Raggi cosmici: qual è la probabilità che influenzino un programma?

Ancora una volta sono stato in una revisione del design e ho riscontrato l'affermazione secondo cui la probabilità di un particolare scenario era "inferiore al rischio di raggi cosmici" che colpisce il programma e mi è venuto in mente che non avevo la più pallida idea di cosa la probabilità è.

"Dal momento che ^2-128 è 1 su 340282366920938463463374607431768211456, penso che siamo giustificati nel prendere le nostre possibilità qui, anche se questi calcoli sono ridotti di un fattore di qualche miliardo ... Siamo molto più a rischio per i raggi cosmici per credetemi, credo. "

Questo programmatore è corretto? Qual è la probabilità che un raggio cosmico colpisca un computer e influisca sull'esecuzione del programma?

Da Wikipedia :

Gli studi condotti da IBM negli anni '90 suggeriscono che i computer presentano in genere un errore indotto da raggi cosmici per 256 megabyte di RAM al mese. ^[15]

Ciò significa una probabilità di 3,7 × ^10-9 per byte al mese o 1,4 × ^10-15 per byte al secondo. Se il programma viene eseguito per 1 minuto e occupa 20 MB di RAM, la probabilità di errore sarebbe

                 60 × 20 × 1024²
1 - (1 - 1.4e-15)                = 1.8e-6 a.k.a. "5 nines"

Il controllo degli errori può aiutare a ridurre le conseguenze del fallimento. Inoltre, a causa delle dimensioni più compatte dei chip, come commentato da Joe, il tasso di fallimento potrebbe essere diverso da quello che era 20 anni fa.

Apparentemente, non insignificante. Da questo articolo di New Scientist , una citazione da una domanda di brevetto Intel:

"Si sono verificati arresti anomali del computer indotti da raggi cosmici e si prevede che aumentino con frequenza man mano che i dispositivi (ad esempio i transistor) diminuiscono di dimensioni in chip. Si prevede che questo problema diventerà un importante limitatore dell'affidabilità del computer nel prossimo decennio."

Puoi leggere il brevetto completo qui .

Nota: questa risposta non riguarda la fisica, ma gli errori di memoria silenziosa con moduli di memoria non ECC. Alcuni errori possono provenire dallo spazio e altri - dallo spazio interno del desktop.

Esistono diversi studi sugli errori di memoria ECC su server farm di grandi dimensioni come cluster CERN e data center di Google. L'hardware di classe server con ECC è in grado di rilevare e correggere tutti gli errori a singolo bit e rilevare molti errori multi-bit.

Possiamo supporre che ci siano molti desktop non ECC (e smartphone mobili non ECC). Se controlliamo i documenti per i tassi di errore correggibili ECC (bitflip singoli), possiamo conoscere il tasso di corruzione della memoria silenziosa sulla memoria non ECC.

• Studio su larga scala del CERN 2007 "Integrità dei dati" : i fornitori dichiarano " Tasso di errore bit di ^10-12 per i loro moduli di memoria ", " un tasso di errore osservato è di 4 ordini di grandezza inferiore al previsto ". Per le attività ad alta intensità di dati (8 GB / s di lettura della memoria) ciò significa che può capovolgere un singolo bit ogni minuto ( ^10-12 BER fornitori) o una volta ogni due giorni ( ^10-16 BER).

• L'articolo di Google "Errori di DRAM allo stato brado: uno studio sul campo su larga scala" del 2009 afferma che possono esserci fino a 25000-75000 FIT a un bit per Mbit ( guasti nel tempo per miliardo di ore ), che equivale a 1 - 5 bit errori all'ora per 8 GB di RAM dopo i miei calcoli. Lo stesso documento afferma: " tassi di errore corretti medi di 2000–6000 per GB all'anno ".

• Rapporto Sandia del 2012 "Rilevazione e correzione della corruzione silenziosa dei dati per il calcolo ad alte prestazioni su larga scala" : "il doppio bit era ritenuto improbabile" ma al denso Cray XT5 di ORNL sono "al ritmo di uno al giorno per oltre 75.000 DIMM" con ECC. E gli errori a bit singolo dovrebbero essere più alti.

