Анатомия подмены понятий
Смысл, который скрывается за вроде бы правдоподобными рассуждениями, может ввести в заблуждение кого угодно, если не знать в точности, как работает та или иная схема. И только после детального изучения становится понятным, что "в действительности все совсем не так, как на самом деле".
Попробуем разобраться, какую архитектуру подразумевает аббревиатура 2оо4, и внимательно рассмотрим наш случай произвольной интерпретации.
Гибридная схема "2оо4" (2*2).
Структурная схема центральной части гибридной архитектуры "2оо4м выглядит следующим образом:
Именно таким образом построено ядро систем 1oo2D, у которых ставится по два процессора на каждый из дублированных модулей управления.
Схема на рис 1.21 совершенно точно отражает главное свойство данной архитектуры:
Отказ любого элемента канала означает отказ канала.
А поскольку канал имеет удвоенное количество элементов, то соответственно, и вероятность отказа канала по сравнению с обычной схемой резервирования удваивается. В данной работе, чтобы не смешивать архитектуру рис. 1.21 с классической архитектурой 1oo2D, она обозначается как 1oo2D (2*2) или "2оо4".
Но некоторые из особо восторженных поклонников этой схемы смело обозначают ее как архитектуру 2оо4, или того пуще - 2oo4D, и легко распространяют это обозначение на всю архитектуру системы безопасности - целиком, и без всяких кавычек. Этот простейший прием дает колоссальный эффект в увеличении надежности системы - и без малейших усилий. Посмотрим, как это делается.
Выстраивается следующая цепочка рассуждений:
- Данная архитектура имеет N = 4 элемента.
- Отказ одного из элементов приводит к отказу всего плеча, на котором этот элемент находится, то есть выводит из работы сразу два элемента.
- Система сохраняет работоспособность на оставшихся двух элементах.
- Значит, для нормальной работы системы достаточно М = 2 элементов.
- Таким образом, система деградирует по схеме 4-2-0.
- Согласно определению, аббревиатура MooN (М out of N) обозначает, что для правильного функционирования системы необходимо, чтобы М из N каналов работали нормально.
Если система построена на N каналах, и для нормальной работы системы необходимо М каналов, то это означает, что система способна пережить отказ (N — М) каналов без потери функциональности. Соответственно, для отказа системы необходимо, чтобы отказали (N — М + 1) каналов. - Наша система полностью соответствует этому определению: Система построена на 4 элементах, и для нормальной работы системы необходимо 2 элемента. Это означает, что система способна пережить отказ (4-2) элементов без потери функциональности. Соответственно, для отказа системы необходимо, чтобы отказали (4 - 2 + 1) = 3 элемента.
- Вывод: Система рис. 1.21 имеет архитектуру 2оо4.
Теперь, если непринужденно произвести "обратное преобразование" аббревиатуры 2оо4 в архитектуру, то удается легко интерпретировать ее уже как четырехканальную (хотя очевидно, что в исходной архитектуре о четырех каналах и речи нет):
- Как мы только что выяснили, система имеет архитектуру 2оо4.
- Поскольку согласно этому определению, для нормальной работы системы достаточно двух элементов, то для отказа системы 2оо4 необходимо, чтобы отказало N - М + 1 =4-2+1=3 элемента.
- Вероятность отказа трех независимых элементов равняется:
- Ч. Т.Д.
Эта элементарная манипуляция дает возможность утверждать, что гибридная архитектура "2оо4" имеет уже не второй порядок частоты отказа, а третий. Естественно, при этом совершенно нет никакой нужды упоминать, что найденная вероятность принадлежит совсем другой, действительно четырех-канальной архитектуре:
Вот так вполне безобидный с виду ход позволяет без лишних хлопот поднять надежность системы до недосягаемой высоты. В действительности же вероятность отказа схемы 2*2 (рис. 1.21) при условии, что все элементы эквивалентны, определяется следующим соотношением:
то есть в четыре раза превышает вероятность отказа архитектуры 1оо2.
