|
35 Быстрое проявление неисправности. При возникновении ошибки модуль должен либо работать правильно (ошибка сразу корректируется), либо немедленно останавливаться (для предотвращения распространения ошибки). Независимость отказов. Модули и связи между ними должны быть разработаны так, что отказ одного из модулей никак не влияет на работу остальных. Избыточность. В систему должны быть заранее установлены или сконфигурированы запасные модули, так что при отказе одного из модулей, запасной модуль может заменить его практически немедленно. Отказавший модуль может ремонтироваться автономно, в то время как система продолжает работать. Для систем, у которых недопустимо даже кратковременное прерывание вычислительного процесса, требуется многократное резервирование. Принципиальными требованиями к методам обеспечения отказоустойчивости систем, работающих в реальном масштабе времени, являются. высокая обнаруживающая способность (обнаруживать максимальное количество ошибок различной кратности); минимальное время обнаружения отказа; минимальные аппаратурные затраты на средства контроля, возможность обнаружения и определения места возникновения отказа, обнаружение и по возможности исправление ошибок, вызванных отказами; возможность замены неисправных блоков в процессе выполнения системой основных функций; программиста пользователя. В связи с тем, что ТККС, как правило, работают в реальном масштабе времени, для них могут быть использованы следующие методы обеспечения отказоустойчивости [42]: методы простого резервирования; методы избыточной логики с перекрестными соединениями; |
33 Быстрое проявление неисправности. При возникновении ошибки модуль должен либо работать правильно (ошибка сразу корректируется), либо немедленно останавливаться (для предотвращения распространения ошибки). Независимость отказов. Модули и связи между ними должны быть разработаны так, что отказ одного из модулей никак не влияет на работу остальных. Избыточность. В систему должны быть заранее установлены или сконфигурированы запасные модули, так что при отказе одного из модулей, запасной модуль может заменить его практически немедленно. Отказавший модуль может ремонтироваться автономно, в то время как система продолжает работать. Для систем, у которых недопустимо даже кратковременное прерывание вычислительного процесса, требуется многократное резервирование. Принципиальными требованиями к методам обеспечения отказоустойчивости систем, работающих в реальном масштабе времени, являются: высокая обнаруживающая способность (обнаруживать максимальное количество ошибок различной кратности); минимальное время обнаружения отказа; минимальные аппаратурные затраты на средства контроля; возможность обнаружения и определения места возникновения отказа; обнаружение и по возможности исправление ошибок, вызванных отказами; возможность замены неисправных блоков в процессе выполнения системой основных функций; отказоустойчивость системы не должна быть заметной для программиста пользователя. В связи с тем, что КСОН, как правило, работают в реальном масштабе времени, для них могут быть использованы следующие методы обеспечения отказоустойчивости [118]: методы простого резервирования; методы избыточной логики с перекрестными соединениями; |