Quindi, se il programma ha un set di dati di grandi dimensioni (diversi GB) o ha un'elevata velocità di lettura o scrittura della memoria (GB / se più) e funziona per diverse ore, possiamo aspettarci fino a diversi lanci di bit silenziosi sull'hardware del desktop. Questa velocità non è rilevabile dal memtest e i moduli DRAM sono buoni.

I cluster lunghi vengono eseguiti su migliaia di PC non ECC, come il grid computing su Internet di BOINC avrà sempre errori dovuti a salti di memoria e anche a errori silenziosi del disco e della rete.

E per macchine più grandi (10 mila server) anche con protezione ECC da errori a bit singolo, come vediamo nel rapporto di Sandia del 2012, ci possono essere capovolgimenti a doppio bit ogni giorno, quindi non avrai alcuna possibilità di eseguire parallelismi a grandezza naturale programma per diversi giorni (senza checkpoint regolari e riavvio dall'ultimo checkpoint valido in caso di doppio errore). Le enormi macchine avranno anche bit-flip nella loro cache e nei registri della cpu (trigger sia di architettura che di chip interni, ad esempio nel datapath ALU), perché non tutti sono protetti da ECC.

PS: Le cose andranno molto peggio se il modulo DRAM è difettoso. Ad esempio, ho installato la nuova DRAM nel laptop, che è morto diverse settimane dopo. Ha iniziato a dare molti errori di memoria. Cosa ottengo: il laptop si blocca, si riavvia Linux, esegue fsck, trova errori sul filesystem di root e dice che vuole fare il riavvio dopo aver corretto gli errori. Ma ad ogni riavvio successivo (ne ho eseguiti circa 5-6), nel filesystem di root sono ancora presenti errori.

Wikipedia cita uno studio di IBM negli anni '90 che suggerisce che "i computer presentano in genere un errore indotto da raggi cosmici per 256 megabyte di RAM al mese". Purtroppo la citazione era per un articolo su Scientific American, che non forniva ulteriori riferimenti. Personalmente, trovo che quel numero sia molto alto, ma forse la maggior parte degli errori di memoria indotti dai raggi cosmici non causa alcun problema reale o evidente.

D'altra parte, le persone che parlano di probabilità quando si tratta di scenari software in genere non hanno idea di cosa stiano parlando.

Bene, apparentemente i raggi cosmici hanno causato il malfunzionamento dell'elettronica delle auto Toyota, quindi direi che la probabilità è molto alta :)

I raggi cosmici stanno davvero causando guai a Toyota?

Con ECC è possibile correggere gli errori a 1 bit dei raggi cosmici. Al fine di evitare il 10% dei casi in cui i raggi cosmici causano errori a 2 bit, le celle ECC sono in genere interlacciate su chip, quindi non ci sono due celle una accanto all'altra. Un evento di raggio cosmico che colpisce due cellule comporterà quindi due errori correggibili a 1 bit.

Stati del sole: (Codice 816-5053-10 aprile 2002)

In generale, gli errori soft dei raggi cosmici si verificano nella memoria DRAM con una frequenza compresa tra ~ 10 e 100 FIT / MB (1 FIT = 1 guasto del dispositivo in 1 miliardo di ore). Pertanto, un sistema con 10 GB di memoria dovrebbe mostrare un evento ECC ogni 1.000 a 10.000 ore e un sistema con 100 GB dovrebbe mostrare un evento ogni 100 a 1.000 ore. Tuttavia, questa è una stima approssimativa che cambierà in funzione degli effetti sopra descritti.

Gli errori di memoria sono reali e la memoria ECC aiuta. La memoria ECC correttamente implementata correggerà gli errori a singolo bit e rileverà gli errori a doppio bit (arrestando il sistema se viene rilevato un errore del genere). È possibile vedere da come le persone si lamentano regolarmente di ciò che sembra essere un problema software che viene risolto eseguendo Memtest86 e scoprire brutti ricordi. Ovviamente un fallimento transitorio causato da un raggio cosmico è diverso da un pezzo di memoria costantemente in errore, ma è rilevante per la domanda più ampia di quanto dovresti fidarti che la tua memoria funzioni correttamente.

