Тройное модульное резервирование

Тройное модульное резервирование. Три идентичные логические схемы (логические элементы) используются для вычисления указанной логической функции. Набор данных на входе первой схемы идентичен входу второго и третьего вентилей.

Мажоритарный вентиль с 3 входами, использующий 4 вентиля И-НЕ

В вычислительной технике тройная модульная избыточность , иногда называемая тройным режимом избыточности , ^[1] ( TMR ) представляет собой отказоустойчивую форму N-модульной избыточности, при которой три системы выполняют процесс, а результат обрабатывается системой большинства голосов. для получения одного результата. Если какая-либо из трех систем выйдет из строя, две другие смогут исправить и замаскировать неисправность.

Концепция TMR может применяться ко многим формам избыточности , например, к избыточности программного обеспечения в форме программирования N-версий , и обычно встречается в отказоустойчивых компьютерных системах .

Космические спутниковые системы часто используют TMR, ^{[2] [3]} , хотя спутниковое RAM обычно использует коррекцию ошибок Хэмминга . ^[4]

В некоторой памяти ECC используется аппаратное обеспечение тройного модульного резервирования (а не более распространенный код Хэмминга ), поскольку аппаратное обеспечение тройного модульного резервирования работает быстрее, чем аппаратное обеспечение исправления ошибок Хэмминга. ^[5] Некоторые системы связи, называемые кодом повторения , используют N-модульную избыточность как простую форму прямого исправления ошибок . Например, 5-модульные системы связи с резервированием (такие как FlexRay ) используют большинство из 5 выборок — если любые 2 из 5 результатов ошибочны, остальные 3 результата могут исправить и замаскировать неисправность.

Модульное резервирование — это базовая концепция, зародившаяся в древности, а первым использованием TMR в компьютере стал чехословацкий компьютер SAPO в 1950-х годах.

Общий случай

Общий случай TMR называется N-модульной избыточностью , при которой используется любое положительное количество повторений одного и того же действия. Обычно это число должно быть не менее трех, чтобы можно было исправить ошибки большинством голосов; его также обычно считают нечетным, поэтому связей не может быть. ^[6]

Логический вентиль большинства

В TMR три идентичные логические схемы (логические элементы) используются для вычисления одного и того же набора заданных логических функций. Если сбоев в цепи нет, выходы трех цепей идентичны. Но из-за сбоев в схеме выходные сигналы трех цепей могут быть разными.

Логический вентиль мажоритарного типа используется для определения того, какой из выходов схемы является правильным выходом. Выход мажоритарного вентиля равен 1, если два или более входов мажоритарного вентиля равны 1; выход равен 0, если два или более входов мажоритарного вентиля равны 0.

Логический элемент мажоритария представляет собой простую схему И-ИЛИ: если входы мажоритарного вентиля обозначены x, y и z, то выход мажоритарного вентиля равен

${\displaystyle xy\lor yz\lor xz}$

Таким образом, мажоритарный вентиль — это выход переноса полного сумматора , т. е. мажоритарный вентиль — это машина для голосования . ^[7]

Операция ПМР

Предполагая, что булева функция, вычисленная тремя идентичными логическими элементами, имеет значение 1, тогда: (a) если ни одна схема не вышла из строя, все три схемы выдают выходное значение 1, а выходной сигнал мажоритарного вентиля имеет значение 1. (b) если один Схема выходит из строя и выдает на выходе 0, в то время как две другие работают правильно и выдают на выходе 1, выходной сигнал мажоритарного вентиля равен 1, т. е. он по-прежнему имеет правильное значение. Аналогично и в случае, когда булева функция, вычисленная тремя идентичными схемами, имеет значение 0. Таким образом, выходной сигнал мажоритарного вентиля гарантированно будет правильным, пока не выйдет из строя не более чем одна из трех идентичных логических схем. ^[7]

Для системы TMR с одним избирателем надежности (вероятностью работы) R _v и тремя компонентами надежности R _m вероятность того, что она правильна, может быть показана как R _TMR = R _v (3 R _m ² – 2 R _m ³ ) . ^[6]

Системы TMR должны использовать очистку данных – периодически перезаписывать триггеры – чтобы избежать накопления ошибок. ^[8]

избиратель

Тройное модульное резервирование с одним избирателем (вверху) и тремя избирателями (внизу)

Сами ворота большинства могут выйти из строя. От этого можно защититься, применяя тройное резервирование к самим избирателям. ^[9]

В некоторых системах TMR, таких как цифровой компьютер ракеты-носителя «Сатурн» и системы функционального тройного модульного резервирования (FTMR) , избиратели также удваиваются. Используются три избирателя – по одному на каждую копию следующего этапа логики TMR. В таких системах не существует единой точки отказа . ^{[10] [11]}

Несмотря на то, что использование только одного избирателя приводит к единственной точке отказа – неудавшийся избиратель приведет к сбою всей системы – большинство систем TMR не используют тройных избирателей. Это связано с тем, что ворота большинства гораздо менее сложны, чем системы, от которых они защищаются, поэтому они гораздо более надежны . ^[7] Используя расчеты надежности, можно найти минимальную надежность избирателя, при которой TMR будет победой. ^[6]

Хронометры

Чтобы использовать тройное модульное резервирование, на корабле должно быть как минимум три хронометра ; два хронометра обеспечивали двойное модульное резервирование , позволяя выполнять резервное копирование, если один из них перестанет работать, но не допуская исправления ошибок , если два хронометра отображают разное время, поскольку в случае противоречия между двумя хронометрами было бы невозможно узнать, какой из них был неправильно ( полученное обнаружение ошибок было бы таким же, как если бы у вас был только один хронометр и его периодическая проверка). Три хронометра обеспечивали тройную модульную избыточность, позволяя исправлять ошибки, если один из трех был неправильным, поэтому пилот принимал среднее значение из двух с более точным показанием (голосование за среднюю точность).

