北郵信息安全專業(yè)容錯計算技術5

1、第五章 硬件冗余設計技術硬件冗余設計技術第一節(jié) 硬件表決系統(tǒng)第二節(jié) 待命儲備系統(tǒng)第三節(jié) 混合冗余系統(tǒng)第四節(jié) 硬件二模冗余系統(tǒng)第五節(jié) 可重構的五模系統(tǒng)第六節(jié) 硬件冗余結構綜述第一節(jié) 硬件表決系統(tǒng) 簡單的表決系統(tǒng)(TMR)NMR系統(tǒng)分段表決系統(tǒng)三模 單模自凈系統(tǒng)典型表決電路第一節(jié) 硬件表決系統(tǒng)三模表決系統(tǒng)（TMR） Triple Modular Redundancy 三個模塊同時執(zhí)行一樣的操作，以多數相同的輸出作為該表決系統(tǒng)的正確輸出。 通常稱為三中取二 “少數服從多數”第一節(jié) 硬件表決系統(tǒng)TMR表決系統(tǒng)第一節(jié) 硬件表決系統(tǒng)TMR表決電路第一節(jié) 硬件表決系統(tǒng)TMR可靠度 設三個模塊的可靠度相等，為

2、R(t)。忽略表決電路的失效。第一節(jié) 硬件表決系統(tǒng)TMR的MTBF第一節(jié) 硬件表決系統(tǒng) 10.3680.306 0.6930.50.5 0.50.6070.657 0.10.9050.975 0.060.9420.990 0.0180.9820.999與的比較第一節(jié) 硬件表決系統(tǒng)TMR的特點Rlt00.51.0ln 20.0 TMR Simplex第一節(jié) 硬件表決系統(tǒng)TMR的特點任務時間越短可靠度的提高越明顯任務時間過長，RTMR反而不如單模的R(t)高（MTBF）TMR 1 / 3R 2R2V231 Voter TMR betterRvR0.51.00.8850.950.750.560.94

3、 Simplex betterCondition on the module reliability3 9 8/Rv4 3 + 9 8/Rv4 R Example: Rv = 0.95 requires that0.56 R R ? 第一節(jié) 硬件表決系統(tǒng) 簡單的表決系統(tǒng)(TMR)NMR系統(tǒng)分段表決系統(tǒng)三模 單模自凈系統(tǒng)典型表決電路第一節(jié) 硬件表決系統(tǒng)NMR系統(tǒng) N個模塊的表決系統(tǒng)可以糾正n個模塊的錯誤， 其中: n=(N-1)/2第一節(jié) 硬件表決系統(tǒng)NMR系統(tǒng)可靠度第一節(jié) 硬件表決系統(tǒng) 簡單的表決系統(tǒng)(TMR)NMR系統(tǒng)分段表決系統(tǒng)三模 單模自凈系統(tǒng)典型表決電路第一節(jié) 硬件表決系統(tǒng)分段表決系統(tǒng)

4、第一節(jié) 硬件表決系統(tǒng)Saturn-V七段TMR系統(tǒng)選用三表決器：為了避免單表決器形成的故障單點第一節(jié) 硬件表決系統(tǒng)研究一下：當發(fā)生永久性故障時，TMR的可靠性如何？第一節(jié) 硬件表決系統(tǒng)TMR表決系統(tǒng)第一節(jié) 硬件表決系統(tǒng)三模 - 單模自凈系統(tǒng)第一節(jié) 硬件表決系統(tǒng)工作原理當無故障出現(xiàn)時 系統(tǒng)處于初始狀態(tài)，此時三個觸發(fā)器：T1=T2=T3=1;計數器1=計數器2=計數器3=0；控制觸發(fā)器：C1=C2=C3=1,則控制門G1,G2,G3處于打開狀態(tài)第一節(jié) 硬件表決系統(tǒng)第一節(jié) 硬件表決系統(tǒng)工作原理出現(xiàn)間歇性故障或偶然性故障假如M1出現(xiàn)此類故障，持續(xù)時間約為兩個時鐘時間。 ,則：比較器X1=1; 控制觸發(fā)

5、器C1=0;控制門G1“關”狀態(tài)，則： M1輸出被封鎖；V接收M2,M3最后輸出正確結果F。門A1“開”狀態(tài)，則 第一脈沖使C11，計數器111。G1“開”狀態(tài)，f1送到V。 ，則： M1再被封鎖，F(xiàn)由M2,M3決定，直至計數器112，則 f1=F第一節(jié) 硬件表決系統(tǒng)第一節(jié) 硬件表決系統(tǒng)工作原理出現(xiàn)永久性故障假如M1出現(xiàn)永久性故障M1被封鎖計數器1計數，直到記滿溢出，使 C1=0, T1=0, A1“關”； C2=0, T2=0, A2 “關”, 封鎖M2;僅M3工作。第一節(jié) 硬件表決系統(tǒng)第一節(jié) 硬件表決系統(tǒng)三模 - 單模自凈系統(tǒng)的可靠度第一節(jié) 硬件表決系統(tǒng)三模 - 單模自凈系統(tǒng)的可靠度第一節(jié)

