Анатомия подмены понятий 

Анатомия подмены понятий

Смысл, который скрывается за вроде бы правдоподобными рассуждениями, может ввести в заблуждение кого угодно, если не знать в точности, как работает та или иная схема. И только после детального изучения становится понятным, что "в действительности все совсем не так, как на самом деле".

Попробуем разобраться, какую архитектуру подразумевает аббревиатура 2оо4, и внимательно рассмотрим наш случай произвольной интерпретации.

Гибридная схема "2оо4" (2*2).
Структурная схема центральной части гибридной архитектуры "2оо4м выглядит следующим образом:

Рис. 1.21

Именно таким образом построено ядро систем 1oo2D, у которых ставится по два процессора на каждый из дублированных модулей управления.

Схема на рис 1.21 совершенно точно отражает главное свойство данной архитектуры:

Отказ любого элемента канала означает отказ канала.

А поскольку канал имеет удвоенное количество элементов, то соответственно, и вероятность отказа канала по сравнению с обычной схемой резервирования удваивается. В данной работе, чтобы не смешивать архитектуру рис. 1.21 с классической архитектурой 1oo2D, она обозначается как 1oo2D (2*2) или "2оо4".

Но некоторые из особо восторженных поклонников этой схемы смело обозначают ее как архитектуру 2оо4, или того пуще - 2oo4D, и легко распространяют это обозначение на всю архитектуру системы безопасности - целиком, и без всяких кавычек. Этот простейший прием дает колоссальный эффект в увеличении надежности системы - и без малейших усилий. Посмотрим, как это делается.

Выстраивается следующая цепочка рассуждений:

  1. Данная архитектура имеет N = 4 элемента.
  2. Отказ одного из элементов приводит к отказу всего плеча, на котором этот элемент находится, то есть выводит из работы сразу два элемента.
  3. Система сохраняет работоспособность на оставшихся двух элементах.
  4. Значит, для нормальной работы системы достаточно М = 2 элементов.
  5. Таким образом, система деградирует по схеме 4-2-0.
  6. Согласно определению, аббревиатура MooN (М out of N) обозначает, что для правильного функционирования системы необходимо, чтобы М из N каналов работали нормально.
    Если система построена на N каналах, и для нормальной работы системы необходимо М каналов, то это означает, что система способна пережить отказ (N — М) каналов без потери функциональности. Соответственно, для отказа системы необходимо, чтобы отказали (N — М + 1) каналов.
  7. Наша система полностью соответствует этому определению: Система построена на 4 элементах, и для нормальной работы системы необходимо 2 элемента. Это означает, что система способна пережить отказ (4-2) элементов без потери функциональности. Соответственно, для отказа системы необходимо, чтобы отказали (4 - 2 + 1) = 3 элемента.
  8. Вывод: Система рис. 1.21 имеет архитектуру 2оо4.

Теперь, если непринужденно произвести "обратное преобразование" аббревиатуры 2оо4 в архитектуру, то удается легко интерпретировать ее уже как четырехканальную (хотя очевидно, что в исходной архитектуре о четырех каналах и речи нет):

  1. Как мы только что выяснили, система имеет архитектуру 2оо4.
  2. Поскольку согласно этому определению, для нормальной работы системы достаточно двух элементов, то для отказа системы 2оо4 необходимо, чтобы отказало N - М + 1 =4-2+1=3 элемента.
  3. Вероятность отказа трех независимых элементов равняется:
  4. Ч. Т.Д.

Эта элементарная манипуляция дает возможность утверждать, что гибридная архитектура "2оо4" имеет уже не второй порядок частоты отказа, а третий. Естественно, при этом совершенно нет никакой нужды упоминать, что найденная вероятность принадлежит совсем другой, действительно четырех-канальной архитектуре:

Рис. 1.22

Вот так вполне безобидный с виду ход позволяет без лишних хлопот поднять надежность системы до недосягаемой высоты. В действительности же вероятность отказа схемы 2*2 (рис. 1.21) при условии, что все элементы эквивалентны, определяется следующим соотношением:

то есть в четыре раза превышает вероятность отказа архитектуры 1оо2.

