Надежность систем автоматизации
..pdf
Рис. 4.7. Мажоритирование (троирование)
Мажоритарная функция
z1 = k1k2 k1k3 k2k3, k1 = k2 = k3
обладает свойством толерантности к однократным отказам (сбоям) (ki →¬(ki), ki → 1, ki → 0). Реализация этой функции для каналов a, b, c на двухвходовых логических элементах булева базиса имеет вид, представленный на рис. 4.8.
Рис. 4.8. Реализация мажоритарной функции в булевом базисе
101
Реализация мажоритарной функции в базисе 2И-НЕ представлена на рис. 4.9.
Рис. 4.9. Реализация мажоритарной функции в базисе 2И-НЕ
Толерантность к 1 в k1:
z1 =1k2 1k3 k2k3 = k k kk = k, k1 = k2 = k3 = k.
Толерантность к 0 в k1:
z1 = 0k 0k kk = 0 0 kk = k.
Толерантность к инверсии в k1 – это сбой:
z1 = kk kk kk = 0 0 kk = k.
Иногда используется и инверсная мажоритарная функция
z2 = k1k2 k1 k3 k2 k3.
Мажоритарный элемент с формированием номера отказавшего канала 561 ЛП3, 561 ЛП13 представлен на рис. 4.10.
102
|
|
|
|
|
|
|
k3 |
k2 |
k1 |
ВС |
z1 |
z2 |
z3 |
k1 |
|
≥2 |
z1 |
|
0 |
0 |
0 |
0 |
0 |
0 |
0 |
||
|
|
|
|
|
|
|
|
|
|
|
|
||
|
|
0 |
0 |
1 |
1 |
0 |
0 |
1 |
|||||
|
|
|
|
|
|
|
|||||||
k2 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
z2 |
|
|
|
0 |
1 |
0 |
2 |
0 |
1 |
0 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
0 |
1 |
1 |
3 |
1 |
1 |
1 |
||||||
|
|
|
|
|
|
|
|||||||
k3 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
z3 |
|
|
|
1 |
0 |
0 |
4 |
0 |
1 |
1 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
1 |
0 |
1 |
5 |
1 |
1 |
0 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
1 |
1 |
0 |
6 |
1 |
0 |
1 |
|
z1 = k1k2 k1k3 k2k3 |
|
|
|
|
|
|
|
|||||
|
1 |
1 |
1 |
7 |
1 |
0 |
0 |
||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Рис. 4.10. Мажоритарный элемент с формированием номера отказавшего канала
Известны примеры мажоритирования трех из пяти. Получим ВБР системы с мажоритированием:
Pмс = p3 +3p2 (1− p) =1−(1− p)3 −3p(1− p)2 = 3p2 −2 p3; при p = 0,9 Pмс = 0,729 +0,243 = 0,972.
При мажоритировании необходимы разные источники питания для каждого канала. Стоимость, габариты, вес, энергопотребление системы увеличиваются более чем в 3 раза. Вероятность отказов при увеличении аппаратуры более чем в 3 раза увеличивается, хотя не все они приводят к отказу системы. Кроме того, мажоритирование дает эффект не на всей временной оси.
Сравним ВБР мажоритированной системы при идеальности мажоритарного элемента с ВБР одного канала:
Pмс = P3 +3P2 (1− P) = P3 +3P2 −3P3 = 3P2 −2P3;
∆Р =(3P2 −2P3 )− P.
103
Определим условия равенства выигрыша в ВБР 0:
∆Р =(3P2 −2P3 )− P = 0 = P(3P −2P2 −1).
Ненулевые корни этого уравнения: 0,5; 1.
Определим критическое время tк, после которого мажоритарная система станет хуже одноканальной (рис. 4.11).
0,5 = e−λtк ln 0,5 = −λtк tк = −lnλ0,5 ≈ 0,693λ−1,
λ =10−4 ч−1 tк ≈10 (мес.)
Рис. 4.11. Определение критического времени
Реально применяют три МЭ. Своими входами они подключены к выходам трех каналов, а выходы образуют опять три канала. Такое включение защищает систему от одиночной ошибки не только в каналах, но и в самих МЭ.
