Explications

Alors que l’injection de fautes classique se concentre sur l’obtention de la r´eponse

du syst`eme processeur + programme en pr´esence d’un upset, la m´ethode d´evelopp´ee

dans ce manuscrit est plus g´en´erale : elle essaie de reproduire l’environnement auquel

est soumis le syst`eme lors du test sous radiation. L’obtention de la r´eponse du

syst`eme n’est qu’un produit de cet environnement.

Les deux m´ethodes utilisent le code CEU pour injecter la faute simulant un

upset. Alors que la m´ethode classique injecte une faute par ex´ecution du programme,

distribu´ee de mani`ere al´eatoire au cours de l’ex´ecution, notre mod`ele module la

probabilit´e d’apparition d’un upset par une distribution de Poisson : lors de certaines

ex´ecutions, aucune faute ne sera inject´ee, alors que pour d’autres 2 ou 3 fautes seront

inject´ees (`a la mani`ere de ce qui se passe sous radiations, ou aucun contrˆole n’est

possible sur l’instant d’apparition d’un upset).

Afin de clarifier notre explication, nous avons analys´e les traces temporelles

d’in-jection de fautes selon les deux m´ethodes. Le lecteur pourra se reporter `a la figure 5.4

o`u sont compar´ees les quantit´es de fautes inject´ees par ex´ecution selon les deux

mo-d`eles.

La quantit´e de fautes inject´ees par ex´ecution du programme est clairement

dif-f´erente dans les deux cas, ce qui explique pourquoi la m´ethode traditionnelle n’est

pas en mesure de reproduire les r´esultats obtenus sous radiations.

Nous pouvons constater que pour le programme de tri, lorsque le flux baisse les

valeurs obtenues sous radiations se rapprochent de celles obtenues par la m´ethode

classique. La figure 5.5 repr´esente le nombre de fautes inject´ees par ex´ecution lorsque

le flux est bas (10

3

particules par seconde).

L’explication est simple : lorsque le flux baisse, la quantit´e d’upsets apparaissant

par ex´ecution d´ecroˆıt aussi, de sorte que la situation «1 upset par ex´ecution »

devient pr´epond´erante. On se rapproche alors des conditions d’injection de fautes

de la m´ethode traditionnelle.

Pour le programme de multiplication de matrices, le flux ne semble pas influencer

les r´esultats. La raison est ´evidente : son temps d’ex´ecution est tr`es court (5.32ms,

`a comparer avec les 171.33 msdu programme de tri), et donc la quantit´e de fautes

inject´ees reste majoritairement dans le domaine [0 : 1] fautes par injection quel que

soit le flux.

5.4. Explications 111

0 20 40 60 80 100 120 140 0 2 4 6 8 10 Compte

Fautes injectées par exécutions

0 100 200 300 400 500 600 700 0 2 4 6 8 10 Compte

Fautes injectées par exécutions (Méthode classique)

Fig.5.4 – Programme de tri. Histogrammes repr´esentant le nombre d’injections par

ex´ecution selon les deux m´ethodes d’injection de faute. Pour le mod`ele pr´esent´e dans

ce manuscrit, un flux de 10

4

particules par seconde est appliqu´e.

0 500 1000 1500 2000 0 1 2 3 4 Compte

Fautes injectées par exécutions

Fig. 5.5 – Programme de tri. Histogramme repr´esentant le nombre d’injections par

ex´ecution selon le mod`ele pr´esent´e dans ce manuscrit, pour un flux de 10

3

particules

par seconde.

