Дублированная система с сильными связями

Дублированная система с сильными связями [2] использует одинаковые программы в двух одинаковых вычислительных каналах, но в отличие от системы с умеренными связями контроль работы двух каналов осуществляется не только на уровне выходов, но и на уровне шин и памяти (рисунок 2.5).

Работа каналов синхронизирована. Синхронизация организуется либо по командам, либо по тактам. В наиболее сильном случае производится потактовая проверка совпадения сигналов W1 и W2 на внутренних контрольных точках (шинах) с помощью БСС1. При расхождении сигналов W1 и W2 БСС1 формирует сигнал ошибки Y. Сигнал Y воздействует на БСС2 и отключает УО, т. е. переводит оба канала в защитное состояние. Затем сигнал Y, поступая на вход Æ, блокирует работу двух ЭВМ.

Рисунок 2.5 – Дублированная система с сильными связями

Структура обладает высоким уровнем безопасности, который зависит от вида и числа контролируемых разрядов (сигналы W1 и W2). Одиночные отказы неопасны и должны обнаруживаться БСС1. Однако если множество входных воздействий X не обеспечивает необходимой глубины проверки каналов обработки информации, то возможно появление маскируемых отказов, т. е. отказов, которые не проявляются на данном промежутке времени в виде расхождения сигналов W1 и W2. Накопление таких отказов может привести к опасному отказу системы. Это тем более актуально, что некоторые алгоритмы функционирования системы могут выполняться очень редко (раз в неделю или раз в месяц).

Достоинства данной структуры: невысокая стоимость; затраты на проектирование вычислительных каналов и программного обеспечения ниже, чем в других структурах; высокая глубина контроля отдельных функциональных узлов ЭВМ (процессора, памяти, портов ввода-вывода) при организации сравнения шин внутреннего интерфейса; высокая безопасность.

Недостатки: возможность накопления маскируемых отказов в редко используемых функциональных узлах вычислительных каналов; невозможность обнаружения ошибок в программном обеспечении, т. к. они одинаково проявляются в обоих каналах; необходимость обеспечения высокой надежности схемы синхронизации каналов; невысокая эксплуатационная готовность, т. к. любой отказ переводит систему в нерабочее защитное состояние.

Данная структура получила широкое распространение при проектировании систем железнодорожной автоматики, не предъявляющих высокие требования к эксплуатационной готовности. В системах микропроцессорной централизации для повышения эксплуатационной готовности применялось горячее резервирование еще одной двухканальной структурой.

Рассмотренные принципы обеспечения безопасности использовались в микропроцессорной централизации фирмы Siemmens первого поколения. Система строилась на базе защищенных от опасных отказов микропроцессорных блоков SIMIS-С, разработанных в 1985 году и имеющих двухканальную структуру с сильными связями. Для повышения эксплуатационной готовности блоки SIMIS-С дублировались. Один блок выполнял функции управления, второй в это время проводил самотестирование. При отказе основного блока управление передавалось резервному модулю. Однако в последнее время двухканальные системы начали вытесняться трехканальными мажорирующими структурами, имеющими лучшие показатели работы.

2.1.6 Дублированная система с сильными связями
и внешним тестированием

Дублированная система с сильными связями и внешним тестированием [2] содержит в дополнение к структуре п. 2.1.5 генератор тестов (ГТ) и мультиплексор (МКС) и применяется, если множество входных воздействий X не обеспечивает необходимой глубины проверки каналов обработки информации (рисунок 2.6).

В этом случае в процессе рабочего функционирования периодически выделяются отрезки времени, в течение которых по сигналу F, поступающему на мультиплексор МКС, входные воздействия X отключаются от входов системы, и к последним подключаются выходы Т генератора тестов ГТ. Сигнал F также блокирует выходную схему сравнения БСС2, чтобы тестовые воздействия не прошли на объекты управления. Результаты тестирования обоих каналов сравниваются БСС1. При обнаружении ошибки система переводится в защитное состояние. После окончания тестирования сигнал F снимается, входные воздействия X подключаются к входам системы, и выходная схема сравнения включается в работу.

Рисунок 2.6 – Дублированная система с сильными связями и внешним
тестированием

Данный принцип используется также тогда, когда система большую часть рабочего функционирования находится в ждущем режиме (при этом сигналы X длительное время не изменяются).

Безопасность такой структуры зависит от полноты тестов и времени, необходимого на тестирование, т. к. во время тестирования объект управления не контролируется. Поэтому применение дублированной системы с сильными связями и внешним тестированием оправдано в том случае, когда сумма времени тестирования и времени, необходимого на обработку входных воздействий, меньше времени реакции системы:

t _тест + t _обр £ t _р, (2.1)

где t _тест – время, необходимое на тестирование;

t _обр – время, необходимое на обработку входных воздействий;

t _р – время реакции системы.

Достоинства данной структуры: высокая глубина контроля отдельных функциональных узлов ЭВМ (процессора, памяти, портов ввода-вывода); отсутствие маскируемых отказов; высокая безопасность. Недостатки: дополнительные затраты на разработку генератора тестов и тестовых воздействий; невозможность обнаружения ошибок в программном обеспечении; необходимость обеспечения высокой надежности схемы синхронизации каналов; невысокая эксплуатационная готовность, т. к. любой отказ переводит систему в нерабочее защитное состояние.