6、 硬件表決系統(tǒng) 簡單的表決系統(tǒng)(TMR)NMR系統(tǒng)分段表決系統(tǒng)三模 單模自凈系統(tǒng)典型表決電路第一節(jié) 硬件表決系統(tǒng)一個典型的表決電路第一節(jié) 硬件表決系統(tǒng)三種工作方式表決方式直接傳遞方式發(fā)散工作方式第一節(jié) 硬件表決系統(tǒng)第一節(jié) 硬件表決系統(tǒng)三種工作方式表決方式直接傳遞方式發(fā)散工作方式第一節(jié) 硬件表決系統(tǒng)第一節(jié) 硬件表決系統(tǒng)三種工作方式表決方式直接傳遞方式發(fā)散工作方式第一節(jié) 硬件表決系統(tǒng)研究一下：表決電路的同步問題？第三章 硬件冗余設計技術第一節(jié) 硬件表決系統(tǒng)第二節(jié) 待命儲備系統(tǒng)第三節(jié) 混合冗余系統(tǒng)第四節(jié) 硬件二模冗余系統(tǒng)第五節(jié) 可重構的五模系統(tǒng)第六節(jié) 硬件冗余結構綜述第二節(jié) 待命儲備系統(tǒng) 待命儲備系

7、統(tǒng)是一個模塊工作，其它模塊不工作，處于待命狀態(tài)，一旦工作模塊出現(xiàn)故障，則儲備模塊接替工作。第二節(jié) 待命儲備系統(tǒng)待命儲備模塊的糾錯能力具有一個備份的系統(tǒng)的可靠度具有兩個備份的系統(tǒng)的可靠度考慮監(jiān)測器和切換器可能失效的待命儲備系統(tǒng)檢測 切換裝置延長系統(tǒng)的運行時間第二節(jié) 待命儲備系統(tǒng)待命儲備模塊的糾錯能力第二節(jié) 待命儲備系統(tǒng)待命儲備模塊的糾錯能力第二節(jié) 待命儲備系統(tǒng)儲備模塊的工作方式冷備份熱備份第二節(jié) 待命儲備系統(tǒng)待命儲備模塊的糾錯能力具有一個備份的系統(tǒng)的可靠度具有兩個備份的系統(tǒng)的可靠度考慮監(jiān)測器和切換器可能失效的待命儲備系統(tǒng)檢測 切換裝置延長系統(tǒng)的運行時間第二節(jié) 待命儲備系統(tǒng)具有一個備份的系統(tǒng)的可靠

8、度恢復率：C = 從故障中恢復成功的次數 / 故障次數引入系數 K=/ :備份模塊的失效率待命儲備模塊的可靠度為第二節(jié) 待命儲備系統(tǒng)具有一個備份的系統(tǒng)的可靠度第二節(jié) 待命儲備系統(tǒng)第二節(jié) 待命儲備系統(tǒng)待命儲備模塊的糾錯能力具有一個備份的系統(tǒng)的可靠度具有兩個備份的系統(tǒng)的可靠度考慮監(jiān)測器和切換器可能失效的待命儲備系統(tǒng)檢測 切換裝置延長系統(tǒng)的運行時間第二節(jié) 待命儲備系統(tǒng)具有兩個備份的系統(tǒng)的可靠度 由三種情況綜合得到：工作模塊從開始一直運行到任務時間T的概率。工作模塊t時刻失效，由待命模塊接替工作到T的概率。工作模塊t時刻失效，由第一待命模塊接替工作到t又失效，再由第二待命模塊接替運行到T。第二節(jié) 待命

9、儲備系統(tǒng)分析一下：當C=1，K=1， R1,2(T)=2.5R-R2+R3/2+R5/3當C=1, K= R1,2(T)=R+2R-3R2+R=1-(1-R)3對于S個待命模塊的系統(tǒng) R1,s(T)=1-(1-R)S+1第二節(jié) 待命儲備系統(tǒng)待命儲備模塊的糾錯能力具有一個備份的系統(tǒng)的可靠度具有兩個備份的系統(tǒng)的可靠度考慮監(jiān)測器和切換器可能失效的待命儲備系統(tǒng)檢測 切換裝置延長系統(tǒng)的運行時間第二節(jié) 待命儲備系統(tǒng)考慮監(jiān)測器和切換器可能失效的 待命儲備系統(tǒng)第二節(jié) 待命儲備系統(tǒng)待命儲備模塊的糾錯能力具有一個備份的系統(tǒng)的可靠度具有兩個備份的系統(tǒng)的可靠度考慮監(jiān)測器和切換器可能失效的待命儲備系統(tǒng)檢測 切換裝置延長