5.4. Explications 113

par particules) :

σ

dyn

= ^N

^exec

F ×

∞

X

i=0

τ

inj,i

× P

exec

(N

SEU

=i) (5.2)

o`uτ

_inj,i

est le taux d’erreur par ex´ecution en pr´esence dei injections par ex´ecution,

P

exec

(N

SEU

=i) est la probabilit´e qu’il y ait i SEU au cours d’une ex´ecution, N

exec

est le nombre d’ex´ecutions etF la fluence.P

exec

d´epend de la section efficace statique

σ, du flux utilis´e Φ et de la dur´ee d’une ex´ecution t

_exec

, et selon notre mod`ele est

donn´ee par :

P

exec

(N

SEU

=i) = ^e

σ_×Φ_×texec

×(σ×Φ×t

exec

)

i

i! ^(5.3)

Nous pouvons v´erifier que cette nouvelle formule d´epend `a la fois de la fluence et

du flux de l’exp´erience, de la section efficace du composant et de la dur´ee de

l’ex´ecu-tion du programme. Ces param`etres permettent de comparer de mani`ere pr´ecise les

r´esultats d’injection de faute `a un environnement quelconque de test sous radiation.

Dans la pratique, il n’est pas n´ecessaire de calculer la somme jusqu’`a l’infini. Les

probabilit´e P

exec

d´ecroissent relativement vite de sorte que l’on peut se limiter `a

quelques termes. Le rang i `a partir duquel on n´eglige les termes suivant reste `a la

discr´etion de l’exp´erimentateur.

Au terme de cette explication, nous nous posons la question de la

repr´esentati-vit´e du test sous radiations pour obtenir une estimation de la r´eponse du syst`eme

en pr´esence de SEU. En effet, si l’on se r´ef`ere au tableau 5.1, dans le pire cas, nous

pouvons nous attendre `a 2 upsets par jour. La probabilit´e pour que plusieurs upsets

viennent perturber le d´eroulement d’une ex´ecution est pratiquement nulle. D`es lors,

il nous semble inutile de quantifier la r´eponse du syst`eme en pr´esence de plusieurs

upsets par ex´ecution. Sous radiations, cela implique de r´eduire le flux jusqu’`a ce

que la probabilit´e P

exec

(N

_SEU

> 1) soit n´egligeable. Dans ces conditions, pour le

programme de tri avec une flux de 10

3

particules par seconde, nous notons que pour

1858 ex´ecutions du programme, environ 80 % des ex´ecutions ont ´et´e effectu´ees sans

qu’aucun upset n’apparaisse. Seulement 16 % des ex´ecutions ont ´et´e perturb´ees par

un upset, et les 4 % restant par 2 ou plus upsets. Pour l’injection de fautes, ces 16 %

repr´esentent 310 injections avec 1 injection par ex´ecution. Sachant que le nombre de

bits perturbables par les radiations est proche de 70000, et que l’ex´ecution d’un tri

dure plus de 3.4 10

6

cycles d’horloge, ces 310 upsets ne repr´esentent que 1.26 10

−7

%

de l’espace des fautes injectables. Autrement dit, la couverture de fautes lorsque

le flux est ajust´e de mani`ere `a respecter l’environnement final de l’application sera

forc´ement faible (ou le temps «faisceau»tr`es ´elev´e).

Si la sensibilit´e du composant et l’environnement final de l’application sont tels

que la probabilit´e d’avoir plus d’un upset par ex´ecution est n´egligeable, l’injection

de fautes `a une faute par ex´ecution est bien plus «rentable». Elle permet une

cou-verture des fautes possibles bien plus grande.

Cependant, le test sous radiations reste«l’´etalon». Il faut donc ˆetre en mesure

de comparer les r´esultats d’injection de fautes `a cette r´ef´erence. A cette fin, nous

pouvons utiliser la formule 5.2. Les P

exec

´etant donn´es par les param`etres du test

sous radiation, reste `a d´eterminer les τ

inj,i

. Faut il conduire des injections de fautes

avec 1, 2 ou plus injections de faute par ex´ecutions ? Nous proposons dans la suite

une m´ethode approximative pour d´eterminer les τ

inj,i

, connaissant τ

inj,1

.

Dans le document INJECTION DE FAUTES SIMULANT LES EFFETS DE BASCULEMENT DE BITS INDUITS PAR RADIATION (Page 135-139)