ЖУРНАЛ СТА №4/2019

все компоненты также должны обес- печивать идентичные результаты вы- числений, чтобы можно было посред- ством сравнения обнаруживать ошиб- ки. В простейшем случае это реализова- но в примере системы 2oo2 (рис. 2). Эта схема гарантирует, что обе части систе- мы работают одинаково в любое время. К сожалению, такая конструкция в 0,5 раза 1 снижает доступность (MTBF). Например, в случае ошибки системы управления подвижныˆ м составом поезд должен полностью остановиться, после чего система переходит в безопасное состояние, то есть она является отказо- устойчивой. Однако вопрос правильно- го выбора типа резервирования не в том, нуждаетесь ли вы в бо́льшей без- опасности или доступности. Невозмож- но просто отключить критически важ- ную функцию на борту самолёта. Она должна быть доступна и постоянно, и безопасно. Поэтому, если нужна высо- кая степень избыточности, необходимо создать систему 2oo3 или 2oo4 (рис. 3). При таком уровне сложности неотъем- лемой частью системы является меха- низм мажоритарного голосования ( voter, или воутер ). Он постоянно сравнивает и анализирует результаты вычислений. В случае отклонения он выявляет и изо- лирует засбоивший ЦП, но система мо- жет продолжать работу с использованием двух других исправных компонентов. Принцип 2oo3 часто используется имен- но потому, что он повышает безопас- ность и доступность до статистически до- статочной и разумной степени, сохраняя приемлемыми сопутствующие наклад- ные расходы. MTBF при этом возрастает с коэффициентом около 1,2. Тем не ме- нее, управление такой системой сложно: три подсистемы должны быть синхрони- зированы и должны обмениваться дан- ными – это особенно непростая задача для программного обеспечения. Более того, в результате такого преобразования может снизиться производительность. Модульные системы, основанные на стандартных сменных картах, позволяют относительно легко настроить описан- ную избыточность: вам просто надо «утроить» все карты. Но это имеет свои недостатки: трём параллельным систе- мам требуется пространство, а также тройной запас мощности источника пи- тания, и реализация программного обес- печения и воутера для трёх компьютеров может оказаться сложной. Вот почему компания MEN пошла путём реализа- ции избыточности на уровне платы. По- мимо тройного резервирования процес- сора на плате ЦП имеется резервная ос- новная память, локальное питание, так- товые генераторы и флэш-память. Во- утер реализован в виде IP-ядра внутри программируемой вентильной матрицы FPGA. В случае отказа одного из процес- соров воутер изолирует его и сохраняет в состоянии сброса. Он также уведомляет программное обеспечение о сбое и про- должает контролировать работу исправ- ных процессоров. Пока не выйдет из строя один из оставшихся процессоров, система полностью сохраняет функцио- нальность. Это решение требует значи- тельно меньше энергии и места, чем три отдельные платы. Тот факт, что при этом значительно облегчаются проблемы с программным обеспечением, также ва- жен. Три ЦПУ работают в архитектуре, называемой lockstep (жёсткая параллель- ная работа, в которой процессоры пол- ностью синхронизированы). Для про- граммного обеспечения они являются единым целым, поскольку вопросы управления избыточностью становятся дляПОнепрозрачными. На практике это означает, что от самого программного обеспечения управление избыточностью уже не требуется. Это значительно сокра- щает затраты на интеграцию ПО, а вме- сте с этим и общие затраты на разработ- ку. Код, необходимый для синхрониза- ции трёх процессоров, довольно прост. Поэтому даже модификация существую- щих систем, рассчитанных на работу с одним процессором, не потребует боль- ших усилий. TMR КАК ОСНОВА РАДИАЦИОННО - СТОЙКОЙ ЭЛЕКТРОНИКИ Как было упомянуто ранее, любой важный компонент может стать единой точкой отказа. В бортовых приложениях авионики и космонавтики особенно ча- сты ошибки памяти, вызванные косми- ОБ ЗОР / В С Т Р АИВ А ЕМЫЕ СИС Т ЕМЫ СТА 4/2019 31 www.cta.ru Объект управления Входы Контроллер Выходы Входы Контроллер Выходы М Объект управления Входы Контроллер Выходы Входы Контроллер Выходы Входы Контроллер Выходы Мажоритарная логика «2 из 3» (voter) М Рис. 2. Система 2oo2 Рис. 3. Система 2oo3 1 В системе MooN для сохранения функциональности системы должны работать M из N каналов. В нашем примере системной функцией будет включение двигателя. В первом примере (рис. 1) достаточно работы одного канала; во втором примере (рис. 2) для включения двигателя должны быть работоспособны оба канала. Объект управления Входы Контроллер Выходы Входы Контроллер Выходы М Рис. 1. Система 1oo2