104
Мажоритирование с возможностью работы на одном канале
В этом случае система способна перестраиваться в дублированную и из нее в случае необходимости – в одноканальную.
Pмс1 = P3 +3P2 (1− P) +3P(1− P)2 =1−(1− P)3,
при p = 0,9 Pмс1 =1−0,13 = 0,999.
Мажоритирование с возможностью работы на одном канале (МРОК) – вот они, три девятки! Но как выбрать канал из двух оставшихся, если они начнут выдавать разные результаты?! При отказе одного канала он блокируется, сравниваются результаты двух оставшихся. В случае несравнения производится оперативное тестирование, канал с ошибкой отключают. Если оперативное тестирование не приводит к обнаружению отказавшего канала, выбирают один из двух случайным образом.
Глубокое мажоритирование
В этом случае возможно два основных варианта.
1-й вариант: вместо мажоритирования всей ЭВМ мажоритируют отдельные ее блоки – процессор, ПЗУ, ОЗУ, блоки ввода-вывода. При этом обеспечивается возможность построения работоспособной конфигурации после оперативного тестирования даже при отказах всех трех ЭВМ, возможно, даже местами резервированной.
2-й вариант (еще глубже): мажоритируются отдельные подблоки блоков ЭВМ, например АЛУ процессора, устройство управления и т.д.
Иногда бывает так: ни один канал в «разваленном» состоянии не работает, а в мажоритарном – работа идет!
В отличие от предыдущего случая отказы отдельных частей определяются только на техническом обслуживании.
105
k1 |
|
|
≥2 |
|
|
|
|
|
|
|
z1 |
|
|
k2 |
|
|
||||
|
|
|
|
|
||
|
|
z2 |
|
|
||
|
|
|
|
|
|
|
k3 |
|
|
||||
|
|
|
|
|
||
|
|
|
|
z3 |
|
|
a |
|
|
|
|
||
|
|
z4 |
|
|
||
|
|
|
|
|
|
|
b |
|
|
|
|
||
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
a |
b |
z1 |
0 |
0 |
k1 |
0 |
1 |
k2 |
1 |
0 |
k3 |
1 |
1 |
МЭ |
|
|
|
Рис. 4.12. МЭ с возможностью «развала» на отдельные каналы
Во 2-м случае используются МЭ следующего вида
(рис. 4.12).
4.4.4. Скользящее резервирование
При скользящем резервировании [18] (рис. 4.13) система сохраняет работоспособность до тех пор, пока в ней имеется i ≥ n0 работоспособных элементов из общего числа элемен-
тов nΣ = n0 + nр.
Рис. 4.13. ССН системы при скользящем резервировании
106
Показатели надежности системы при скользящем резервировании (ССР) с ненагруженным резервом имеют вид
n0 +nр |
+n Pi (t ) |
|
|
(t) n0 +nр−i |
PПУСР (t), |
|||
PССР (t ) = ∑ Cni |
1− P |
|||||||
0 |
р |
|
|
|
|
|
|
|
i=n0 |
|
|
|
|
|
|
|
|
где P(t) – ВБР одного элемента. |
|
|
|
|
||||
|
nр |
|
i |
|
|
|
|
|
|
λ∑Cni |
+n ∑(n0 +nр −i + j)bij |
||||||
λCCP (t ) = |
|
0 |
р |
|
|
|
|
|
i=0 |
|
j=0 |
|
|
|
, |
||
|
n |
|
|
i |
|
|||
|
|
|
р |
|
|
|
|
|
|
|
|
∑Cni |
+n |
∑bij |
|
|
|
|
|
|
i=0 |
0 |
р |
j=0 |
|
|
|
|
|
|
|
|
|
||
где bij = (−1)j Cije−λ(n0 +nр−i+ j)t .
Скользящее резервирование обеспечивает большую надежность, чем другие виды резервирования замещением при одинаковом количестве резервных элементов.
