XI – Sécurité de fonctionnement des commutateurs électroniques

  • Dédoublement des organes de calcul et de commande : Concernant les commutateurs électroniques et eux seuls, qu’ils soient des types semi-électroniques spatiaux ou électroniques temporels, le principe retenu afin d'assurer une large fiabilité est de dupliquer les organes de calcul et les organes de commande, car comme tout ensemble électronique, ils peuvent tomber en panne... Suivant les différents systèmes, les moyens pour parvenir à cette sécurisation par duplication sont sensiblement différents.
  • Cas des commutateurs spatiaux ou temporels centralisés fonctionnant en synchronisme total : il s'agit des commutateurs AXE, AXE10, AXE Transgate 4 et E12. L'Unité de Commande Centralisée est dupliquée : elle est composée de deux calculateurs identiques A et B travaillant en permanence en synchronisme. Il s’agit du « mode duplex ». Ce synchronisme permet un contrôle par comparaison entre les deux calculateurs et en cas de divergence, entre les deux calculateurs les alarmes sont déclenchées suivant l'importance des avaries. En cas d'avarie majeure, le calculateur défaillant s'arrête en urgence, et le calculateur indemne continue d'assurer l'acheminement du trafic, sans marge de réserve : il s’agit du « mode simplex».
  • Cas des commutateurs spatiaux ou temporels centralisés fonctionnant en partage de charge : il s'agit des commutateurs 11F, MT20 et MT25. L'Unité de Commande Centralisée est dupliquée : elle est composée de deux calculateurs identiques A et B travaillant en service normal en partage de charge. Il s’agit du « mode duplex ». Ces commutateurs travaillent donc préférentiellement en tandem en se répartissant la charge de travail, mais ils sont également capables de travailler en synchronisme total en effectuant les mêmes tâches identiques au même instant, ce qui permet un contrôle par comparaison, ou alors travailler en tandem en se répartissant la charge de travail, ou encore travailler alternativement du calculateur A vers le calculateur B, puis du calculateur B vers le calculateur A . En cas de défaillance avec arrêt total de l’un des deux calculateurs (A ou B),  le calculateur sain doit pouvoir reprendre la totalité du trafic jusqu’à ce que le calculateur défaillant puisse être redémarré automatiquement par le calculateur indemne, ou qu'il puisse être dépanné et redémarré par une équipe de techniciens experts : il s’agit du « mode simplex».

CalculateurA

CalculateurB

P47

Ci-dessus : vue caractéristique du dédoublement des organes de calculs. (Dans ce cas, un commutateur MT25 (Beaujon 3 (AB33)) (Photographie : C. R-V.)

_____

  • Cas des commutateurs temporels décentralisés - à commande répartie : il s'agit des commutateurs E10N3, E10N1 et E10B3. La charge de travail est répartie entre plusieurs organes de nature différente. (Le partage de charge se fait entre le multienregistreur, le taxeur et le traducteur). Il s'agit d'une commande répartie entre plusieurs organes différents et spécialisés. Chaque type de différent organe est présent au minimum en deux exemplaires pour assurer la sécurité du système et fonctionnent en service normal, en partage de charge. Ces organes dédoublés sont : les Taxeurs (TX), les Traducteurs (TR) et les Marqueurs (MQ) ; les Multienregitreurs (MR) étant au minimum dédoublés. En cas d'avarie d'un de ces organes, le ou les organes de même type doivent pouvoir reprendre la totalité de la charge de travail de l'organe défaillant, en plus de leur propre charge de travail, jusqu'à ce que l'organe défaillant ait été réinitialisé et redémarré automatiquement par le système, ou après qu'il ait été réparé par l'équipe de maintenance.

 

  • Cas de défaillance partielle du cœur de chaîne : Dans le cas d'un commutateur à structure centralisée (E11, E12, 11F, AXE, AXE10, MT20, MT25), lorsqu’un calculateur n’est pas volontairement arrêté pour raison de maintenance ou de mise à jour, mais qu’il s’arrête brutalement, il s’agit d’un incident sérieux. Un cœur de chaîne dont un des deux calculateurs est en arrêt total fonctionne alors en « mode simplex » mais le service téléphonique demeure assuré « sans marge de réserve ». Une équipe sur place ou de supervision à distance doit en général intervenir au plus vite pour détecter l’origine de l’avarie (panne matérielle ou logicielle) et prendre les mesures au plus vite pour endiguer le défaut ainsi que parvenir à redémarrer le calculateur défaillant.
  • Cas de défaillance totale d’un cœur de chaîne : il s’agit d’un incident grave, voire majeur en fonction du nombre d’abonnés concernés et du temps d’arrêt total. Un cœur de chaîne dont les deux calculateurs sont en arrêt total est en « arrêt duplex » et dans ce cas, plus aucun abonné du commutateur n’est relié au service téléphonique, le commutateur n’est alors même plus en mesure de délivrer aucune tonalité (440 Hz : invitation à numéroter) aux abonnés. Dans les cas les plus graves résultant d’une corruption du programme de fonctionnement qui se serait diffusée dans tout le commutateur, le commutateur doit alors être mis dans un premier temps totalement hors tension puis remis sous tension et purgé de sa mémoire dès le redémarrage. Ensuite son programme de fonctionnement doit être à nouveau rechargé en mémoire, ainsi que sa sauvegarde mémorielle ayant précédé le début de la panne majeure, comme par exemple les données de taxation. Des premiers prototypes jusqu'au début des années 2000, les sauvegardes sont en général effectuées régulièrement via un volumineux dérouleur de bandes magnétiques à bandes de ½ pouce de largeur sur bobines de 10,5 pouces de diamètre maximum (bandes qu’il fallait charger et interchanger à la main) ; dérouleurs ayant été ensuite progressivement supprimés et remplacés à partir de l'année 1994 par des liaisons de transmissions rapatriant directement les données de taxation directement de chaque commutateur via son Centre d’Enregistrement de la Taxation de rattachement jusqu’au Centre de Facturation Régional, pour raison de coût d’exploitation et de simplicité d’organisation.

P48.DerouleurBandeMagnetique

P49

Ci-dessus : vue d'un dérouleur de bandes magnétiques. (obsolète depuis 2000) (Documentation constructeur)

Ci-dessus : vue d'une armoire contenant les bandes de sauvegarde d'un commutateur téléphonique (dans ce cas précis : un MT25) (Photographie : C. R-V.)

Ci-contre : sacoche de transport pour bandes magnétiques de données

(Obsolète depuis 2000). 

Collection C. R-V.

SacocheBandeMagnetique

  • Exemple de défaillance majeure d’un réseau téléphonique : lors d’une défaillance de nature logicielle qui survient soit sans raison apparente ou suite à une mise à jour logicielle, l’intégrité de l’ensemble du réseau public des commutateurs d’un pays peut être mise en péril. En effet, une corruption logicielle dans un simple commutateur d’abonnés si elle n’est pas détectée et supprimée à temps, peut via le réseau des transmissions se propager aux autres commutateurs voisins et ainsi faire tache d’huile. Le 15 janvier 1990 une gigantesque panne téléphonique de l’opérateur principal américain AT&T a perturbé le réseau téléphonique de tous les États-Unis durant 9 heures, en raison d’un bug qui a pris naissance, suite à une mise à jour, dans un seul commutateur de Manhattan et qui s’est propagé à travers tout ce pays en quelques minutes…


­

Histoire des Télécommunications Françaises © Claude Rizzo-Vignaud, 8 janvier 2016.

compteur.js.php?url=shaOq97LENI%3D&df=mE