Aller au contenu

S11 — Watchdog matériel + audit des bugs temporels longue durée

Répond à : P17 (figeage, bugs temporels)

Principe

Watchdog matériel

Un watchdog matériel indépendant reboote l'autopilote figé s'il cesse de « donner signe de vie » dans un délai imparti.

Audit des bugs temporels

Un audit systématique des risques temporels longue durée — tout ce qui peut casser après des semaines de fonctionnement continu et que des tests courts ne révèlent pas :

  • Débordement de millis() / compteurs
  • Taille et rotation des logs
  • Usure/corruption de la flash
  • Dérive d'horloge

Faisabilité (équipe étudiante)

Élevée

  • Un watchdog est un composant classique (timer externe ou MCU dédié)
  • L'audit de code est du ressort direct d'EPITA

Matériel / composants

  • Circuit watchdog : timer externe type TPL5010, ou le MCU superviseur de S10 (qui assure aussi cette fonction)
  • Relais de coupure/redémarrage d'alimentation

Coût estimatif

5–30 € (le watchdog peut être mutualisé avec le superviseur S10).

Avantages / Inconvénients / Risques

Avantages

  • Rattrape un grand nombre de plantages logiciels
  • Bon marché

Inconvénients

  • Un reboot ne corrige pas un bug de logique (il faut S10/S13 pour cela)

Risques

  • Boucle de reboot si la panne est permanente → prévoir une stratégie de limp mode après N reboots

Exemples & sources

  • Pinta 2010 : « l'ordinateur principal aurait défailli » → bateau perdu
  • Problème connu de corruption de carte SD sous alimentation instable sur ArduPilot/Pixhawk
  • Audit des compteurs millis() recommandé par le dossier interne