Специфические особенности архитектуры "2оо4" подробно исследованы в настоящей работе.
Но главное свойство этой архитектуры необходимо отметить сразу:
По отношению к отказам удвоение числа элементов канала эквивалентно удвоению частоты отказа исходного элемента. А второй порядок вероятности отказа от частоты для двухканальной системы приводит к учетверенному значению вероятности отказа по отношению к системе 1oo2D с одним элементом в канале.
Алгоритмы самодиагностики архитектур 1oo2D и "2оо4" тождественны:
- Способ диагностики канала для схемы "2оо4" - сравнение результатов работы двух логических элементов.
- Способ диагностики канала для схемы 1oo2D - независимая диагностическая цепь.
- Способ диагностики состояния центральной части обеих архитектур - сравнение результатов диагностики каждого из каналов.
Необходимо отметить, что с помощью независимых диагностических цепей в архитектуре 1oo2D достигается своего рода альтернативное резервирование на основе схемной реализации.
Диагностические цепи осуществляют строго специфические функции обнаружения отказов и, соответственно, организованы гораздо более жестко по сравнению с основными процессорами.
Архитектура 1oo1D одного канала системы 1oo2D вполне может превосходить по надежности архитектуру одного канала 1оо2 системы 1oo2D (2*2).
На вопрос: какая из этих архитектур a priori обеспечивает более высокий уровень диагностики? - ответить однозначно невозможно. Только непосредственный опыт реализации во множестве предыдущих воплощений может придать уверенность в правильности выбора.
Именно по этой причине стандарты IEC предъявляют очень жесткие требования к полевым испытаниям систем безопасности, причем не на своем, а на чужом поле. Мы должны ясно понимать и твердо помнить, что для них таковым является наше, русское поле.
Те преимущества систем QMR, которые превозносятся энтузиастами этих систем, как то:
- "The key features of the Hi Quad (Quad Modular Redundant) system are as follows:
Mode of Operation:
Unlimited Operation on a Single Channel -Никак не соответствует требованиям стандарта IEC 61508; - RateduptoTUVRC6(SIL3)-Справедливо только в конфигурации 1oo2D;
- Three Times Better Safety Performance than TMR -Справедливо только для обычных 1oo2D архитектур. Для архитектур QMR "2оо4" при прочих равных условиях все-таки несколько ниже, чем 2ооЗ;
- Availability Equal to TMR (см. выше)
- Less Common Cause Susceptibility than TMR
На то они и общие, что при прочих равных условиях производят на систему общий катастрофический эффект. Потому и сказываются в общем, то есть одинаково; - Lower Life Cycle Cost", -
Эти мнимые преимущества, если и присущи системам QMR "2оо4", то ровно настолько, насколько они присущи всем системам с архитектурой 1oo2D.
Таким образом, выводы, которые делает Бэкман в конце своей публикации, таки остаются и пребывают фактическим концом публикации:
"Выводы: Новая Quad (QMR) Architecture является главным прорывом в исполнении систем безопасности. Она обеспечивает более высокий уровень и безопасности и готовности чем TMR (2ооЗ) или 1oo2D. Она имеет значительно меньшую подверженность отказам общего порядка, чем TMR из-за абсолютного разделения, изоляции и работы резервированных каналов.
Так как каждый канал имеет пару сдвоенных процессоров в безопасном (2-0) режиме, опасные необнаруженные отказы были исключены; и система обеспечивает неограниченную по SIL3 работу как в симплексной, селективно резервированной, так и в полностью резервированной конфигурации. Эта новая архитектура является высоко конфигурируемой, и может использоваться для приложений SILl, SIL2, и SIL3.
Однако наиболее привлекательным преимуществом является более низкая стоимость жизненного цикла, которая позволяет использовать ее эффективно как в небольших, так и больших проектах.
Следовательно, сочетать несколько технологических узлов в одной программируемой электронной системе для снижения стоимости теперь нет необходимости".