Un'analisi basata su una dimensione residente di 20 MB potrebbe essere appropriata per applicazioni banali, ma i sistemi di grandi dimensioni dispongono abitualmente di più server con grandi memorie principali.

Link interessante: http://cr.yp.to/hardware/ecc.html

Purtroppo il link Corsair nella pagina sembra essere morto.

Questo è un vero problema ed è per questo che la memoria ECC viene utilizzata nei server e nei sistemi integrati. E perché i sistemi di volo sono diversi da quelli terrestri.

Ad esempio, si noti che le parti Intel destinate ad applicazioni "integrate" tendono ad aggiungere ECC al foglio delle specifiche. A Bay Trail manca un tablet, poiché renderebbe la memoria un po 'più costosa e probabilmente più lenta. E se un tablet si blocca un programma ogni volta in una luna blu, all'utente non importa molto. Il software stesso è comunque molto meno affidabile dell'HW. Ma per gli SKU destinati all'uso in macchinari industriali e automobilistici, ECC è obbligatorio. Da qui, ci aspettiamo che il SW sia molto più affidabile e che gli errori causati da sconvolgimenti casuali sarebbero un vero problema.

I sistemi certificati secondo IEC 61508 e standard simili di solito hanno sia test di avvio che controllano che tutta la RAM sia funzionante (nessun bit bloccato a zero o uno), sia la gestione degli errori in fase di esecuzione che tenta di recuperare da errori rilevati da ECC, e spesso anche attività di scrubber di memoria che attraversano e leggono e scrivono continuamente memoria per assicurarsi che vengano notati eventuali errori che si verificano.

Ma per il software per PC tradizionale? Non un grande affare. Per un server di lunga durata? Utilizzare ECC e un gestore degli errori. Se un errore irreversibile uccide il kernel, così sia. Oppure si diventa paranoici e si utilizza un sistema ridondante con esecuzione di blocco in modo che se un core viene danneggiato, l'altro può subentrare mentre il primo core si riavvia.

Se un programma è critico per la vita (ucciderà qualcuno se fallisce), deve essere scritto in modo tale da essere sicuro per il fallimento o ripristinarsi automaticamente da tale fallimento. Tutti gli altri programmi, YMMV.

Le toyotas ne sono un esempio. Dite quello che volete su un cavo dell'acceleratore, ma è non è un software.

Vedi anche http://en.wikipedia.org/wiki/Therac-25

Una volta ho programmato dispositivi che volavano nello spazio, e poi tu (presumibilmente, nessuno mi ha mai mostrato alcun documento a riguardo, ma si diceva che fosse una conoscenza comune nel settore) puoi aspettarti che i raggi cosmici inducano continuamente errori.

"eventi di raggi cosmici" sono considerati avere una distribuzione uniforme in molte delle risposte qui, questo potrebbe non essere sempre vero (cioè supernova). Sebbene "raggi cosmici" per definizione (almeno secondo Wikipedia) proviene da esterno spazio, ritengo sia giusto anche includere locali tempeste solari (alias espulsione di massa coronale sotto lo stesso ombrello. Ritengo che possa causare più bit per capovolgere entro un breve periodo di tempo, potenzialmente sufficiente per corrompere anche la memoria abilitata ECC.

È noto che le tempeste solari possono causare un po 'di caos con i sistemi elettrici (come l' interruzione di corrente del Quebec nel marzo 1989 ). È molto probabile che anche i sistemi informatici possano essere interessati.

Circa 10 anni fa ero seduto proprio accanto a un altro ragazzo, eravamo seduti con ciascuno dei nostri computer portatili, era in un periodo con un tempo solare piuttosto "burrascoso" (seduto nell'Artico, potevamo osservare questo indirettamente - un sacco di aurora boreale per essere visto). Improvvisamente - nello stesso istante - entrambi i nostri laptop si sono schiantati. Stava eseguendo OS X e io stavo eseguendo Linux. Nessuno di noi è abituato all'arresto anomalo dei laptop: è una cosa abbastanza rara su Linux e OS X. È possibile escludere più o meno bug di software comuni dal momento che eravamo in esecuzione su diversi sistemi operativi (e non è successo durante un salto secondo). Sono arrivato ad attribuire quell'evento alla "radiazione cosmica".

