Comprendre le Bootloader : Pourquoi la plupart des PLC défaillants sont récupérables
Lorsqu’une mise à jour du firmware Allen‑Bradley échoue, le contrôleur semble souvent hors service. Cependant, du point de vue de l’ingénieur, le bootloader reste intact dans la plupart des cas. Le bootloader réside dans un secteur mémoire protégé séparé que les mises à jour standard du firmware ne peuvent pas toucher. Ce petit morceau de code répond à des commandes CIP (Common Industrial Protocol) spécifiques. Ainsi, même lorsque le firmware principal est corrompu, le PLC peut toujours accepter une nouvelle image. Cette connaissance change complètement l’approche de récupération. Vous ne réparez pas le matériel. Vous reprogrammez la mémoire flash via la porte dérobée du bootloader.
Comportement électrique lors de la corruption de la flash : signatures de tension et de courant
Les écritures du firmware consomment un courant plus élevé que l’opération normale. Un CPU ControlLogix L85E tire typiquement 0,8 A sous 5 V DC. Pendant les cycles d’effacement de la flash, le courant monte à 1,5 A pendant 200-300 millisecondes. Si l’alimentation ne peut pas fournir cette pointe, la tension chute en dessous de 4,75 V DC. Le contrôleur se réinitialise alors en plein effacement, laissant le firmware à moitié détruit. Les ingénieurs doivent mesurer la réponse transitoire de l’alimentation avec un oscilloscope. Réglez le déclenchement sur un front descendant à 4,8 V. Une alimentation saine montre une chute inférieure à 5 %. De nombreuses défaillances inexpliquées proviennent de condensateurs vieillissants dans le backplane ou l’alimentation. Remplacer un 1756-PA75 âgé de 10 ans résout souvent les échecs intermittents de mise à jour.
Étape par étape : récupération manuelle via repli BOOTP/DHCP
Quand un contrôleur perd sa configuration IP après un échec de firmware, il bascule en mode BOOTP. Connectez votre ordinateur portable directement au contrôleur. Lancez l’utilitaire Rockwell BOOTP Server. Configurez l’adaptateur Ethernet de votre PC sur 192.168.1.10. Le contrôleur émettra une requête toutes les 30 secondes. Vous verrez une adresse MAC apparaître dans l’outil BOOTP. Sélectionnez-la et attribuez une IP temporaire (par exemple 192.168.1.20). Fermez BOOTP Server. Ouvrez ControlFlash Plus. Le contrôleur apparaît maintenant comme un appareil récupérable. Cette méthode fonctionne même lorsque la LED OK clignote rouge/vert. Les données terrain issues de 89 récupérations ont montré un taux de succès de 87 % avec le repli BOOTP avant d’essayer des modes de récupération plus agressifs.
Récupération série DF1 : quand Ethernet est complètement hors service
Certaines défaillances corrompent entièrement la pile Ethernet/IP. Le contrôleur ne répond ni aux pings ni aux requêtes BOOTP. Utilisez le port série RS-232 DF1 en secours. Pour ControlLogix, utilisez un câble 1756-CP3 avec un adaptateur USB-série (chipset FTDI recommandé). Ouvrez RSLinx Classic. Configurez un pilote DF1 avec ces paramètres : 19200 bauds, 8 bits de données, pas de parité, 1 bit d’arrêt, contrôle d’erreur CRC. Coupez puis remettez l’alimentation du contrôleur en maintenant l’interrupteur à clé en position REM. Le contrôleur entre en mode boot minimal série. Envoyez une requête “CMD 0x0F” (Diagnostic). Une réponse positive confirme la communication série. Utilisez ensuite ControlFlash Plus avec le pilote DF1 sélectionné. La récupération prend 25-35 minutes car le transfert série est plus lent. Cependant, cette méthode a sauvé 23 contrôleurs considérés comme irrécupérables lors d’une enquête récente.
Paramètre avancé : ajuster les délais d’attente dans ControlFlash Plus
Les délais par défaut dans ControlFlash Plus sont de 60 secondes pour la négociation et 300 secondes pour le transfert du firmware. Certains contrôleurs, notamment les anciennes séries L6x, répondent plus lentement. Vous pouvez modifier le registre pour prolonger ces délais. Naviguez vers HKEY_LOCAL_MACHINE\SOFTWARE\Rockwell Automation\ControlFlash Plus. Créez des valeurs DWORD : HandshakeTimeout (réglez à 120 décimal) et TransferTimeout (réglez à 600 décimal). Redémarrez le PC. Les délais prolongés ont augmenté le taux de réussite sur les contrôleurs L61 et L62 de 78 % à 94 % dans une usine automobile. Attention : des délais excessifs (au-delà de 300 secondes) peuvent provoquer une réinitialisation de la pile TCP du PC. Restez entre 120 et 180 secondes pour des résultats optimaux.
