Je considère que le chiffre 5 correspond au niveau de redondance optimal d’un système dont une panne pourrait entrainer des conséquences fâcheuses, pourvu que la réparation des unités défaillantes puisse être effectuée. Dédions deux unités simultanément fonctionnelles pour se contre-vérifier, une troisième unité pour la redondance à chaud, une quatrième unité en maintenance ou en réparation et une cinquième unité qu’on laisse en stock. L’unité en réparation va rejoindre l’unité en stock lorsqu’elle est réparée ou ajustée.
Évidemment, on peut étirer ce chiffre pour rajouter de la sécurité, mais de manière générale, ce type de quintuple système permet un niveau de fiabilité du système de 99,9999 %.
De fait, en cas de divergence importante entre les deux systèmes en fonction, le troisième vient trancher le litige en comparant sa lecture aux deux autres et en désactivant celui qui obtient la plus grande marge d’erreur. Cette unité s’en va se faire réparer tandis que l’une des unités en stock prend la place de l’unité de remplacement à chaud qui a permis de détecter laquelle des deux unités de base était défaillante. Et il reste toujours une unité en stock advenant le bris d’une autre unité.
Même avec deux unités en réparation, il reste toujours l’unité de remplacement à chaud pour subvenir à une défaillance.
Et s’il n’en reste que 2, ils peuvent encore se contre-vérifier pourvu qu’un diagnostic puisse être effectué pour trouver quelle unité entre les deux aurait éventuellement un comportement anormal.
Et s’il ne reste qu’une seule unité, le système est encore opérationnel jusqu’à la panne de cette dernière.
En considérant que les unités peuvent être réparées, il est virtuellement impossible qu’elles flanchent toutes avant que l’une d’entre elles ne soit remise en fonction.
Mais il existe des cas de figure où cette possibilité pourrait survenir, par exemple lors d’un sursaut gamma de forte amplitude ou simplement une éjection solaire très violente de particules alpha.
Certaines étoiles, certains trous noirs, étoiles à neutrons ou cœurs de galaxies peuvent émettre un rayonnement gamma de puissance extrême. Si ce rayon est dirigé vers nous, il peut griller n’importe quel appareil électronique alimenté ou non.
On connait peu de ripostes pour contrer les bouffées d’énergie gamma très pénétrantes. Une cloison en plomb, un épais mur d’eau peuvent faire l’affaire, mais l’énorme poids de ces systèmes les disqualifie. On préfère alors se fier à la chance et rester vulnérable en espérant que rien de tel ne surviendra.
Les Boeing 737 MAX 8 qui se sont écrasés n’avaient pas de troisième capteur pour trancher un litige entre les deux situés au bout des ailes. On connait les conséquences désastreuses de ce design à rabais. Pire, les deux capteurs ne se contre-vérifient pas. Un seul capteur défectueux peut entrainer la chute de l’avion.
Je me demande comment se sent aujourd’hui l’individu qui a pris la décision d’opter pour ce système alors que forcément d’autres ingénieurs devaient le supplier d’ajouter de la contre-vérification et de la redondance.
S’il a empoché son boni, sa conscience est peut-être sauve. N’a-t-il pas été récompensé pour avoir fait économiser de l’argent à la compagnie ? Une récompense, ça ne peut pas signifier une mauvaise chose !
Cher individu corrompu, tu peux dormir sur tes deux oreilles, mais de grâce, ne te réveille plus !
Mathis A. LeCorbot 
À travers les branches, comme on dit,
via quelqu’un qui a travaillé pour…
Pour Boeing, il fallait sortir au plus vite une VERSION IMPARFAITE du Max
dès les shows de Farnborough et du Bourget
pour contrecarrer l’avion le plus avancé au monde
qui venait d’être officiellement qualifié. Je parle du Airbus 220.
Ex CSérie de Bombardier qui a 25 ans d’avance sur Boing Boing.
Et franchement sur Airbus aussi.
J’aimeAimé par 1 personne