Modalità di guasto da considerare:

• Surriscaldamento. Ciò modifica le proprietà di temporizzazione del chip e alla fine genera un errore. Questo può manifestarsi come errori a bit singolo nel mezzo di operazioni apparentemente normali; alla fine si bloccherà, ma prima potrebbe produrre dati non validi.
• Danni causati dall'acqua. Si manifesta come una resistenza parassita sulla lavagna e può farti interpretare erroneamente i bit alti o bassi. Possono essere presenti perdite negli alloggiamenti, condensa, ecc.
• Interferenza elettromagnetica. (Il sistema dovrebbe resistere a questo, ma vale comunque la pena pensarci).
• Problemi di connessione fisica. O durante la costruzione (difetti di saldatura) o indotti successivamente (calore, vibrazioni). Le crepe microscopiche nei pannelli o nei giunti possono superare il QA, ma provocare guasti intermittenti. Anche in questo caso questo può farti perdere un po 'alla volta. Ciò è correlato al problema dell '"anello rosso della morte" di Xbox.
• Guasto di altri componenti. I condensatori sono il solito sospetto; elettrolitico, tantalio, ceramica hanno tutti diversi modi di guasto. Anche in questo caso, questo può risultare in un sistema che principalmente funziona ma è incline a interpretare erroneamente i valori marginali o soffre di deriva temporale.
• Scienza dei materiali strana ( "Purple plague", baffi di stagno a causa della saldatura senza piombo)
• La parte QA potrebbe non essere all'altezza degli standard previsti (i fornitori spediscono parti inferiori con un'etichetta fasulla "grado aerospaziale"). Difficile da rilevare anche dopo che è accaduto.

È importante riconoscere che nei sistemi digitali ad alta velocità non si ottengono "uno" e "zero" puliti, si ottiene una serie di bordi di salita e discesa che sono macchiati dalla capacità parassita e dall'induttanza del cablaggio. Questo è intrinsecamente vulnerabile a essere interpretato male in condizioni elettriche marginali.

Come sottolineato da un'altra risposta: una CPU può fallire. O parzialmente (dando risposte errate), o totalmente.

Inoltre tutti i computer sono soggetti a radiazioni cosmiche che possono occasionalmente capovolgere un po 'nella memoria (oltre ad altre fonti di errore come il cortocircuito,. ..). Ecco perché esperimenti scientifici e server di lunga durata utilizzano la memoria ECC. Le astronavi utilizzano anche specifiche CPU rinforzate per limitare questo effetto poiché sono meno schermate da tali interferenze. Gli aerei volano ad altitudini elevate. e sono soggetti a più di queste interferenze rispetto al tuo computer terrestre.

Anche se l'evento che si verifica è molto raro (ma non inaudito), DEVI assicurarti che i risultati siano accurati al 100%. Un po 'capovolto potrebbe cambiare il comportamento del tuo aereo in modi imprevedibili, come invertire i controlli, invertire la legge sulla protezione dell'inviluppo di volo, ...

Perché i computer di volo critici sono ridondanti?

Software

Un punto che è stato perso è che i sistemi ridondanti sono spesso progetti indipendenti, soprattutto il software. Questo protegge da errori di progettazione (o bug del software) che potrebbero altrimenti causare problemi in combinazioni di circostanze che si verificano raramente.

Hardware

Anche se un microprocessore è altamente affidabile, ci sono un certo numero di fattori che possono essere rilevanti

• gli aerei volano ad alta quota dove l'atmosfera fornisce meno protezione contro i raggi cosmici. Ciò non solo influisce sulla salute dell'equipaggio, ma ha il potenziale di interferire con i dispositivi elettronici.
• I sistemi avionici sono composti da più di semplici microprocessori, ci sono sicuramente anche altri dispositivi più soggetti a guasti, come i condensatori. Esistono innumerevoli modi in cui l'elettronica può fallire, ad es. guasto della messa a terra indotto da vibrazioni che porta a interferenze sulle linee dati (ad esempio da sensori analogici).

Non ho mai sentito parlare di microprocessori che si guastano improvvisamente.

