Avec deux systèmes, tu fais comment pour savoir voir celui qui dérive?

A+

On Jul 10, 7:13=A0pm, Philippe

| les deux syst=E8mes ont montr=E9 la meme d=E9faillance.

ive?

Je sugg=E8re la lecture du rapport de Levy, dont j'ai donn=E9 le lien :

Il existe bien des moyens d'impl=E9menter un check externe d'un hardware ou d'un software pour d=E9marrer celui qui doit le secourir en cas de probl=E8me.

L'ordinateur de secours de la centrale =E0 intertie #1 a bien pris le relais, mais ... le programme =E9tant le meme que le pr=E9c=E9dent, la meme erreur s'est reproduite.

( pas facile de d=E9bugger un d=E9passement de capacit=E9 d'une variable dans les 80000 lignes d=92ADA plus les 10000 lignes d=92assembleur MC68000 )

Le Sat, 10 Jul 2010 11:00:37 -0700, Jean-Christophe a écrit :

si on veut être rigoureux cela doit être deux développements indépendants sur du matériel différent. Si on double les équipements ...

Pour le ferroviaire (il y a longtemps : j'ai quitté en 1990) le développement était sur deux chaines différentes avec des jeux d'instructions réduits et 2 architectures différentes.

Mais là si ça marche pas : on arrête tout.

meme

pendants

De quels types d'=E9quipements parles-tu ?

--

-Stan

=E9critoire num=E9rique et a =E9crit:

ive?

Ce n'est pas possible. Il faut ajouter un troisi=E8me calculateur. Mais en cas de conflit, m=EAme si deux calculateurs indiquent la m=EAme r=E9ponse, cela ne signifie pas qu'ils aient "raison". Car nous savons que la majorit=E9 n'est pas une preuve absolue de v=E9racit=E9. On doit ajouter un quatri=E8me calculateur. Le probl=E8me est qu'on peut obtenir une parit=E9 avec 4 calculateurs, et qu'on ne saura pas quelle d=E9cision prendre dans ce cas. Un cinqui=E8me calculateur permet de lever le litige. C'est ce qui est utilis=E9 pour les navettes spatiales am=E9ricaines, sachant que des constructeurs et des =E9quipes de d=E9veloppements diff=E9rents sont choisi. Avec ce dispositif, la d=E9collage a d=E9j=E0 =E9t=E9 retard=E9 pour cause de discordance des calculateurs.

--

-Stan

On Jul 10, 11:34 pm, Stan

e?

Ca l'est parfois, lorsqu'on connait les bornes d'une variable on d=E9tecte une anomalie lorsque sa valeur est hors-bornes. Par exemple, si le syst=E8me indique une acc=E9l=E9ration de z=E9ro G, ou de 50000 G, alors on sait que quelque chose cloche. Mais il est vrai que ce sont des cas tr=E9s restreints.

Et meme, dans l'exemple d'un d=E9passement il reste possible que cela ne se produise que pour une valeur interm=E9diaire du calcul, mais que la valeur finale soit bien dans les limites, tout en =E9tant fausse ... et la d=E9tection est inop=E9rante.

Il y a aussi le probl=E8me inverse: la d=E9tection d'une erreur (alors que tout va bien) entrainant une action corrective, qui, elle, va causer une v=E9ritable erreur.

J'aime beaucoup cette phrase, elle est profonde. Elle pourrait qualifier bien d'autres syst=E8mes.

ive?

Ma r=E9ponse =E9tait un peu lapidaire en effet, car on parvient =E0 un bon compromis dans l'aviation avec une redondance =E0 2 syst=E8mes. Si j'y pense je regarderai lundi comment =E7a se passe sur certains avions militaires/civils.

J'ai lu r=E9cemment un document sur la gestion du domaine de vol des avions de chasse =E0 basse altitude : c'est vraiment complexe. Une anomalie ne se r=E9sume pas =E0 une valeur 'hors-borne' et l'aspect temporel intervient =E9galement, ce qui complique les choses.

En principe, les d=E9passements de bornes sont d=E9tect=E9s/=E9vit=E9s/supp= rim=E9s lors du d=E9veloppement logiciel, particuli=E8rement lors de la validation.

Pour le cas d'Ariane 5, il ont commis l'erreur de se passer de tests d'int=E9gration ( la validation sous syst=E8me =E9tant consid=E9r=E9 = OK pour Ariane 4).

Effectivement, dans tous les domaines, on pourrait trouver de nombreux exemples.

Mais =E7a me rappelle un souvenir de jeunesse : suite =E0 une interro =E0 l'=E9cole, nous =E9tions deux =E0 avoir un r=E9sultat diff=E9rent de l'ensemble des autres =E9l=E8ves. Grand moment de solitude, jusqu'=E0 la r=E9ception de la note. Ils s'=E9taient tous plant=E9s sur une question pi=E8ge.

