Надежность систем управления.

Одна из причин успеха цифровых систем управления - их высокая надежность, которая в целом не зависит от того, каким образом и как долго эти системы используются. Например, для контроллера, построенного только на полупроводниковых элементах без подвижных частей, время его жизни не зависит от числа операций переключения его активных элементов.

В системах управления процессами суммарная надежность зависит от структуры системы. При прямом цифровом управлении единственная ЭВМ на которой установлено разнообразное программное обеспечение, решает все задачи – сбора данных, управления и регулирования. Как следствие, ее отказ вызывает полную остановку выполнения всех функций. При распределенном прямом цифровом управлении функции управления и регулирования выполняются локальными устройствами, расположенными в непосредственной близости от технологических процессов. ЭВМ более высоких уровней иерархии передают нижестоящим устройствам вместо управляющих сигналов только опорные значения или директивы. Поломка локальной или даже центральной ЭВМ влияет только на часть выполняемых функций, потому что системные компоненты независимы. Разница в надежности между этими двумя подходами явно проявилась уже при первых применениях управляющих ЭВМ.

Отказы вызываются либо неправильным функционированием отдельных элементов, либо - в сложных системах - нарушением взаимодействия между элементами системы. В больших системах со множеством элементов вероятность того, что некоторые : откажут, высока и, если это влияет на работу системы как целого, ее надежность снижается.

Отказоустойчивое (fault-tolerant) решение должно гарантировать, что система целое будет продолжать функционировать даже при наличии неисправностей. Это означает не только применение высоконадежных элементов, а скорее проектирование системы таким образом, чтобы отдельные неисправности не влияли на работу в целом. Более того, автоматизированная система состоит не только из аппаратной части, но включает также программное обеспечение, которое может содержать ошибки, реагировать непредсказуемым образом на непредусмотренную входную информацию, несогласованные протоколы обмена данными, внешние коммуникации. В простейшем случае отказоустойчивая технология основывается на некоторой избыточности - (redundancy). Если какая-то часть, аппаратная либо программная, не работает ее заменяет другой компонент. Существуют разные типы избыточности:

• физическая избыточность;
• информационная избыточность;
• избыточность по времени.

Физическая избыточность (physical redundancy) обычно достигается дублированием некоторых элементов. Когда элемент перестает работать должным образом, его заменяет другой. Если стоимость играет решающую роль, то дублируются только те компоненты, которые более всего подверженные отказам. Общепринятый принцип проектирования в системах реального времени – это физическое дублирование главного сервера и локальной сети.

Важными особенностями механизма физической избыточности является интерфейс между дублирующими друг друга компонентами. Это новый элемент системы, который может выйти из строя. Главными проблемами являются: во-первых, как однозначно определить, что компонент или подсистема не исправны, и, во-вторых, как переключиться на дублера.

Информационная избыточность (information redundancy) используется, например, в коммуникационных протоколах в виде служебной информации, добавляемой к пакету для того, чтобы обеспечить восстановление искаженных сообщений. Резервирование данных на внешних носителях или теневое хранение переменных (переменная храниться одновременно на двух различных дисковых устройствах) - это другие примеры информационной избыточности.

Избыточность по времени (time redundancy) заключается в том, что сначала выполняется действие, а затем оценивается его результат. Если результат неудачен, то действие выполняется заново. Таймауты и ограничения максимального количества повторений помогают избежать бесконечных циклов.

Отказоустойчивость в коммуникационных протоколах распределенных систем управления достигается комбинацией информационной и временной избыточности. Контрольные суммы в пакетах данных обеспечивают информационную избыточность, а процедуры подтверждения приема сообщения и, при необходимости, запросы на новую передачу, являются примерами избыточности по времени.

Если избыточность необходима для создания отказоустойчивой системы, то должны учитываться все составные элементы, а не только самые очевидные. Например, две ЭВМ должны быть подсоединены к двум независимым источникам питания. В противном случае выход из строя источника питания, то есть однократный сбой, приведет к выходу из строя обеих ЭВМ и, таким образом, перерастет в аварию системного масштаба.