Affidabilità ≠ Sicurezza

• Molti incidenti si verificano senza alcun "guasto" dei componenti
  
  • Causato dalle apparecchiature funzionamento al di fuori dei parametri e dei limiti di tempo su cui si basano le analisi di affidabilità.
  • Causato da interazioni di componenti che funzionano tutti secondo le specifiche.
  • Componenti altamente affidabili non sono necessariamente sicuri

^{Da Nancy Leveson, MIT, tramite UCSD}

So che questa domanda ha già ricevuto una manciata di risposte, ma nessuna sembra affrontare il problema del perché ci sono tre sistemi nell'insieme ridondante, anziché solo due.

Prima di tutto, come è stato sottolineato da Simon, Jan Hudec e RedGrittyBrick, i design non sono affatto identici. In effetti, sono spesso completamente diversi per un'ottima ragione: la probabilità che un dato problema influisca su tutti i sistemi ridondanti, e specialmente influenzi tutti i sistemi ridondanti allo stesso modo, va da "piccolo" a "assolutamente minuscolo che rasenta l'inesistente". Confronta Quanto sono dissimili i computer per il controllo di volo ridondanti?

Secondo, sul perché ci sono tre sistemi in ciascuna configurazione ridondante. Quando tutto funziona correttamente e l'aereo è in volo costante, per un certo valore e un dato set di input, tutti i sistemi segnalano che è necessaria una correzione di 0 (di qualsiasi unità). A questo punto non ci sono problemi ei computer servono solo a mantenere lo stato attuale. Ora, uno dei sistemi componenti non riesce a svolgere correttamente il proprio lavoro per qualsiasi motivo e inizia a segnalare che è necessaria una correzione di +50 unità. Ovvero, l'insieme delle risposte cambia da [0,0,0] a [0,0, + 50]. Due sistemi sono d'accordo e il terzo riporta qualcos'altro, quindi possiamo probabilmente ignorare in sicurezza il valore anomalo e andare con i due sistemi che riportano lo stesso: considera il risultato come [0,0, errato] e ignora il risultato errato durante la registrazione dei dettagli tecnici e mostrando una sorta di avvertimento evidente che i sistemi devono essere esaminati al più presto. Ma cosa succederebbe se all'inizio avessimo solo due sistemi e uno dei due fallisse allo stesso modo? La correzione determinata necessaria va da [0,0] a [0, + 50]. Veloce adesso: quale valore è corretto? Dovresti mantenere lo stato o correggere entro +50?

A quel punto, non c'è modo di sapere se la correzione di 0 o +50 è la linea di condotta corretta. Potresti prendere una media, ma usare una media di due numeri (uno dei quali probabilmente non è corretto) potrebbe effettivamente essere peggiore di entrambi i valori da solo.

Aggiungendo un terzo sistema al set ridondante, si aggiunge un tie breaker per la situazione in cui è presente un sistema malfunzionante. Solo se due dei tre sistemi iniziano a funzionare male allo stesso tempo si ha un problema reale, e se l'aereo ha problemi tali che due sistemi ridondanti su tre forniscono uscite errate, è probabile che tu abbia dei seri problemi con .

La maggior parte delle risposte ha ruotato attorno al potenziale di errori hardware del computer e cose del genere. Sebbene tutto ciò sia vero, nessuno ha menzionato ciò che i computer stanno effettivamente guardando.

Supponiamo che ti stia avvicinando, ti stai preparando per fare un autoland CAT III e hai solo due sistemi di computer. Entrambi i sistemi informatici confrontano i sistemi di radioaltimetro n. 1 e n. 2. Solo c'è un malfunzionamento con uno dei sistemi di radioaltimetro che causa una discrepanza di qualche valore arbitrario che non rientra nei limiti.

Come fa il computer a sapere quale è sbagliato? Un computer guarda il sistema radioaltimetro n. 1 e vede 500 piedi. L'altro guarda il sistema n. 2 e vede 1000 piedi. Quale è giusto e quale è sbagliato? Come potrebbe il computer prendere questa decisione?