На этот счет существует старая поговорка: «Никогда не выходите в море с двумя хронометрами; возьмите один или три». ^[12]

Главным образом это означает, что если два хронометра противоречат друг другу, как узнать, какой из них правильный? Когда-то это наблюдение или правило было дорогостоящим, поскольку стоимость трех достаточно точных хронометров превышала стоимость многих типов небольших торговых судов. ^[13] Некоторые суда имели более трех хронометров – например, HMS Beagle имел 22 хронометра . ^[14] Однако такое большое количество обычно перевозилось только на судах, проводящих исследовательские работы, как в случае с « Биглем» .

В современную эпоху корабли в море используют навигационные приемники GNSS (с поддержкой GPS , ГЛОНАСС , WAAS и т. д.), в основном работающие с поддержкой WAAS или EGNOS , чтобы обеспечить точное время (и местоположение).

В популярной культуре

• В научно-фантастическом романе Артура Кларка «Свидание с Рамой » Раманы активно используют тройную избыточность.
• В популярном аниме Neon Genesis Evangelion волхвы представляют собой набор из трех биологических суперкомпьютеров , которые должны согласиться большинством в 2/3 голосов, прежде чем вынести решение. ^{[ нужна цитата ]}

Смотрите также

• Отказоустойчивая система
• Локстеп (вычисления)
• Закон Сигала

Рекомендации

1. «Дэвид Рэттер. «FPGA на Марсе»» (PDF) . Проверено 30 мая 2020 г.
2. «Инженеры Actel используют трехмодульное резервирование в новой устойчивой к радиации FPGA» . Военная и аэрокосмическая электроника . Проверено 9 апреля 2017 г.
3. ECSS-Q-HB-60-02A: Справочник по методам смягчения радиационных эффектов в ASIC и FPGA.
4. «Коммерческие микроэлектронные технологии для применения в спутниковой радиационной среде». radhome.gsfc.nasa.gov . Архивировано из оригинала 4 марта 2001 года . Проверено 30 мая 2020 г.
5. «Использование StrongArm SA-1110 в бортовом компьютере наноспутника» . Космический центр Цинхуа, Университет Цинхуа, Пекин. Архивировано из оригинала 2 октября 2011 г. Проверено 16 февраля 2009 г.
6. Шуман, Мартин Л. (2002). «N-модульная избыточность». Надежность компьютерных систем и сетей: отказоустойчивость, анализ и проектирование . Уайли-Интерсайенс. стр. 145–201. дои : 10.1002/047122460X.ch4. ISBN 9780471293422.Примечания к курсу
7. Дилип В. Сарвате, Конспекты лекций для ECE 413 - Вероятность в инженерных приложениях, Департамент электротехники и вычислительной техники (ECE) , Инженерный колледж UIUC , Университет Иллинойса в Урбана-Шампейн
8. Заболотный, Войцех М.; Кудла, Игнаций М.; Позняк, Кшиштоф Т.; Бунковский, Кароль; Кержковский, Кшиштоф; Врочна, Гжегож; Кроликовский, Ян (16 сентября 2005 г.). «Радиационно-устойчивая конструкция системы RLBCS для детектора RPC в эксперименте LHC». Романюк, Рышард С.; Симрок, Стефан; Лутковский, Владимир М. (ред.). Применение фотоники в промышленности и исследованиях IV . Том. 5948. Варшава, Польша. стр. 59481E. дои : 10.1117/12.622864. S2CID  15987757.{{cite book}}: CS1 maint: отсутствует местоположение издателя ( ссылка )
9. AW Krings "Избыточность". 2007
10. Сэнди Хабинк (2002). «Функциональная тройная модульная избыточность (FTMR): методология проектирования VHDL для избыточности в комбинаторной и последовательной логике» (PDF) . Архивировано из оригинала (PDF) 5 июня 2012 г.
11. Лайонс, RE; Вандеркалк, В. (апрель 1962 г.). «Использование тройного модульного резервирования для повышения надежности компьютера» (PDF) . Журнал исследований и разработок IBM . 6 (2): 200–209. дои : 10.1147/рд.62.0200.
12. Брукс, Фредерик Дж. (1995) [1975]. Мифический человеко-месяц . Аддисон-Уэсли. п. 64. ИСБН 978-0-201-83595-3.
13. «Re: Долгота как романтика». Irbs.com, список рассылки навигации. 12 июля 2001 г. Архивировано из оригинала 20 мая 2011 г. Проверено 16 февраля 2009 г.
14. Р. Фицрой. «Том II: Труды второй экспедиции». п. 18.

Внешние ссылки

• Статья о TMR со ссылкой на использование TMR в авионике и промышленности.
• Джонсон Дж. М. и Виртлин М. Дж. (февраль 2010 г.). Алгоритмы вставки избирателей для проектов FPGA с использованием тройной модульной избыточности. В материалах 18-го ежегодного международного симпозиума ACM/SIGDA по программируемым вентильным матрицам (стр. 249–258). АКМ.