Специфические особенности архитектуры "2оо4" подробно исследованы в настоящей работе.

Но главное свойство этой архитектуры необходимо отметить сразу:

По отношению к отказам удвоение числа элементов канала эквивалентно удвоению частоты отказа исходного элемента. А второй порядок вероятности отказа от частоты для двухканальной системы приводит к учетверенному значению вероятности отказа по отношению к системе 1oo2D с одним элементом в канале.

Алгоритмы самодиагностики архитектур 1oo2D и "2оо4" тождественны:

  • Способ диагностики канала для схемы "2оо4" - сравнение результатов работы двух логических элементов.
  • Способ диагностики канала для схемы 1oo2D - независимая диагностическая цепь.
  • Способ диагностики состояния центральной части обеих архитектур - сравнение результатов диагностики каждого из каналов.

Необходимо отметить, что с помощью независимых диагностических цепей в архитектуре 1oo2D достигается своего рода альтернативное резервирование на основе схемной реализации.

Диагностические цепи осуществляют строго специфические функции обнаружения отказов и, соответственно, организованы гораздо более жестко по сравнению с основными процессорами.

Архитектура 1oo1D одного канала системы 1oo2D вполне может превосходить по надежности архитектуру одного канала 1оо2 системы 1oo2D (2*2).

На вопрос: какая из этих архитектур a priori обеспечивает более высокий уровень диагностики? - ответить однозначно невозможно. Только непосредственный опыт реализации во множестве предыдущих воплощений может придать уверенность в правильности выбора.

Именно по этой причине стандарты IEC предъявляют очень жесткие требования к полевым испытаниям систем безопасности, причем не на своем, а на чужом поле. Мы должны ясно понимать и твердо помнить, что для них таковым является наше, русское поле.

Те преимущества систем QMR, которые превозносятся энтузиастами этих систем, как то:

  • "The key features of the Hi Quad (Quad Modular Redundant) system are as follows:
    Mode of Operation:
    Unlimited Operation on a Single Channel -Никак не соответствует требованиям стандарта IEC 61508;
  • RateduptoTUVRC6(SIL3)-Справедливо только в конфигурации 1oo2D;
  • Three Times Better Safety Performance than TMR -Справедливо только для обычных 1oo2D архитектур. Для архитектур QMR "2оо4" при прочих равных условиях все-таки несколько ниже, чем 2ооЗ;
  • Availability Equal to TMR (см. выше)
  • Less Common Cause Susceptibility than TMR
    На то они и общие, что при прочих равных условиях производят на систему общий катастрофический эффект. Потому и сказываются в общем, то есть одинаково;
  • Lower Life Cycle Cost", -

Эти мнимые преимущества, если и присущи системам QMR "2оо4", то ровно настолько, насколько они присущи всем системам с архитектурой 1oo2D.

Таким образом, выводы, которые делает Бэкман в конце своей публикации, таки остаются и пребывают фактическим концом публикации:

"Выводы: Новая Quad (QMR) Architecture является главным прорывом в исполнении систем безопасности. Она обеспечивает более высокий уровень и безопасности и готовности чем TMR (2ооЗ) или 1oo2D. Она имеет значительно меньшую подверженность отказам общего порядка, чем TMR из-за абсолютного разделения, изоляции и работы резервированных каналов.
Так как каждый канал имеет пару сдвоенных процессоров в безопасном (2-0) режиме, опасные необнаруженные отказы были исключены; и система обеспечивает неограниченную по SIL3 работу как в симплексной, селективно резервированной, так и в полностью резервированной конфигурации. Эта новая архитектура является высоко конфигурируемой, и может использоваться для приложений SILl, SIL2, и SIL3.
Однако наиболее привлекательным преимуществом является более низкая стоимость жизненного цикла, которая позволяет использовать ее эффективно как в небольших, так и больших проектах.
Следовательно, сочетать несколько технологических узлов в одной программируемой электронной системе для снижения стоимости теперь нет необходимости".