CC BY
70
УДК 681.3
С.Ф. Тюрин, О. А. Громов, А.В. Сулейманов
Пермский национальный исследовательский политехнический университет
А. В. Греков
Пермский военный институт внутренних войск МВД РФ
АНАЛИЗ МЕТОДОВ ОБЕСПЕЧЕНИЯ ПАССИВНОЙ ОТКАЗОУСТОЙЧИВОСТИ ЦИФРОВЫХ УСТРОЙСТВ И СИСТЕМ
Производится анализ методов обеспечения пассивной отказоустойчивости. Приведен расчет вероятностей безотказной работы для различных методов и показаны графики изменения вероятности безотказной работы. Также дан расчет функции затрат на построение системы с внесенной избыточностью.
Под безотказностью (Reliability, failure-free operation) как одним из свойств надёжности понимается свойство объекта непрерывно сохранять работоспособное состояние в течение некоторого времени или наработки [1].
При этом событие, заключающееся в нарушении работоспособного состояния объекта, называют отказом (Failure), а самоустраняющийся отказ или однократный отказ, устраняемый незначительным вмешательством оператора, - сбоем (Interruption) [1].
Системы, обладающие свойством функционировать в условиях отказов (сбоев), называют отказоустойчивыми (сбоеустойчивыми). Создание надёжных, отказоустойчивых систем является одной из ключевых задач науки и технологии. Для этого применяют резервирование (Redundancy) - способ обеспечения надежности объекта за счет использования дополнительных средств и (или) возможностей, избыточных по отношению к минимально необходимым для выполнения требуемых функции [2-3], то есть резервирование - это
введение разного рода избыточности - структурной, временной, информационной, алгоритмической, функциональной и пр.
Отказоустойчивые цифровые приборы и вычислительные комплексы впервые были разработаны для военной аппаратуры [4]. Различают пассивную и активную отказоустойчивость [4-6]. При пассивной отказоустойчивости отказы и сбои маскируются системой, которая продолжает функционирование и при возникновении определённого количества отказов. Это требует значительной избыточности - мажо-ритирования 2 из 3 (парируется 1 отказ - в одном из 3 каналов, то есть отказ 1 канала), 3 из 5 (парируется отказ 2 каналов), 4 из 7 (парируется отказ 3 каналов) и т.д. Пассивная отказоустойчивость применяется там, где недопустимы даже кратковременные перерывы в работе системы.
Активная отказоустойчивость требует времени на обнаружение, локализацию отказов и так называемую реконфигурацию системы, зато выигрышна с точки зрения избыточности. Проанализируем методы обеспечения пассивной отказоустойчивости цифровых устройств и систем.
Мажоритирование 2 из 3. В этом случае используется более чем трёхкратная избыточность - 3 канала одного цифрового устройства (рис. 1).
кі
к2
кЗ
>?. 2,1
¿2
Рис. 1. Мажоритирование
Рис. 2. Мажоритарный элемент с формированием номера ошибки
Мажоритарный элемент с формированием номера отказавшего канала представлен на рис. 2 (интегральные микросхемы, например, 561 ЛП3, 561 ЛП13) и описывается таблицей истинности (табл. 1).
Таблица 1
Таблица истинности мажоритарного элемента с формированием номера отказавшего канала
к3 к2 к1 ВС 21 22 23
0 0 0 0 0 0 0
0 0 1 1 0 0 1
0 1 0 2 0 1 0
0 1 1 3 1 1 1
1 0 0 4 0 1 1
1 0 1 5 1 1 0
1 1 0 6 1 0 1
1 1 1 7 1 0 0
Кроме того, необходимы три источника питания. Без учёта вероятности безотказной работы мажоритарного элемента получаем вероятность безотказной работы мажоритарной системы (м.с) с выбором 2 из 3:
Рм.с = Р3 + 3Р2(1 - Р) =1 - (1 - Р)3 - 3Р(1 - Р)2 = 3Р2 - 2Р3. (1)
Таким образом,
Рм2сиз3(ґ) = 3Р2 - 2Р3. (2)
Например,
Р = 0,9/Рм2сизъа) = 3(0,9)2 - 2(0,9)3 = 0,972. (3)
Для экспоненциальной модели отказов:
Рис = [3е~т - 2е-ш ] (4)
где 1 - интенсивность отказов одного канала.