In seguito, la "radiazione cosmica" è diventata uno scherzo interno al mio posto di lavoro. Ogni volta che succede qualcosa con i nostri server e non riusciamo a trovare alcuna spiegazione, attribuiamo scherzosamente l'errore alla "radiazione cosmica". :-)

Più spesso, il rumore può danneggiare i dati. I checksum sono usati per combattere questo a molti livelli; in un cavo dati c'è in genere un bit di parità che viaggia lungo i dati. Ciò riduce notevolmente la probabilità di corruzione. Quindi, ai livelli di analisi, i dati senza senso vengono in genere ignorati, quindi anche se un po 'di corruzione superasse il bit di parità o altri checksum, nella maggior parte dei casi verrebbero ignorati.

Inoltre, alcuni componenti sono schermati elettricamente per bloccare il rumore (probabilmente non i raggi cosmici).

Ma alla fine, come hanno detto gli altri risponditori, c'è il bit o il byte occasionale che viene confuso, ed è lasciato al caso se si tratta di un byte significativo o meno. Nel migliore dei casi, un raggio cosmico confonde uno dei bit vuoti e non ha assolutamente alcun effetto, o si arresta in modo anomalo al computer (questa è una buona cosa, perché il computer è tenuto a non fare del male); ma nel peggiore dei casi, beh, sono sicuro che puoi immaginare.

L'ho sperimentato: non è raro che i raggi cosmici si ribaltino un po ', ma è molto improbabile che una persona lo osservi.

Stavo lavorando a uno strumento di compressione per un programma di installazione nel 2004. I miei dati di test erano alcuni file di installazione Adobe di circa 500 MB o più decompressi.

Dopo una noiosa corsa di compressione e una corsa di decompressione per testare l'integrità, FC / B ha mostrato un byte diverso.

All'interno di quel byte l'MSB era capovolto. Ho anche lanciato, preoccupandomi di avere un insetto pazzo che sarebbe emerso solo in condizioni molto specifiche - non sapevo nemmeno da dove iniziare a cercare.

Ma qualcosa mi ha detto di ripetere il test. L'ho fatto funzionare ed è passato. Ho impostato uno script per eseguire il test 5 volte durante la notte. Al mattino erano passati tutti e 5.

Quindi è stata sicuramente una piccola svolta del raggio cosmico.

Potresti anche dare un'occhiata all'hardware Fault Tolerant.

Ad esempio Stratus Technology costruisce server Wintel chiamati ftServer che avevano 2 o 3 "schede madri" in fase di blocco, confrontando il risultato dei calcoli. (questo avviene anche nei veicoli spaziali a volte).

I server Stratus si sono evoluti da chipset personalizzati a lockstep sul backplane.

Un sistema molto simile (ma software) è il lockstep VMWare Fault Tolerance basato su Hypervisor.

Come punto dati, questo è appena successo sulla nostra build:

02:13:00,465 WARN  - In file included from /Applications/Xcode.app/Contents/Developer/Toolchains/XcodeDefault.xctoolchain/usr/bin/../include/c++/v1/ostream:133:
02:13:00,465 WARN  - /Applications/Xcode.app/Contents/Developer/Toolchains/XcodeDefault.xctoolchain/usr/bin/../include/c++/v1/locale:3180:65: error: use of undeclared identifier '_'
02:13:00,465 WARN  - for (unsigned __i = 1; __i < __trailing_sign->size(); ++_^i, ++__b)
02:13:00,465 WARN  - ^
02:13:00,465 WARN  - /Applications/Xcode.app/Contents/Developer/Toolchains/XcodeDefault.xctoolchain/usr/bin/../include/c++/v1/locale:3180:67: error: use of undeclared identifier 'i'
02:13:00,465 WARN  - for (unsigned __i = 1; __i < __trailing_sign->size(); ++_^i, ++__b)
02:13:00,465 WARN  - ^

Assomiglia molto fortemente ad un capovolgimento che si verifica durante una compilazione, in un posto molto significativo in un file sorgente per caso.

Non sto necessariamente dicendo che si trattasse di un "raggio cosmico", ma il sintomo corrisponde.