Inserisci il terzo computer. Se il valore di ciò che vede è commiserato con quello di uno qualsiasi degli altri due computer, può effettivamente "votare" la lettura non valida "fuori dall'isola".

Dovrei notare che la maggior parte di questi computer ha da due a quattro processori che confrontano i propri risultati. Questa è la ridondanza INTERNA per evitare guasti hardware, ma avere numerosi confronti incrociati di sistemi esterni è in gran parte la ragione per cui esiste un terzo sistema.

Nota: in qualità di meccanico A&P, 9 volte su 10 è uno dei sistemi esterni che si è guastato (radioaltimetro, miscomparare MMR / ILS, ecc ...) che causa un degrado delle capacità - NON il computer stesso.

I computer si guastano, spontaneamente, continuamente. Non ci sei abituato perché non hai usato molti computer. Ma considera qualcuno come Google, che gestisce enormi data center contenenti migliaia di computer. Il software che esegue Google è progettato intorno al presupposto esplicito che i computer non funzionino perché accade più volte al giorno. Ora, un aereo non contiene molti computer, ma quelli che contiene sono fondamentali per la sicurezza. Quindi vengono duplicati per assicurarsi che il loro fallimento non causi problemi.

Se guardiamo a questo da un punto di vista strettamente ingegneristico, i microprocessori come qualsiasi altra cosa hanno un ciclo di vita. In generale è molto lungo e il PC da cui lo stai postando molto probabilmente sarà obsoleto molto prima che arrivi il ciclo di vita. Sebbene un microprocessore non abbia parti mobili, riceve input da vari sensori. Posso solo presumere che gli ingressi siano fusi in qualche modo, ma ciò non significa che i picchi siano completamente eliminati e isolati se si verificano. Per quello che vale, anche picchi relativamente piccoli friggeranno un microprocessore. Tenendo presente questo, per errare sul lato della cautela vengono utilizzati più sistemi. Con le dimensioni sempre più ridotte della tecnologia è diventato più facile ed economico trasportare un ricambio, quindi dal punto di vista delle vendite la tranquillità è lì. Anche in questo caso è meglio averlo e non usarlo che non averlo quando ne hai bisogno.

Per rispondere direttamente alla tua domanda, mi occupo di microprocessori, microcontrollori e simili da molto tempo. In quel periodo ho avuto forse due o tre fallimenti spontanei, di solito legati al caldo. In un aereo questo potrebbe non sembrare un problema, ma in realtà il freddo estremo può causare problemi oltre al caldo estremo quando si tratta di elettronica. Detto questo, ho tostato innumerevoli unità colpendole con input sovraccarichi. Diciamo che il tuo aereo è stato colpito da un fulmine (so che le compagnie aeree moderne sono protette da questo) ma per amor di discussione diciamo che un terreno era cattivo: questo brinderebbe facilmente a un'unità.

Nota a margine: oggigiorno è più comune che i chip / le unità di memoria si guastino. Questo è qualcosa che potresti non sapere mai poiché la maggior parte dei computer moderni può gestire la memoria morta sia nel disco che nella memoria di sistema.

Su una ridondanza specifica, l ' ambiente di installazione di questi sistemi è probabilmente il fattore più importante. Non solo molti sistemi sono stipati strettamente insieme in spazi ristretti, ma spesso il flusso d'aria è molto limitato. Il calore è un grande distruttore di molti microprocessori. Anche gli aeroplani vibrano, molto, a causa dei motori in rotazione, delle turbolenze in volo e del semplice atterraggio. Giunti di saldatura scadenti e lavori di crimpatura sub-par o un guscio posteriore del connettore allentato e hai una cattiva connessione, o peggio, una intermittente .

Sulla ridondanza in generale, se tu sperimentare un BSOD al lavoro, in confronto non è un grosso problema. Potresti aver perso il documento su cui stavi lavorando, ma questo è tutto. Se i sistemi degli aerei si spengono, hai un vero problema. È difficile da ottenere, ma la ridondanza c'è perché la vita di centinaia di persone fa affidamento su di essa .