Un historien anglais a dit : la foule a beaucoup de t=EAtes, mais... pas de cervelle ;-)

--

-Stan

On Jul 11, 12:32 pm, Stan

Dans le cas d'une acc=E9l=E9ration, le temps entre bien en compte.

pprim=E9s

=E9 OK

Pourtant d'apr=E9s le document de L=E9vy, l=92acc=E9l=E9ration horizontale d'Ariane 5 est 5 fois plus grande que celle d'Ariane 4. Un facteur 5, ca fait beaucoup !

Marrant, j'ai v=E9cu une histoire diff=E9rente mais comparable. A l'=E9cole primaire, notre instit nous avait demand=E9 pour le lendemain d'=E9crire une r=E9daction sur un sujet qui avait =E9t=E9 trait=E9 dans la journ=E9e. Le lendemain matin avant d'entrer en classe nous avons tous compar=E9 nos copies, et la trentaine d'=E9l=E8ves avait scrupuleusement recopi=E9 mot pour mot le cours de la veille ! J'=E9tais le seul =E0 avoir fait une r=E9daction. J'=E9tais pourtant certain d'avoir bien interpr=E9t=E9 ce qu'a dit l'instit= , mais quand on a tout le monde contre soi on finit par douter de tout. Finalement il s'agissait bien d'une r=E9daction, mais vu que tous (sauf un) =E9taient =E0 cot=E9 de la plaque, l'instit a d=E9cid=E9 de ne pas noter ce travail ... m'enfin !

Un Francais ( Montaigne si mes souvenirs sont bons ) a dit qu'il pr=E9f=E9rait =AB une tete bien faite plutot que bien pleine = =BB.

bonjour passage rapide basse altitude pleine PC ;o) Attention à ne pas confondre la redondance embarquée (les "capteurs" et "calculos" ) et correlation (technique du voteur) des informations capteurs traitées par des systemes non identiques volontairement integrés par construction.

Etant bien evident que dans la chaine des "acquisitions/traitements/actions" que je resume là simplement : allant des info capteurs aux actions finies, rien n'est jamais dupliqué à toutes les etapes.

Il y a toujours necessairement des compromis à faire !

"un capteur considéré" comme simplement utile et installé en une seule unité "qui merdoie un peu" ;o) mais qui est analysé à l'identique par x "calculos" ne renverra pas "d'anomalie de vote". Et pourtant s'il s'agit d'une info isolée ayant un interet sur les meme les "bords de la PID" (In fine la gestion des commandes de vol sur les aeronefs recents mils ou civils n'est que de la PID)

c'est toujours un dilemne de direction de conception (tous domaines confondus) que de choisir entre "mettre pas assez ou trop" ;o)

Rvl

le dimanche 11 juillet 2010 12:32, Stan s'est penché sur son écritoire numérique et a écrit:

Aucun système d'importance se contente de seulement deux systèmes. Dans tous les cas où la panne totale de la fonction pose un problème, cette fonction est triplée.

Si tu regardes les vieux système d'atterrissage tout temps, il y a un système de base autosurveillé capable d'annoncer un défaut, une surveillance des écarts de paramètres primaires et pour finir les yeux de l'équipage.

Si tu regardes un Airbus tout récent, c'est fait pareil sauf qu'il y a deux systèmes mais incapables de faire autre chose que de laisser la main a l'équipage dans le cas d'une simple panne. Le cas de la double panne est annoncé par les écarts de paramètres de base comme sur Caravelle.

Hors électronique, les commandes de vol anciennes sont sur la base de 3 système d'importance inégale. Pour les calculateurs des CDV, il y a 5 calculateurs sur a320, 2+3 en ordre d'importance.

A+

Le Sat, 10 Jul 2010 14:14:55 -0700, Stan a écrit :

les précisions me manquent mais c'était chez Jeumont-Schneider pour une partie du contrôle de vitesse (KVB je crois) pour le RER A dans les années 80.

e num=E9rique et a =E9crit:

Combien y a t-il de calculateurs centraux sur les Mirage 2000 ?

--

-Stan

=E9rive?

et

ule

Pour =E9viter les malentendu, il faut rappeler =E9galement que les contraintes de redondance sont tr=E8s diff=E9rentes dans l'avionique militaire et civile.

--

-Stan

le dimanche 11 juillet 2010 22:30, Stan s'est penché sur son écritoire numérique et a écrit:

Dans ces problèmes de comportement d'un système, il ne faut pas oublier que quelques soient les redondances, l'action humaine dans un mode basique reste toujours possible. Le dernier maillon, le plus inimitable reste l'homme.

Ce n'est pas de cas des fusées et le taux d'échec reste quand même important dès que l'homme n'a plus la possibilité d'intervenir dans l'action même.

ne

Le KVB vient de GEC Alsthom Transport. Il utilise le FIDARE (Fault Intensive Distribued Architecture for Real Time Environments) C'est une technique d'architecture et de codage qui consiste =E0 executer des r=E9pliques diff=E9rentes du m=EAme programme sur un ou plusieurs calculateurs.

--

-Stan