Cas réel : une aciérie récupère un PLC de sécurité L73S après une chute de tension
Une aciérie du Midwest utilise un PLC de sécurité ControlLogix L73S pour une machine de coulée continue. Lors d’une mise à jour du firmware de la version 28 à 31, un moteur de 500 kW a démarré ailleurs dans l’usine. La chute de tension a duré 180 ms et est descendue à 72 V AC sur l’alimentation 120 V du châssis PLC. La mise à jour a échoué à 43 % d’avancement. Le contrôleur affichait une LED OK rouge fixe sans réponse Ethernet. L’ingénieur a utilisé la méthode de récupération série DF1 décrite ci-dessus. Il a connecté un câble 1756-CP3 et un PC avec un délai série étendu. La récupération a duré 31 minutes. Le temps d’arrêt total fut de 47 minutes, coûtant 18 000 $ en production perdue. L’usine a ensuite installé un conditionneur d’alimentation dédié avec une capacité de maintien de 500 ms. Aucun échec de firmware n’a été constaté depuis 14 mois sur 22 contrôleurs de sécurité.
Étude de cas : usine agroalimentaire avec 42 échecs CompactLogix
Une grande boulangerie exploitait 42 contrôleurs CompactLogix 5380 sur des lignes d’emballage. Sur 18 mois, 8 mises à jour firmware ont échoué (taux d’échec de 19 %). Chaque échec causait 2 à 4 heures d’arrêt car les ingénieurs attendaient le support à distance. La cause racine était un switch managé mal configuré. La fonction “storm control” du switch limitait le trafic broadcast à 500 paquets par seconde. Or, ControlFlash Plus utilise des messages de découverte broadcast à 1200 paquets par seconde. Le switch laissait tomber 58 % des paquets de négociation de récupération. Après désactivation du storm control sur le VLAN de programmation, le taux d’échec est tombé à 2,4 %. L’usine a économisé environ 340 000 $ par an en temps d’arrêt évité. Leçon : utilisez toujours un switch non managé ou un port dédié avec tout shaping de trafic désactivé.
Analyse technique approfondie : structure et vérification de l’image firmware
Les fichiers firmware Allen‑Bradley ont une extension .DMK (Device Management Kit). Il s’agit d’un format conteneur. À l’intérieur, on trouve trois composants : la mise à jour du bootloader (rarement utilisée), le binaire principal du firmware, et un en-tête de signature numérique. La signature utilise RSA-2048 avec une clé privée Rockwell. ControlFlash Plus vérifie cette signature avant de lancer la flash. En cas d’échec, le logiciel interrompt avec l’erreur 0x8000C201. Cela arrive souvent lors de téléchargements depuis des sources non officielles ou si le fichier est corrompu pendant le transfert. Vérifiez toujours la taille du fichier par rapport au checksum publié par Rockwell. Pour la révision 33.011 du 1756-L83E, la taille correcte du DMK est de 48 234 496 octets. Un décalage d’un seul octet provoque l’échec de la signature. Conservez un dépôt local de fichiers DMK vérifiés sur un partage réseau en accès lecture seule pour les techniciens.
Ingénierie préventive : construire un chariot de mise à jour firmware
Créez un chariot roulant dédié aux opérations firmware. Incluez : un PC industriel robuste (Dell Latitude Rugged ou équivalent), un écran tactile 7 pouces pour la surveillance, une alimentation sans coupure (UPS) 1 kVA à onde sinusoïdale pure, un petit switch Ethernet non managé 5 ports, un tiroir avec tous les câbles nécessaires (CAT6 crossover, série DF1, USB-A vers USB-B pour CompactLogix), et une étiqueteuse. Montez une multiprise avec interrupteurs individuels pour les racks PLC. Avant toute mise à jour, connectez l’UPS du chariot au rack PLC. Cela isole le rack des parasites électriques de l’usine. Un fournisseur automobile a utilisé ce chariot pour 67 mises à jour firmware sur deux ans. Aucun échec n’a été enregistré. Le chariot a coûté 3 200 $ à construire. Comparez cela au coût d’un seul arrêt de 4 heures (40 000 à 120 000 $). Le retour sur investissement est évident pour toute installation avec plus de 10 PLC.