4.4.5. Понятие о функционально полных толерантных системах
В последние годы активизировались исследования в области новых, нетрадиционных подходов к отказоустойчивости как важнейшей составляющей надежности. Поставлена задача создания компьютеров высокой надежности, в которых рабочие, контрольные и восстановительные процессы являют единое целое, которые могут функционировать без технического обслуживания и ремонта в течение всего срока эксплуатации. Это, например, необходимо для аппаратуры управления военными комплексами, опасными технологическими процессами
– для перспективных интеллектуальных компьютерных систем в районах со сложными климатическими условиями, удаленных от центров обслуживания, при возможной низкой квалификации обслуживающего персонала.
107
В связи с участившимися техногенными катастрофами, террористическими актами появился термин «катастрофоустойчивость».
Как показывает анализ тенденций развития науки и технологии, интеллектуальная цифровая аппаратура новой информационной цивилизации должна обладать способностью самовосстановления, адаптации к отказам и повреждениям, например путем отключения пораженных участков и реализации требуемых функций на оставшемся количестве элементов с возможным допустимым замедлением скорости. Тем более что уже созданы технологические предпосылки для разработки высоконадежных «живучих» систем.
Так, в связи с широким распространением универсальных программируемых логических интегральных схем (ПЛИС), которые могут реконфигурироваться, т.е. изменять функции элементов и связи между ними, в процессе эксплуатации возникают новые возможности для построения отказоустойчивых цифровых автоматов как элементной базы этих новых систем. Предлагается создавать «живучие» системы путем сохранения хотя бы базисных функций для заданной модели отказов, позволяющих вычислять исходные за большее время после соответствующей реконфигурации. Таким образом, необходимо обеспечивать универсальность устройств при возникновении отказов, например в группе однотипных.
Для |
сохранения универсальности каждого |
элемента |
в каждой |
ПЛИС предлагается резервирование их |
базисов |
с целью предоставления возможности вычисления исходных логических функций на остаточных базисах всех или подмножества элементов [9].
Понятие базисной функции означает, что путем ее суперпозиции возможна реализация сколь угодно сложной функции, т.е. возможно построение любой схемы на основе соединения достаточного количества элементов, реализующих только эту функцию.
108
Функционально полный толерантный (ФПТ) базис: x1x2 x3x4.
& |
1 |
&
Рис. 4.14. ФПТ-элемент
При однократных константных отказах входов соответствующего элемента (рис. 4.14) функциональная полнота сохраняется:
x1 =1, x2 =1 → х3х4 |
|
базис ИЛИ-НЕ, |
|||
x3 |
=1, x4 =1 → х1х2 |
|
базис ИЛИ-НЕ, |
||
x1 = 0 → х2 х3х4 |
|
|
|||
x2 = 0 → х1 х3х4 |
|
|
|||
|
базисные функции трех переменных |
||||
x |
= 0 → х х |
|
х |
|
|
|
|
||||
3 |
1 2 |
|
4 |
|
|
x |
= 0 → х х |
|
х |
|
|
4 |
1 2 |
|
3 |
|
|
ФПТ-элемент на КМОП-транзисторах сохраняет функциональную полноту также и при внутренних отказах – при отказе одного любого транзистора (рис. 4.15).
С целью одновременного обеспечения сбоеустойчивости, все более необходимой при повышении уровня интеграции микросхем, для ответственных областей применения наиболее целесообразным представляется сохранение резервированных (например, троированных) структур при отказах в катастрофических ситуациях. В крайнем случае восстанавливается дублированная структура, а в чрезвычайных случаях – одноканальная. Из ФПТ-элемента можно получить инвер-
109
тор х1х1 х1х1 с четырехкратной избыточностью, толерантный
к однократным константным отказам входов и однократным константным отказам транзисторов. Таким образом, для сохранения простейшей логической функции необходима четырехкратная избыточность!
Рис. 4.15. ФПТ-элемент на КМОП-транзисторах
Рассуждая аналогично, предложим элемент, сохраняющий базисную функцию ИЛИ-НЕ х1х2:
х1х2 х3х4 х5 х6 х7 х8 .
Легко видеть, что в случае
х1.1х2.1х1.2 х2.2 х1.3х2.3х1.4 х2.4
110