Тройное модульное резервирование - Triple modular redundancy

Тройное модульное резервирование. Три идентичные логические схемы (логические вентили) используются для вычисления указанной логической функции. Набор данных на входе первой схемы идентичен входу вторых и третьих вентилей.
Большинство ворот с использованием 4 Ворота NAND

В вычисление, тройное модульное резервированиеиногда называют трехрежимное резервирование,[1] (TMR) это отказоустойчивой форма N-модульное резервирование, в котором три системы выполняют процесс, и этот результат обрабатывается системой с большинством голосов для получения единого результата. Если одна из трех систем выходит из строя, две другие системы могут исправить и замаскировать неисправность.

Концепция TMR может применяться ко многим формам избыточность, например, избыточность программного обеспечения в виде Программирование N-версии, и обычно встречается в отказоустойчивые компьютерные системы.

В космических спутниковых системах часто используется TMR,[2][3] хотя спутниковая RAM обычно использует Исправление ошибок Хэмминга.[4]

Немного Память ECC использует оборудование с тройным модульным резервированием (а не более распространенное Код Хэмминга ), потому что оборудование с тройным модульным резервированием быстрее, чем программное обеспечение для исправления ошибок Хэмминга.[5] Некоторые системы связи используют N-модульное резервирование как простую форму упреждающее исправление ошибок. Например, 5-модульные системы связи с резервированием (такие как FlexRay ) используйте большинство из 5 образцов - если какие-либо 2 из 5 результатов ошибочны, остальные 3 результата могут исправить и замаскировать ошибку.

Модульное резервирование - это базовая концепция, восходящая к древности, в то время как первым применением TMR в компьютере был чехословацкий компьютер. SAPO, в 1950-е гг.

Хронометры

Для использования тройного модульного резервирования на корабле должно быть не менее трех хронометры; предусмотрено два хронометра двойное модульное резервирование, разрешая резервное копирование, если кто-то должен перестать работать, но не разрешая исправление ошибки если бы два хронометра отображали разное время, так как в случае противоречия между двумя хронометрами было бы невозможно узнать, какой из них был неправильным ( обнаружение ошибок получится то же самое, если у вас будет только один хронометр и периодически его проверять). Три хронометра обеспечивают тройное модульное резервирование, что позволяет исправление ошибки если один из трех был неправильным, пилот будет брать среднее из двух с более близким чтением (голосование за среднюю точность).

На этот счет есть старая пословица: «Никогда не выходите в море с двумя хронометрами; возьмите один или три».[6]

В основном это означает, что если два хронометры противоречить, как узнать, какой из них правильный? В свое время это наблюдение или правило было дорогостоящим, поскольку стоимость трех достаточно точных хронометров превышала стоимость многих типов небольших торговых судов.[7]На некоторых судах было более трех хронометров - например, HMS Beagle унесенный 22 хронометра.[8] Однако такое большое количество обычно выполнялось только на судах, проводивших изыскательские работы, как в случае с Бигль.

В современную эпоху корабли в море используют GNSS навигационные приемники (с GPS, ГЛОНАСС & WAAS и т.д.) - в основном работает с WAAS или EGNOS поддержка, чтобы указать точное время (и местоположение).

Логический вентиль большинства

Таблица истинности избирателя с 3 входами
ВХОДВЫХОД
АBC〈A, B, C〉
0000
0010
0100
1000
0111
1011
1101
1111

В TMR три идентичные логические схемы (логические вентили) используются для вычисления одного и того же набора указанной булевой функции. Если отказов цепей нет, выходы трех цепей идентичны. Но из-за сбоев схемы выходы трех схем могут отличаться.

Логический вентиль большинства используется, чтобы решить, какой из выходов схемы является правильным выходом. Выход мажоритарного гейта равен 1, если два или более входов мажоритарного вентиля равны 1; output равен 0, если два или более входов большинства вентилей равны 0.

Мажоритарный логический вентиль представляет собой простую схему И – ИЛИ: если входы в мажоритарный вентиль обозначены x, y и z, то выход мажоритарного элемента равен

Таким образом, большинство ворот - это переносить вывод из полный сумматор, т.е. мажоритарный вентиль является машина для голосования.[9]

Операция TMR

Предполагая, что логическая функция, вычисленная тремя идентичными логическими вентилями, имеет значение 1, тогда: (a) если ни одна из схем не вышла из строя, все три схемы выдают на выходе значение 1, а выход большинства вентилей имеет значение 1. (b) если один Схема выходит из строя и выдает на выходе 0, в то время как два других работают правильно и выдают на выходе 1, выход большинства вентилей равен 1, т. е. он все еще имеет правильное значение. И аналогично для случая, когда логическая функция, вычисленная тремя идентичными схемами, имеет значение 0. Таким образом, выход большинства вентилей гарантированно будет правильным, пока не вышла из строя не более чем одна из трех идентичных логических схем.[9]

Для системы TMR с одним избирателем надежность (вероятность работы) рv и три составляющих надежности рм, можно показать, что вероятность его правильности равна рTMR = Rv (3 рм2 - 2 рм3).[10]

Системы TMR должны использовать очистка данных - периодически переписывать триггеры - во избежание накопления ошибок.[11]