Рис. 3. Мажоритирование мажоритарных элементов
С учётом отказов мажоритарного элемента:
Рм с = [3в-2Х‘ - 2в~зх‘ ]в~х, (5)
где 1мэ - интенсивность отказов мажоритарного элемента, і - время работы.
Как правило, мажоритарных элементов для отказоустойчивости -тоже три, и каждый выдаёт сигналы в следующий участок схемы (рис. 3). Т огда получаем
Рм с = [3в~2Х‘ - 2в~зх‘ ] [3в~2К э‘ - 2в~зх]. (6)
Мажоритирование 3 из 5. Известны примеры мажоритирова-ния 3 из 5:
рм3сиз 5 (і) = р5 + 5Р4 (1 - Р) +10Р3 (1 - Р)2. (7)
Например,
Р = 0,9/Рм3сиз5(і) = (0,9)5 + 5(0,9)4(0,1) +10(0,9)3(0,1)2 = 0,99144 . (8)
И.Н.Н.! (
Рис. 4. Сравнение одноканальной цифровой системы с мажоритированием: 1 - в~1‘ - без резервирования;
2 - рх(і) - 2 из 3; 3 - р2(і) - 3 из 5
Для экспоненциальной модели отказов без учёта мажоритарных элементов для схемы 3 из 5:
Рм3 сиз 5 (г) = + 5е-ы (1 _ е-1) +1 ое~31 (1 _ е~х< )2. (9)
Соответственно, необходимо пять мажоритарных элементов «3 из 5»:
рм3сиз 5 (г) = [е~5Х‘ + 5е~4Х( (1 _ е~Х() +10е“31 (1 _ е~Х( )2 ] X х [е-5^ + 5е~4Хм.э( (1 _ е~ХмЭ ) + 10_3Х мз‘ (1 _ е~Хмз‘ )2]. (10)
На рис. 4 представлены графики изменения вероятности безотказной работы ПЛИС без мажоритирования и с мажоритированием.
Мажоритирование с возможностью работы на одном канале. В этом случае система способна перестраиваться в дублированную и из неё в случае необходимости - в одноканальную. Для этого нужна более сложная дополнительная аппаратура. Без учёта этой дополнительной аппаратуры и мажоритарных элементов, которые также троируются, получим:
рмс1 = Р3 + 3Р 2( 1 _ Р) + 3Р( 1 _ Р)1 = 1 _ (1 _ Р)3. (11)
Например,
Р = 0,9/Рм.с1 = 1 _ (0,1)3 = 0,999. (12)
Как выбрать канал из двух оставшихся, если они начнут выдавать разные результаты?! При отказе одного канала - он блокируется, сравниваются результаты двух оставшихся. В случае несравне-ния производится оперативное тестирование, канал с ошибкой отключают. Если оперативное тестирование не приводит к обнаружению отказавшего канала, делать нечего, выбирают один из двух случайным образом.
Для экспоненциальной модели отказов с учётом мажоритарных элементов и дополнительной аппаратуры реконфигурации (интенсивность отказов Х )
Рмс = [1 _ (1 _е~х‘)3][3е'2(Хмэ +Хд)г _ 2е_3(Хмэ +Хд)г]. (13)
Выражение (13) не учитывает вероятности «промаха» в случае, если оперативное тестирование не приводит к обнаружению отказавшего канала.
б
Рис. 5. Графики изменения вероятности безотказной работы системы без мажоритирования, с мажоритированием и с глубоким мажоритированием к слоёв Х = 10_8
Глубокое мажоритирование. Мажоритируются отдельные подблоки блоков ПЛИС, например, АЛУ процессора, устройство управления и т.д. Иногда бывает так: ни один канал в «разваленном» состоянии не работает, а в мажоритарном - работа идёт!
Для экспоненциальной модели отказов и троированных ма-жоритаров
к
Ргм = П[3е~2Хк‘ _2е~ЗХк‘][3е_2Хмэг _2е~ЗХмэ‘]к, (14)
гм }=1
где Ргм - вероятность безотказной работы глубоко мажоритирован-ной структуры из к троированных слоёв, 1к - интенсивность отказов к-то троированного слоя, 1мэ - интенсивность отказов мажоритарного элемента, і - время работы.