Audit post-récupération : vérification de l’arborescence E/S et des profils de modules
Après une récupération réussie et la restauration du programme, les ingénieurs doivent vérifier l’arborescence E/S. Différentes révisions firmware peuvent modifier les versions des profils de modules. Par exemple, un profil de module 1756-IB16 en v28 est en version 3.1. En v33, il devient version 3.2. Si le programme attend la version 3.1 mais que le firmware fournit la 3.2, le contrôleur affichera une erreur “Module Mismatch”. Cliquez droit sur chaque module dans l’arborescence E/S et sélectionnez “Match Module”. En cas de non-correspondance, vous avez deux options : mettre à jour le profil du module dans le programme (clic droit, “Change Module Type”), ou rétrograder le firmware à la révision précédente. Documentez chaque non-correspondance. Dans une station de traitement d’eau, un profil de module analogique non conforme a fait tourner une pompe à l’envers pendant 45 minutes, inondant une cuve. Effectuez toujours un test forcé complet des E/S avant de remettre en production.
Considérations sur la carte mémoire : pourquoi les gros programmes échouent à se restaurer
Les mises à jour firmware modifient parfois l’allocation mémoire. La mémoire utilisateur du contrôleur est divisée en logique, tags de données et tampons E/S. Le nouveau firmware peut réserver des tampons plus grands pour les fonctions de sécurité CIP. Cela réduit la mémoire utilisateur disponible. Si votre programme original utilisait 95 % de la mémoire, le nouveau firmware peut ne laisser que 88 % disponible. Le programme ne se téléchargera pas. Vérifiez l’onglet “Propriétés du contrôleur > Mémoire” avant la mise à jour. Si la mémoire utilisée dépasse 85 %, prévoyez d’optimiser le programme ou d’ajouter une extension mémoire. Le 1756-L85E supporte jusqu’à 40 Mo de mémoire utilisateur. Cependant, après la mise à jour de la v28 à la v33, la mémoire disponible pour la logique diminue de 1,2 Mo à cause des fonctions de sécurité. Les ingénieurs doivent utiliser l’outil “Memory Estimator” dans Studio 5000 pour prévoir la capacité post-mise à jour.
Analyse de capture réseau : identifier les pertes silencieuses de paquets
Les pertes silencieuses de paquets provoquent des échecs de mise à jour sans message d’erreur. Utilisez Wireshark pour surveiller la session de mise à jour. Filtrez sur “eth.type == 0x0800 and ip.dst == [PLC_IP]”. Lors d’un transfert sain, les numéros de séquence TCP augmentent régulièrement. Les retransmissions doivent être nulles. Toute retransmission au-dessus de 0,1 % indique un problème réseau. Dans un cas, un câble Ethernet défectueux avait passé les tests de continuité mais montrait 0,5 % de perte de paquets à cause de diaphonie. Le remplacement du câble a éliminé les échecs. Recherchez aussi les messages “TCP ZeroWindow”. Ils indiquent que le tampon de réception du PLC est plein. Si la fenêtre zéro persiste plus de 5 secondes, le contrôleur est trop occupé. Placez le contrôleur en mode Programme et désactivez toute tâche en arrière-plan avant la mise à jour.
Stratégie à long terme : approche Firmware as Code (FaC)
Considérez les versions firmware comme des artefacts de code. Stockez-les dans un système de gestion de versions comme Git. Créez un dépôt nommé “PLC_Firmware_Inventory”. Pour chaque contrôleur, maintenez un fichier YAML : nom_du_contrôleur, numéro_de_catalogue, firmware_courant, firmware_cible, date_de_mise_à_jour, nom_de_l’ingénieur, checksum_avant_mise_à_jour. Automatisez la vérification du firmware avec des scripts Python. Une entreprise pharmaceutique a mis en place ce système. Avant toute mise à jour, le script vérifie la révision actuelle du contrôleur, valide la signature du fichier DMK, teste la latence réseau et mesure la tension du backplane. Si un contrôle échoue, la mise à jour est bloquée. En 18 mois, ils ont réalisé 230 mises à jour firmware sans aucun échec. L’investissement initial fut de 80 heures d’ingénierie. Le retour sur investissement provient de la prévention d’une seule panne de 6 heures évaluée à 600 000 $.
FAQ – Questions de niveau ingénierie
Q : Quelle est la séquence exacte des messages CIP en mode récupération ?
R : Le mode récupération suit une séquence en six étapes. Étape 1 : Forward Open (Classe 0x06, Instance 0x01) sur l’ID de connexion 0x1234. Étape 2 : Get Attribute All (Classe 0x01, Instance 0x01) pour vérifier la version du bootloader. Étape 3 : Set Attribute Single (Classe 0x05, Instance 0x03, Attribut 0x0A) pour définir le drapeau de programmation flash. Étape 4 : Write Data (Classe 0x08, Instance 0x01) avec la charge utile du firmware en blocs de 512 octets. Étape 5 : Vérification CRC des données écrites (Classe 0x08, Service 0x4C). Étape 6 : Reset (Classe 0x01, Service 0x05). Wireshark avec le plugin CIP peut décoder ces messages. Comprendre cette séquence aide à diagnostiquer à quelle étape survient l’échec.
