обеспечение отказоустойчивости систем

Основным требованием к многомашинным системам является высокая производительность, которая зависит от их быстродействия, надежности и продолжительности обмена информацией с внешними устройствами. Создание гибких, многофункциональных систем, способных автономно функционировать при ограниченном участии человека в течение длительного времени, позволяет расширить сферы использования многомашинных систем. Важной проблемой при их эксплуатации является обеспечение отказоустойчивости при наличии неисправностей. Система считается отказоустойчивой или нечувствительной к неисправностям, если ее организация пре-дусматривас! устранение последствий неисправностей или отказов элементов и программного обеспечения системы за счет использования аппаратной, информационной и алгоритмической избыточности.

В отказоустойчивых системах необходимо различать отказ элементов системы и отказ системы в целом. Если система обладает свойствами отказоустойчивости, то при отказах элементов она обычно сохраняет работоспособность в отличие от систем, не обладающих свойствами отказоустойчивости.

Отказ элементов отказоустойчивой системы может быть необратимым, т. е. быть, например, следствием возникающих в системе дефектов или носить самоустраняющийся характер. Самоустраняющиеся отказы до момента их идентификации называют перемежающимися отказами. Поскольку в системе возможно, в частности при повреждениях, возникновение состояний, не приводящих ее в неработоспособное состояние, то можно говорить об устранении последствий неисправностей. Переход системы в неисправное состояние в результате, например, повреждения, может через определенное время привести к раннему прекращению ее использования по назначению ввиду возникновения отказа системы или перехода системы в предельное состояние. Предельное состояние отказоустойчивой системы может возникнуть при определенных условиях, например, в случае неработоспособности системы.

возникновения предаварийных режимов работы или перехода в состояние, при котором дальнейшее использование системы нецелесообразно или недопустимо ввиду вредности или опасности при дальнейшей эксплуатации.

Поскольку существует много разных способов обеспечения избыточности в системе, а функции системы ограничены определенным кругом решаемых задач, то часто используется более узкое понятие отказоустойчивых систем. Например, для отказоустойчивых вычислительных систем основной задачей является способность их правильно выполнять заданные алгоритмы при наличии отказов в аппаратуре, ошибках в программе и т. д. Введение в этом случае аппаратурной и информационной избыточности может, например, обеспечить прекращение работы системы при аварийных ситуациях, вычисление по эквивалентным или по альтернативным алгоритмам при обнаружении отказа в системе. Мера, которой оценивают нечувствительность системы к возникающим в ней неисправностям (отказам), называется свойством отказоустойчивости или просто отказоустойчивостью. В качестве оценки меры часто принимают наибольшее количество неисправных элементов, при котором система способна устранить последствия неисправностей.

Избыточность в отказоустойчивой системе используется для организации процесса идентификации отказов и устранения их влияния на правильность выполняемых системой функций. Избыточность в системе обеспечивается, в частности, информационным, структурным, функциональным, временным и нагрузочным резервированием. Прекращение пользования системой при резервировании происходит после исчерпывания имеющихся резервов системы или при переходе ее в предельное состояние.

Попытки обеспечить отказоустойчивость в системах относятся к первому поколению ЭВМ, в которых применялись, в основном, различные средства и методы резервирования с небольшой кратностью резерва: нагруженное постоянное и общее резервирование на уровне процессоров, раздельное резервирование на уровне функциональных плат и узлов, информационное резервирование данных и программ, которые продолжают широко использоваться в современных системах.

Отказоустойчивость, например, в системах SAPO, SAGE, обеспечивалась тройным постоянным резервированием модулей процессора и информационным резервированием данных, хранимых в запоминающих устройствах (ЗУ) [1].

Созданная позднее электронная система коммутации ESS, структура которой показана на рис. 1,а, включает быстродей-

ствующий дублируемый центральный процессор и периферийные устройства, непосредственно управляющие коммутацией телефонных каналов [321.

Резервный процессор обеспечивает управление системой при обнаружении отказов в основном процессоре. При этом работать может только один из них. Каждый процессор ESS первого поколения содержит центральное устройство управления ЦУУ и два устройства памяти: запоминающее устройство программ ЗУП и вызовов ЗУВ. В ЗУ/7, выполненном в виде постоянного запоминающего устройства (ПЗУ), нахо-

ЗУП Н- да Т

Процессор С

Перисрерийиые блоки

ПроцторО

Рис. 1. Системы ESS: структурная схема; б - архитектура

дятся программы обработки вызовов, обслуживания системы и программы диспетчеризации, а также параметры системы и ряд рабочих программ. Резервирование на уровне процессоров не обеспечивает высокой надежности при малых аппаратурных затратах. Поэтому в системе ESS второго поколения, структура которой показана на рис 1,6, резервирование ведется уже на уровне устройств: ЗУП, ЗУВ, ЦУУ, а также шин вызовов, программ и периферийных блоков.

Центр обслуживания, включающий схему сравнения, производит сравнение данных обмена между ЗУП и ЦУУ, выдачу по шинам ошибок команд останова резервного ЦУУ или прогона программ диагностирования рабочего ЦУУ. Локализация неисправностей осуществляется с помощью диагностической программы и встроенной аппаратуры контроля (схем самопроверки), которая контролирует также микропрограммное управление системы. Защита от неисправностей в ЗУВ производится дублированием записей в рабочем и резервном ЗУ. При возникновении неисправностей в рабочем