ЗУБ в работу включается резервное. Отказоустойчивость в системах ESS обеспечивается следующими мерами:

обнаружением неисправностей путем сравнения выходов идентичных синхронно работающих блоков;

введением избыточного кодирования (в частности, использованием кодов т из п) цифровой информации в системе;

применением встроенных схем контроля, которые совместно с диагностическими программами позволяют устранять влияние значительной части неисправностей;

использованием таймера аварий, который разрешает перебор возможных конфигураций системы с целью создания работоспособной структуры. Работоспособность выбранной конфигурации процессора определяется с помощью специальной программы;

введением специального канала обслуживания, по которому производится диагностирование одного процессора другим;

автоматическим и ручным восстановлением процессора при обнаружении неисправностей.

Восстановление работоспособности системы при неисправностях в аппаратной части осуществляется отключением рабочего процессора и запуском резервного. Переход на продолжение программы происходит в три этапа: установка состояния системы (задание начального адреса, состояний регистров ошибки, сброс триггеров остановки и др.); защита данных, хранимых в резервном ЗУ; запуск программ. Ручное восстановление используется в тех случаях, когда автоматическое не обеспечивает приведение системы в работоспособное состояние, например, в случае безуспешной многократной инициализации. Способы обеспечения отказоустойчивости описанных систем характерны для систем малой производительности. Повышение производительности в 10 раз и пятикратное увеличение числа обслуживаемых устройств ввода-вывода за счет сокращения времени обслуживания, поиска неисправностей и восстановления работоспособности достигается в сети мини-ЭВМ ARPANET на основе отказоустойчивых мультипроцессоров PLURIBUS 1281.

Мультипроцессор состоит из модулей, называемых шинами ввода-вывода, процессорными шинами и шинами памяти. В каждую из шин входит арбитр, соединители и функциональная часть. Функциональной частью процессорной шины являются один или два процессора и местная память, шины памяти - ряд блоков памяти, шины ввода-вывода - интерфейсы, устройства псевдопрерываний (УПП), удлинители шин и интерфейсы связи (рис. 2). Срязь между компонентами ширы

выполйяется no общей шине, а связи между шинами - через соединители. Наиболее часто используемые программы хранятся в местной памяти каждой процессорной шины, а редко используемые - в шинах памяти.

Соединитель шин

Соединитель шин

Синхрони-затор

- УПП

Интерсрейс связи

Рис. 2. Состав модулей PLURIBUS г-.

Удлинитель шин

Интерсрейс

В мультипроцессоре применяется программное диагностирование и информационное резервирование (в частности, дополнительные разряды четности) в обрабатываемых и передаваемых данных. Проверяется четность данных и адресов по всем путям, образованным соединителями, причем дополнительно обнаруживаются также отказы типа «все нули», «все единицы» на общих шинах. Системное диагностирование выполняется с помощью специальных программных тестов. При обнаружении неисправностей программное обеспечение использует избыточность аппаратных средств для образования новой логической конфигурации системы, в которой

отсутствуют отказавшие блоки. Предусмотрены также специальные переключатели, позволяющие отключать отдельные шины. При этом подключение и блокировка трактов доступа производится любым процессором, который может принимать решение о неисправности контролируемого процессора.

Мультипроцессор имеет систему защиты от тяжелых остановов и восстановления работоспособности при отказах в аппаратуре, ошибках в программном обеспечении, построенную на основе операционной системы STAGE. Эта система поддерживает достоверную карту текущего состояния имеющихся программных и аппаратных ресурсов (как своих, так и прикладной операционной системы).

Карта ресурсов составляется на основе многоэтапного испытания и проверки правильности работы системы с помощью ресурсов, проверенных на предшествующих шагах (примитивов операционной системы). Для координации работы различных процессоров при определении конфигурации системы используются три массива соглашений: «следующий», «сглаженный» и «фиксация», в которых каждому из процессоров соответствует свой разряд. Перед началом соглашения запросы посылаются процессорами в массив «следующий», который переносится в «сглаженный» через время, достаточное для определения состояния участвующих процессоров. Состав процессоров, участвующих в работе системы, определяется картой конфигурации. Процессор, модифицирующий информацию о конфигурации, записывает единицу в свой разряд массива «фиксация». Процессоры, согласные с картой конфигурации, сбрасывают свои разряды. Сбрасываются также разряды, соответствующие процессорам, не вошедшим в массив «сглаженный». Перед проведением фиксации все процессоры ждут, чтобы массив «фиксация» совпал с массивом «сглаженный», обеспечивая тем самым возможность принятия согласованной карты конфигурации. Решение о модификации карты конфигурации может быть принято также по большинству процессоров.

При обнаружении отказа процессор устанавливает в единицу свой разряд в массиве «фиксация», блокируя выполнение следующих этапов. При достаточно большом количестве процессоров, обнаруживших отказ, происходит реконфигурация в описанном выше порядке. При несоглашении неисправного процессора с предложенной конфигурацией он зависает в точке обнаружения несоответствия. Однако в дальнейшем он вновь может включиться в работу.

В мультипроцессоре имеется возможность восстановления структур данных и прикладных программ, причем для ради-