Использование структуры из групп ВМ приводит к сокращению количества контроллеров К., позволяет обеспечить взаимоисключающий доступ к структурам данных памяти.

В контроллер К введены специальные аппаратные средства - «ловушки», используемые при аппаратном и микропрограммном диагностировании. В коммутаторе КМ имеются регистры для хранения диагностической информации от контроллера К- При наличии ошибки дальнейшее выполнение следующей команды блокируется до ликвидации ошибки. При наличии ошибки предусмотрен прием сообщения по другому физическому тракту через контроллер К, (рис. 8,6).

ИвкгрутШие шины

Шина отоИракения адреса

Шина отоВртешя адреса

г- КМ

05щря шина

Рис. 8. Структура системы Cm* с простыми межмодульными связями (а) и с местными коммутаторами (б)

В системе предусмотрено выполнение программ самодиагностирования любым БМ, связанным последовательным каналом с машиной-диспетчером. Получив информацию о занятости ВМ, машина-диспетчер загружает в свободные модули диагностические программы и выдает команду на их выполнение. Диагностические программы применяются, в основном, для поиска постоянных отказов и лишь частично - перемежающихся. Программы загружаются последовательно, контролируя отдельные части модуля. Условием окончания диагностирования является обнаружение заданного количества ошибок или успешное завершение многократных прогонов программ. Диагностическими программами выявляют, в частности, зацикливание работы модуля, превышение данного времени ожидания символа от диспетчера, а также ряд неисправностей контроллера К, основной памяти ОП и местного коммутатора КМ, процессора П (рис. 8,6).

Данные эксплуатации системы в течение одного года показали, что диагностирование центрального процессора занимает лишь 10 % общего времени проверки системы. Среднее вре-

мя наработки на отказ за год увеличилось со 128 до 563 ч (из расчета на один ВМ) при периоде до 30 мин между загрузкой диагностических программ. Таким образом, применение микропроцессоров и более совершенная организация взаимодействия модулей в системе С. m привели к значительному повышению отказоустойчивости по сравнению с системой С. штр.

1-й тЬуль памяти

Бзш м <:: Бзш

53Ш 1> виш С: БЗШ

Блок и

процессора

КЭШ- памяти

ShHbf доступа

-ж-J А . И I--Ж-

п-й модуль памяти

БЗШ Ш БЗШ

Блок и

процессора КШ1= памяти

В систему Из системы -Q

Рис. 9. Структура системы FTMR

Несколько иной подход использован для обеспечения отказоустойчивости в системах FTMR и SIFT, имеющих интенси в-ность отказов 10®-10° отказов /ч [6,58].

В обеих системах используется тройное модульное смешанное резервирование процессоров и блоков памяти, которое обеспечивает высокую достоверность вычислений. Смешанное резервирование заключается в перестройке триад элементов (процессоров, блоков памяти) в новые триады, в которых неисправности маскируются (использован принцип голосования 2 из 3, ЗизЗ).

Отказоустойчивость системы FTMR обеспечиваетсч в три этапа:

обнаружение, локализация и удаление неисправного элемента из триады;

замена (восстановление) его исправным;

инициализация перестроенной триады.

Система FTMR (рис. 9) состоит из модулей (блоков) процессоров с блоками КЭШ-памяти (индивидуальной промежуточной памяти), соединенных с резервированными шинами доступа к памяти и к интерфейсу через блоки защиты шины БЗШ, вентили изоляции шины ВИШ. В систему входят модули памяти, соединенные с шиной через БЗШ, ВИШ и блоки доступа к вводу-выводу БДВВ.

В число функций управления блоков БЗШ входит выбор режима питания, триад шин модулей памяти и тракта передачи некоторых схем проверки. Адресация блоков БЗШ производится к общей памяти, причем в каждый момент выпшшяет-ся лишь одна предшествующая команда. При возникновении отказа блоки БЗШ стремятся перевести систему в состояние, неопасное для продолжения работы. Отказы в самих блоках БЗШ приводят к отключению всего модуля или к перестройке триад шин (например, использование резервных).

В процессе работы системы участвуют триады модулей процессоров и памяти и триады шин. Выбор триад модулей определяется только готовностью выбираемых модулей к работе. При работе системы независимо полученные данные передаются по трем независимым между собой шинам, что обеспечивает повышение достоверности вычислений. В системе могут одновременно функционировать несколько триад модулей памяти и процессоров, однако совместно лишь одна триада памяти и одна триада шин интерфейса. Поиск неисправностей в элементах триад производится сравнением выходов элементов триады с использованием блоков БЗШ и ВИШ и зондированием. В последнем случае один из элементов триадь! выдает ошибки, а два других -проверяют, что позволяет устранить накопление неисправностей и повысить глубину поиска дефекта.

Исключение неисправного процессора из триады процессоров происходит через его БЗШ после завершения шага задания, что занимает время меньше одной секунды. После исключения неисправного процессора резервный модуль процессора, если он имеется, через свой БЗШ связывается с соответствующей шиной по команде процессорной триады, назначенной для выполнения реконфигурации. При отсутствии резервных модулей процессоров триада с неисправными модулями отключается, причем исправные процессоры можно использовать как резервные.