La possibilità di guasto del processore è davvero molto bassa, ma non pari a zero. In caso di guasto del processore, cosa succede durante il tempo di transizione tra guasto e piena funzionalità dopo il riavvio? Con un evento raro come questo, potremmo mai accumulare abbastanza esperienza per essere sicuri di aver testato in tutte le circostanze? Stiamo parlando di < $ 10 ^ {- 9} $ numeri qui.

I backup sono soggetti a errori nascosti. Il backup normalmente non viene utilizzato e viene acceso solo quando necessario, ma ha qualcosa arrugginito o ha uno stampo funky annidato in un punto caldo confortevole e causa un cortocircuito dopo l'attivazione? Murphy perseguita ancora le applicazioni aerospaziali. Il backup può essere testato prima del decollo, ma cosa succede se si allenta e il processore principale si guasta? Le possibilità sono scarse, ma oggigiorno tutti gli incidenti gravi sono causati da stringhe improbabili di eventi come questo.

La ridondanza è utile perché dimostra continuamente che i dispositivi principali funzionano correttamente e viene utilizzata per circostanze critiche di volo . I sistemi di backup possono essere utilizzati se è possibile fare a meno del dispositivo principale o se è garantito che il backup funzionerà sempre, come l'attivazione manuale dei controlli di volo.

Un pilota automatico in crociera non lo è volo critico e può essere disconnesso senza gravi conseguenze. In un atterraggio CAT III in cui la pista può essere osservata solo una volta che ci si guida, sono assolutamente vitali. Non vuoi che l'autopilota si disconnetta a 10 metri sopra la pista, nessuna visibilità, vento laterale rafficato: non c'è tempo per attivare il backup.

Se un microprocessore è surriscaldato o sovraccarico e si guasta spontaneamente, mi aspetterei che smetta di fare qualsiasi cosa e non produca alcun output.

Hai mai overcloccato una CPU o guardato un vecchio pezzo di hardware muore? Puoi ottenere tutti i tipi di strani artefatti mentre la cpu è ancora in esecuzione.

In un aereo, la sicurezza è più importante di qualsiasi altro fattore (dopo di che arriva il peso ottimale per l'efficienza del carburante e il costo complessivo è il terzo). Se l'aereo non fosse al sicuro, non volerebbe abbastanza gente e l'industria aerea crollerebbe. Ecco perché ci sono regolamenti FAA, ed è per questo che ci sono così tante regole per le compagnie aeree. (il controllo di sicurezza aeroportuale è un altro argomento, relativo alla sicurezza nazionale / politica con immigrazione, ecc., quindi quando diciamo "sicurezza" dell'aereo, intendo ingegneristico)

Sistemi critici a bordo (es. sistemi necessari per far volare l'aereo) avranno bisogno di ridondanza. Come il bruciatore del motore a reazione ha 2 accenditori, anche se uno è sufficiente. Inoltre, se un motore si guasta, l'altro motore può far volare l'aereo e il computer compenserà lo squilibrio di forza sinistra / destra. Molti sistemi dell'aereo si basano sul computer, quindi deve avere un "piano b" (la ridondanza è uno dei "piano b")

Perché, nonostante la teoria sia buona, la realtà è che non tutti i componenti del computer sono uguali.

Un esempio specifico dei primi anni '90: Intel ha prodotto la CPU 486/33 (era piuttosto all'avanguardia e incredibilmente veloce per la giornata). La maggior parte ha lasciato la fabbrica senza problemi, ma alcuni avevano un bug esoterico nell'FPU che avrebbe generato risposte errate. Le riviste del giorno erano piene di calcoli che potresti inserire nel tuo foglio di calcolo che produrrebbe X se la tua CPU fosse buona, o Y se avesse il bug.

Se il tuo aereo funziona con uno dei le CPU difettose in esso, e solo il giusto set di dati viene raccolto e inserito in uno qualsiasi dei programmi di controllo di volo e si imbatte in questo bug della FPU, sarai felice che le altre due CPU abbiano calcolato il valore corretto e calciato il uno errante fuori dal giro.