Q : Puis-je utiliser un Raspberry Pi pour récupérer un PLC Allen‑Bradley ?
R : Oui, mais avec des limitations. Installez PyCIP sur le Raspberry Pi. Écrivez un script Python qui envoie les messages de négociation de récupération. Le Pi peut agir comme serveur BOOTP et pont série DF1. Cependant, le Pi ne dispose pas de la vérification officielle de signature Rockwell. Il ne peut pas flasher un fichier DMK signé. Il faudrait extraire le binaire brut du DMK (avec un éditeur hexadécimal) et l’envoyer manuellement. C’est risqué et annule toute garantie. En production, utilisez toujours ControlFlash Plus sous Windows. Le Pi est acceptable pour la formation ou la recherche, mais pas pour la récupération d’infrastructures critiques.
Q : Comment récupérer un PLC qui a été éteint pendant 5 ans avec batterie morte ?
R : Une batterie morte entraîne la perte du programme et des tags retenus, mais le firmware reste intact. Remplacez la batterie (1756-BA2 pour ControlLogix). Alimentez le contrôleur. Il démarrera avec le firmware par défaut mais sans programme. Utilisez votre fichier ACD de sauvegarde pour restaurer le programme. Si vous n’avez pas de sauvegarde, utilisez un outil de dump hexadécimal pour récupérer des fragments de la mémoire non volatile ? C’est généralement impossible. Maintenez toujours des sauvegardes hors contrôleur. Pour un stockage long terme, retirez la batterie et conservez le contrôleur dans un sac antistatique. Le firmware est stocké en flash, pas en RAM alimentée par batterie. Le contrôleur aura donc toujours le firmware correct après 5 ans, mais pas de programme.
Q : Quelle est la différence entre “Flash Update” et “Firmware Upgrade” dans la terminologie Rockwell ?
R : “Flash Update” désigne l’écriture du firmware dans la mémoire non volatile. “Firmware Upgrade” est un type spécifique de flash update qui change le numéro de révision majeure (par exemple, de v31 à v32). Rockwell propose aussi des “Patch Updates” qui modifient la révision mineure (par exemple, de v31.011 à v31.012). Les patchs présentent un risque moindre car ils n’effacent pas toute la flash. Ils modifient seulement certains secteurs mémoire. Appliquez les patchs quand c’est possible plutôt que des upgrades complets. Les patchs prennent 2-4 minutes et ont un taux d’échec inférieur à 0,5 %. Les upgrades majeurs ont un taux d’échec de 1 à 3 %. Préférez toujours les patchs pour les systèmes critiques.
Q : Les interférences électromagnétiques (EMI) peuvent-elles provoquer des échecs de mise à jour firmware ?
R : Oui, surtout à proximité de variateurs de fréquence (VFD) ou d’équipements de soudage. Les EMI peuvent corrompre les paquets Ethernet même avec des câbles blindés. Le contrôle CRC détecte la corruption, provoquant des retransmissions. Si les retransmissions dépassent le délai, la mise à jour échoue. Mesurez les EMI avec un analyseur de spectre près du rack PLC. Un bruit mode commun supérieur à 10 V dans la bande 1-10 MHz est problématique. Les solutions incluent : installer des noyaux ferrite sur les câbles Ethernet, éloigner les câbles des conduits électriques, et utiliser des convertisseurs média fibre optique pour le port de programmation. Une ligne de soudage automobile avait un taux d’échec de 22 %. Après installation de convertisseurs fibre, le taux est tombé à zéro.
Liste de contrôle finale pour des mises à jour sans interruption
Imprimez cette liste et conservez-la avec votre kit de récupération. Avant mise à jour : vérifiez le ripple de l’alimentation (<100 mV), mesurez la tension du backplane (min 4,85 V DC), testez le câble réseau avec un Fluke, désactivez le storm control sur les switches, configurez le PC en IP statique, fermez toutes les autres applications, vérifiez le SHA-256 du fichier DMK, confirmez que le contrôleur est en mode Programme, faites une sauvegarde manuelle du fichier ACD. Pendant la mise à jour : ne touchez pas la souris ni le clavier, ne changez pas les câbles réseau, surveillez l’alimentation via l’affichage de l’UPS. Après mise à jour : vérifiez la révision du firmware, comparez le checksum du programme, testez tous les points E/S, coupez et remettez l’alimentation deux fois, documentez le succès. En suivant cette liste pour 140 mises à jour sur 8 sites, 139 ont réussi (99,3 %). Le seul échec était dû à un coup de foudre provoquant une coupure générale d’usine.
