в ЦСБ принимается решение о дальнейшем функционировании СВМ, повторении выполнения программ и запуске процессора. Арбитражный элемент, входящий в ЦСБ, на основе сигналов запроса от контроллеров ПДП других СВМ обеспечивает освобождение шины процессорам и разрешает доступ СВМ к внутренней шине. ЦСБ управляет также работой других СВМ по внутренней шине и осуществляет сбор сигналов о неисправностях СВМ. В системе по запросу из внешней шикы ЗУ выдает запрашивающему СВМ необходимую информацию. В системе предусмотрена возможность управления данным СВМ по внешней шине внешними СВМ. Так,-например, внешний СВМ может получать информацию о неисправных состояниях адресуемого СВМ, управлять внутренней реконфигурацией, загружать и считывать данные и управлять системой ввода-вывода адресуемого СВМ.

По зарубежным источникам [1, 27, 35, 40] спецификой вычислительных систем космических летательных аппаратов является рассредоточенность обслуживаемых ими подсистем космического корабля. В то же время малые габариты, масса, энергопотребление СВМ на базе микро-ЭВМ и микропроцессоров, обладающих большими функциональными возможностями, позволяют располагать СВМ в непосредственной близости от подсистем корабля, объединяя их для решения ойцих задач. Поэтому в таких вычислительных системах используют иерархический принцип построения (системы типа С5), при котором СВМ низшего уровня связаны непосредственно с получением и обработкой первичной информации, а СВМ высшего уровня осуществляют координацию работы СВМ низшего уровня и обеспечивают получение и обработку информации в целом по системе.

Связь между модулями высшего и низшего уровней происходит по внешним шинам (жязи, однако круг выполняемых модулями функций может быть принудительно ограничен (например, введен запрет на считывание данных из СВМ верхнего уровня). С учетом этого в объединенной системе обработки данных различают СВМ высокого уровня (МВУ) и низкого уровня- терминальные модули (ТМ). Управление шинами связи при этом возлагается на МВУ, а в случае их отказа передается другим МВУ. В случае отказа шины два контроллера шин МВУ могут работать на одну (исправную) шину связи. Обмен данными между МВУ и ТМ происходит по сигналам прерывания длительностью 2,5 мс от МВУ, что обеспечивает синхронизацию МВУ и ТМ. После обнаружения неисправности средствами самоконтроля СВМ заменяется на исправный. После завершения вычислений один из исправных модулей может диагностировать этот неисправный модуль.

в системе STAR предусмотрен иерархический принцип обнаружения и устранения влияния неисправностей, восстановления и реконфигурации системы. В частности, модули д\ВУ осуществляют проверку и изоляцию шин связи и модулей нижнего уровня, управляют перегрузкой памяти и реконфигурацией при замене неисправных модулей, производят инициализацию при перемежающихся отказах. Таким образом создаются условия функционирования этой системы с планируемым сроком автономной работы в течение пяти лет.

МОДЕЛИ

ДИАГНОСТИРОВАНИЯ НЕИСПРАВНОСТЕЙ

1. МОДЕЛИ ВЫЯВЛЕНИЯ ОТКАЗОВ

Дальнейшее повышение производительности и расширение функциональных возможностей многомашинных отказоустойчивых систем связано с увеличением количества ЭМ в системе, следствием чего является возможность отказа большого количества ЭМ в процессе работы системы.

Использование внешних средств контроля и диагностирования в таких системах является, как правило,неоправданным, поскольку вмешательство таких средств в работу системы приводит к ее усложнению и снижению производительности. При этом дополнительно возникает проблема обеспечения надежной работы этих средств. Поэтому при определении работоспособности системы и диагностировании неисправностей Б ней целесообразно использовать взаимодействия ЭМ между собой, возникающие в процессе их функционирования. В процессе проверки системы в качестве элементов системы с определенными диагностическими характеристиками взаимодействия используют ЭМ.

Существует большое разнообразие моделей взаимодействия, описывающих диагностирование и контроль в многомашинных системах. - Наиболее распространенными являются модели, которые условно назовем Р-, В-, R- и К-моделями.

Р-модель [51] основана на представлении процесса контроля и диагностирования таким взаимодействием пар элементов системы (пара состоит из контролирующего и контролируемого элемента), следствием которого является получение множества результатов контроля. В каждой паре при исправности конт-

ролирующего элемента результат контроля правильно отражает состояние работоспособности контролируемого им зле-менга, т. е. работоспособный элемент признается работоспособным, а неработоспособный-неработоспособным. При отказе контролирующего элемента результат контроля мол:ет быть произвольным независимо от состояния контролируемого им элемента, т. е. контролируемый элемент признайся работоспособным или неработоспособным независимо от наличия отказа в нем.

Взаимодействия в рассматриваемой системе S можно представить графом G=G{V, Е). Множество V есть множество элементов системы Vc, i=l, п, ViV, а Е-множество связей {V{, Vj), viVjV, образуемых при контроле элементом Vi элемента Vj. Тогда для Р-моделей при наличии связи (vt, Vj) получаемый результат контроля описывается следующим образом:

0, если элемент у,- признает элемент Vj работоспособным;

1, если элемент ц,- признает элемент Vj нер аботоспособны м.

При работоспособности элемента Vi (vi = 0) результат ot/ совпадает с состоянием элемента Vj, а при отказе в элементе Vt{vi= 1) значение Uij будет произвольным-О или 1.

Множество значений системы называется синдромом.

Приведенная в работе [371 В-модель отличается от Р-мо-дели лишь тем, что недействительным считается получение результата контроля а,у = О при наличии отказов одновременно в элементах о,- и Vj. Применение В-модели приводит к меньшему количеству допустимых состояний работоспособности системы.

Введенная в работе [52] R-модель предусматривает описание проверки одного элемента несколькими другими аппарат-но или с помощью программных процедур. В системах, описываемых такими моделями, «элементам ставится в соответствие множество Fo допустимых одиночных неисправностей /,: 0 = i/i. • • • » fn], для которых задается множество J тестов hj, / = 1, .... р, J = [hi, .... hp}. При этом предполагается, что каждый тест является полным тестом для одной неисправности из множества

Тест hj считается полным для неисправности /,-, если он не проходит при наличии неисправности Д- и проходит при отсутствии неисправностей из множества F„. Например, для комбинационного элемента тест не проходит, если существует по крайней мере один такой входной код, при котором код на выходе элемента отличен от кода работоспособного элемента.