Избиратель

Тройное модульное резервирование с одним избирателем (вверху) и тремя избирателями (внизу)

Сама система ворот большинства могла выйти из строя. От этого можно защититься, применив тройное резервирование самих избирателей.[12]

В некоторых системах TMR, таких как Цифровой компьютер ракеты-носителя "Сатурн" и функциональное тройное модульное резервирование (FTMR) системы, избиратели также троекратны. Используются три избирателя - по одному на каждую копию следующего этапа логики TMR. В таких системах нет единая точка отказа.[13][14]

Несмотря на то, что использование только одного избирателя приводит к единственной точке отказа - неудачливый избиратель приведет к выходу из строя всей системы - большинство систем TMR не используют трехкратных избирателей. Это связано с тем, что большинство ворот намного менее сложны, чем системы, от которых они защищаются, поэтому они намного сложнее. надежный.[9] Используя расчеты надежности, можно найти минимальную надежность избирателя для того, чтобы TMR стал победителем.[10]

Общий случай

Общий случай TMR называется N-модульное резервирование, в котором используется любое положительное количество повторений одного и того же действия. Число обычно принимается равным по крайней мере трем, чтобы можно было исправить ошибку большинством голосов; это также обычно считается странным, чтобы не было никаких связей.[10]

В популярной культуре

  • Три предварительных винтика в Отчет меньшинства привести к убеждению, даже если кто-то не согласен.
  • Чтобы исключить, что единственная победа была «случайностью», в некоторых соревнованиях используется два из трех падений совпадают. Однако это не соответствует действительности TMR, потому что три падения не являются независимыми друг от друга - каждый участник знает, у кого больше всего падений в любой момент соревнования, что влияет на их дальнейшие действия.
  • В Артур Кларк научно-фантастический роман Свидание с Рамой Раманы активно используют тройное резервирование.
  • В популярном аниме Евангелион Neon Genesis, Волхвы - это набор из трех биологические суперкомпьютеры которые должны согласиться с большинством в 2/3 голосов перед вынесением решения.

Смотрите также

Рекомендации

  1. ^ «Дэвид Раттер». FPGA на Марсе"" (PDF). Получено 30 мая, 2020.
  2. ^ «Инженеры Actel используют трехмодульное резервирование в новой ПЛИС Rad-Hard». Военная и аэрокосмическая электроника. Получено 2017-04-09.
  3. ^ ECSS-Q-HB-60-02A : Справочник по методам снижения радиационных эффектов в ASIC и FPGA
  4. ^ «Технологии коммерческой микроэлектроники для применения в радиационной среде спутников». radhome.gsfc.nasa.gov. Получено 30 мая, 2020.
  5. ^ «Использование StrongArm SA-1110 в бортовом компьютере наноспутника». Космический центр Цинхуа, Университет Цинхуа, Пекин. Архивировано из оригинал на 2011-10-02. Получено 2009-02-16.
  6. ^ Брукс, Фредерик Дж. (1995) [1975]. Мифический человеко-месяц. Эддисон-Уэсли. п.64. ISBN  978-0-201-83595-3.
  7. ^ "Re: Долгота как романтика". Irbs.com, список рассылки по навигации. 2001-07-12. Архивировано из оригинал на 2011-05-20. Получено 2009-02-16.
  8. ^ Р. Фицрой. «Том II: Труды Второй экспедиции». п. 18.
  9. ^ а б c Дилип В. Сарват, Лекционные заметки по ECE 413 - Вероятность с инженерными приложениями, Департамент электротехники и вычислительной техники (ECE), UIUC инженерный колледж, Иллинойсский университет в Урбана-Шампейн
  10. ^ а б c Shooman, Мартин Л. (2002). «N-модульное резервирование». Надежность компьютерных систем и сетей: отказоустойчивость, анализ и проектирование. Wiley-Interscience. стр.145 –201. Дои:10.1002 / 047122460X.ch4. ISBN  9780471293422. Примечания к курсу
  11. ^ Заболотный, Войцех М .; Кудла, Игнаций М .; Позняк, Кшиштоф Т .; Бунковски, Кароль; Кежковский, Кшиштоф; Врохна, Гжегож; Кроликовски, Ян (16 сентября 2005 г.). «Радиационно-стойкий дизайн системы RLBCS для детектора RPC в эксперименте на LHC». В Романюке, Ryszard S .; Симрок, Стефан; Лутковский, Владимир М. (ред.). Применение фотоники в промышленности и исследованиях IV. 5948. Варшава, Польша. стр. 59481E. Дои:10.1117/12.622864.
  12. ^ A.W. Крингс.«Избыточность».2007
  13. ^ Сэнди Хабинц (2002). «Функциональная тройная модульная избыточность (FTMR): методология проектирования VHDL для избыточности в комбинаторной и последовательной логике» (PDF). Архивировано из оригинал (PDF) на 2012-06-05.
  14. ^ Lyons, R.E .; Вандеркулк, В. (апрель 1962 г.). «Использование тройного модульного резервирования для повышения надежности компьютера» (PDF). Журнал исследований и разработок IBM. 6 (2): 200–209. Дои:10.1147 / rd.62.0200.

внешняя ссылка