ГОСТ Р МЭК 61508-7—2012
Литература:
Fault Diagnosis: Models. Artificial Intelligence, Applications. J. Korbicz. J. Koscielny. Z. Kowalczuk. W. Cholewa.
Springer. 2004. ISBN 3540407677. 9783540407676.
C.3.10 Динамическая реконфигурация
П р и м е ч а н и е — Ссылка на данный метод/средство приведена в МЭК 61508-3 (таблица А.2).
Цель. Обеспечение функциональности системы, несмотря на внутренний отказ.
Описание. Логическая архитектура системы должка быть такой, чтобы ее можно было реализовать на под
множестве доступных средств системы. Логическая архитектура должна быть способна к обнаружению отказа в
физических средствах и дальнейшей повторной реализации логической архитектуры на другом подмножестве
доступных средств, остающихся функционирующими. Несмотря на то. что данный метод в основном традиционно
ограничен только восстановлением отказавших модулей аппаратных средств, он применим также к ошибкам в про
граммных средствах при наличии достаточной «избыточности времени прогона» для повторного выполнения про
граммы или при наличии достаточных избыточныхданных, которые обеспечат незначительное влияние отдельного и
изолированного отказа.
Данный метод должен рассматриваться на первом этапе проектирования системы.
Литература:
Dynamic Reconfiguration of Software Architectures Through Aspects. C. Costa et al. Lecture Notes in Computer
Science. Volume 4758/2007. Springer Bertin/Heidelberg. 2007. ISBN 978-3-540-75131-1.
C.3.11 Безопасность и работа в жестком реальном времени. Архитектура с временным распределением
П р и м е ч а н и е — Ссылка на данный метод/средство приведена в МЭК 61508-3 (таблица А.2).
Цель. Компонуемость и простая реализация обеспечения отказоустойчивости в критических к безопасности
системах жесткого реального времени.
Описание. В архитектуре системы с временным распределением (ТТА) вседействия системы инициируются
и выполняются под управлением глобальной (жесткой) системы синхронизации. Каждому приложению присвоен
фиксированный временной слот на шине с временным распределением, во время которого происходит обмен
со общениями с другими приложениями, поэтому каждое приложение может выполнять обмен только согласно
жест ко определенному расписанию обмена. В управляемых событиями системах системные действия
инициируются случайными событиями в непредсказуемые моменты времени. Главные преимущества
архитектуры с временным распределением (см. Scheidler. Хайнер и др.) следующие:
- компонуемость, которая значительно уменьшает усилия, требуемые для тестирования и сертификации си
стемы:
- простая реализация обеспечения отказоустойчивости, которая делает архитектуру очень востребованной
для критических к безопасности приложений:
- применение глобально синхронизируемого времени облегчает проектирование распределенных систем
реального времени.
Передача между узлами выполняется в соответствии с протоколом временнбго распределения ресурсов
(ТТР/С) (см. Kopetz. Hexel и др.) согласно статическому расписанию обмена, в рамках которого решается, когда
передать сообщение и является ли полученное сообщение важным для конкретного электронного модуля. Доступ к
шине реализуется по схеме с определенным периодическим расписанием в режиме множественного доступа с
разделением времени (TDMA). связанной с глобальным временем.
Протокол ТТР/С гарантирует (см. Rushby) четыре базовые услуги (базовые службы) в сети узлов ТТАсисте
мы (см. Kopetz. Bauer):
- Детерминированная передача сообщений в строго определенные моменты времени. Передача сообщений
от выходного порта передающего элемента к входным портам получающих элементов в пределах априорно изв
естного временного интервала. Отказоустойчивая транспортная служба, предлагаемая коммуникационной услу
гой с временным распределением, которая доступна через временной интерфейс с сетевым экраном, устраняет
передачу ошибок управления проектом и минимизирует связь между элементами. Передача сообщений в стро го
определенные моменты времени, с минимальной задержкой и с минимальными флуктуациями, крайне важна для
достижения устойчивости управления в приложениях реального времени.
- Отказоустойчивая синхронизация. Коммуникационный контроллер (а не центральный сервер) генерирует
отказоустойчивый синхронизирующий глобальный временной сигнал (с точностью до нескольких тактов), которым
обеспечены подсистемы узлов.
- Контроль целостности данных при сбоях в узлах (служба целостности). Коммуникационный контроллер
сообщает каждому SRU («минимальному элементу замены») о состоянии остальных SRU в кластере с временнбй
задержкой меньше одного раунда ТОМА.
- Строгая изоляция сбоя. Злонамеренно дефектная подсистема узла (включая ее программное обеспече
ние) гложет сформировать ошибочные выходные данные, но никогда не сможет вмешаться каким-либо способом
в корректную работу остальной части кластера ТТР/С. Невослринимаемость сбоя во времени гарантируется по
ведением коммуникационного контроллера, реализующего временное распределение.
П р и м е ч а н и е — Существуют другие протоколы с временным распределением: FlexRay и ТТ — Ethernet
(Ethernet с временным распределением).
51