Необходимо сравнить троирование всей структуры без разбивки на слои с одним троированным мажоритаром:
Рмс = [3в~2Хі - 2в~зх‘][3в~2Хмэ' - 2в~зхмэ'], (15)
где Х - интенсивность отказов всей структуры, Хмэ - интенсивность
отказов мажоритарного элемента, г - время работы.
На рис. 5 представлены графики изменения вероятности безотказной работы ПЛИС без мажоритирования, с мажоритированием и с глубоким мажоритированием.
Примем допущение, что Х - интенсивность отказов всей структуры разбивается на к одинаковых частей, тогда
_ 2Хг _ 3Хг
Ргм = [3е к _ 2е к ]к[3е_2Хмэг _ 2е_3Хмэг]к. (16)
1
Так, для 1 = 10-5 1мэ =—,а1 = 10,і = 102,103,104,105,106,107 по. а1
лучим оптимум для к = 12, і = 10 (рис. 6).
При 1 = 10-5, 1мэ =—,а! = 100,і = 102,103,104,105,106,107 полу. а1 1
чим оптимум для к = 115, і = 105 (рис. 7).
Рис. 6. Оптимум глубокого мажоритирования для к =12, г = 104
Рис. 7. Оптимум глубокого мажоритирования для к =115, г = 105
При 1 = 10-5 1 мэ =—,а1 = 1000,і = 102,103,104,105,106,107 по
. а1 1
лучим оптимум для к = 999, і = 106 (рис. 8).
Рис. 8. Оптимум глубокого мажоритирования для к = 999, г = 10
При этом стоимость системы увеличивается по сравнению с обычным мажоритированием:
См = 3С + 3Смэ + 3С„
м 1
м.э и.и’
(17)
где Сх - стоимость одного канала, Смэ - стоимость мажоритара,
Сип - стоимость источника питания. Задержка прохождения сигнала
увеличивается всего на величину задержки одного мажоритара тмэ.
В случае глубокого мажоритирования
Сг.м = 3С1 + 3кСм.э + 3Си.п, (18)
а задержка прохождения сигнала увеличивается на величину задержки к мажоритаров к-хм.э. Используются три мажоритарных мультиплексора (рис. 9).
Рис. 9. Мажоритарный мультиплексор с возможностью «развала» на отдельные каналы
Работа мажоритарного мультиплексора представлена в табл. 2:
Таблица 2
Подключение входов мажоритарного мультиплексора
а Ь 21
0 0 к1
0 1 к2
1 0 к3
1 1 мажоритирование
Подобные структуры обладают недостатком снижения производительности на 10-15 % за счет введения большого количества мажоритарных схем, однако конструкторы идут на это, компенсируя временные затраты другими методами [4].
Таким образом, наиболее эффективно «глубокое» мажоритиро-вание, но оно является и самым дорогим методом, кроме того, необходимо оценивать допустимое снижение быстродействия.
Библиографический список
1. ГОСТ 27.002-89. Надежность в технике Основные понятия. Термины и определения. - М.: Изд-во стандартов, 1990. - 42 с.
2. Надежность и эффективность в технике: справочник: в 10 т. / ред. совет во главе с В.С. Авдуевским (предс.) [и др.] Т.1: Методология. Организация. Терминология / под ред. А.И. Рембезы. - М.: Машиностроение, 1989. - 224 с.
3. Надежность и эффективность в технике: справочник: в 10 т. / ред. совет во главе с В.С. Авдуевским (предс.) [и др.]. Т.2: Математические методы в теории надежности и эффективности / под ред. Б.В. Гнеденко. - М.: Машиностроение, 1987. - 280 с.
4. Отказоустойчивые вычислительные системы / В.А. Бородин [и др.]. - М., 1990. - С. 55.
5. Айзенберг Я.Е., Ястребенецкий М.А. Сопоставление принципов обеспечения безопасности систем управления ракетоносителями и атомными электростанциями // Космічна наука та технологія. - 2002. - № 1. - С. 55-60.
6. Основи надійності цифрових систем: підручник / за ред. В.С. Харченка, В.Я. Жихарева. - Харків, 2004. - 572 с.
Получено 05.09.2011