10、系統(tǒng)的運行時間第二節(jié) 待命儲備系統(tǒng)檢測 切換裝置 基本上可以分為兩類集中式分布式第二節(jié) 待命儲備系統(tǒng)檢測 切換裝置 基本上可以分為兩類集中式 分布式同時與系統(tǒng)的各個模塊相連，對所有的模塊進行檢測和切換，系統(tǒng)簡單，造價低。但是故障比較集中。第二節(jié) 待命儲備系統(tǒng)檢測 切換裝置 基本上可以分為兩類集中式分布式 對每個模塊設置獨立的檢測-切換裝置。切換通過相應電源的通、斷控制實現(xiàn)?？梢园压收嫌绊懝铝⑵饋?。第二節(jié) 待命儲備系統(tǒng)第二節(jié) 待命儲備系統(tǒng)待命儲備模塊的糾錯能力具有一個備份的系統(tǒng)的可靠度具有兩個備份的系統(tǒng)的可靠度考慮監(jiān)測器和切換器可能失效的待命儲備系統(tǒng)檢測 切換裝置延長系統(tǒng)的運行時間第二節(jié) 待命儲

11、備系統(tǒng)延長系統(tǒng)的運行時間第二節(jié) 待命儲備系統(tǒng)延長系統(tǒng)的運行時間第二節(jié) 待命儲備系統(tǒng)研究一下：TMR + 待命儲備 = ?第三章 硬件冗余設計技術第一節(jié) 硬件表決系統(tǒng)第二節(jié) 待命儲備系統(tǒng)第三節(jié) 混合冗余系統(tǒng)第四節(jié) 硬件二模冗余系統(tǒng)第五節(jié) 可重構的五模系統(tǒng)第六節(jié) 硬件冗余結構綜述第三節(jié) 混合冗余系統(tǒng)混合冗余系統(tǒng)的組成（3, s）混合冗余系統(tǒng)的可靠度切換裝置第三節(jié) 混合冗余系統(tǒng)混合冗余系統(tǒng)的組成第三節(jié) 混合冗余系統(tǒng)混合冗余系統(tǒng)的組成（N, s）系統(tǒng)可以容忍： P = n + s 個模塊同時失效 （n = （N-1）/ 2 ）但是，失效時尚有n+1個模塊是無故障的，所以，應取n=1。第三節(jié) 混合冗余系

12、統(tǒng)混合冗余系統(tǒng)的組成（3, s）混合冗余系統(tǒng)的可靠度切換裝置第三節(jié) 混合冗余系統(tǒng)（3, s）混合冗余系統(tǒng)的可靠度 假設VSD( Voting, Switching, Detecting) 無故障第三節(jié) 混合冗余系統(tǒng)計算R(3, 1)(T): 分三步全部模塊（核心部分和儲備部分）都可靠的運行到T時刻，發(fā)生這種情況的概率為第三節(jié) 混合冗余系統(tǒng)計算R(3, 1)(T):系統(tǒng)的核心模塊正常，但儲備模塊首先失效，這時系統(tǒng)就變成了一個簡單的TMR系統(tǒng)。儲備模塊失效時刻為t第三節(jié) 混合冗余系統(tǒng)計算R(3, 1)(T):核心部分中的一個模塊在t時刻首先失效，并且成功完成儲備模塊對出錯工作模塊的替換，使系統(tǒng)仍以

13、TMR方式工作到T。第三節(jié) 混合冗余系統(tǒng)計算R(3, 1)(T):綜合一下：第三節(jié) 混合冗余系統(tǒng)同理，得出R(3,2)(T)第三節(jié) 混合冗余系統(tǒng)是否隨著s的增加，系統(tǒng)的可靠度增長？第三節(jié) 混合冗余系統(tǒng)考慮附加電路的失效率，重新計算可靠度 設工作模塊、儲備模塊、附加電路的失效率分別為、H，系統(tǒng)可靠度為R#。第三節(jié) 混合冗余系統(tǒng)第三節(jié) 混合冗余系統(tǒng)一般混合冗余系統(tǒng)的可靠度第三節(jié) 混合冗余系統(tǒng)混合冗余系統(tǒng)的組成（3, s）混合冗余系統(tǒng)的可靠度切換裝置第三節(jié) 混合冗余系統(tǒng)切換裝置 切換裝置是系統(tǒng)中的一個關鍵模塊，但是，一般情況下，它是不容錯的。所以，要求切換裝置盡量簡單，可靠性盡量的高。 以（3，2）

14、冗余系統(tǒng)為例，介紹一種切換裝置（由CMU Siewiorek教授提出）。第三節(jié) 混合冗余系統(tǒng)符號解釋第三節(jié) 混合冗余系統(tǒng)迭代單元C1 C5第三節(jié) 混合冗余系統(tǒng)第三節(jié) 混合冗余系統(tǒng)第三節(jié) 混合冗余系統(tǒng)得到開關陣列的表達式第三節(jié) 混合冗余系統(tǒng)舉例研究一下：對于偶然性故障的模塊給一個“歸隊”的機會第三章 硬件冗余設計技術第一節(jié) 硬件表決系統(tǒng)第二節(jié) 待命儲備系統(tǒng)第三節(jié) 混合冗余系統(tǒng)第四節(jié) 硬件二模冗余系統(tǒng)第五節(jié) 可重構的五模系統(tǒng)第六節(jié) 硬件冗余結構綜述第四節(jié) 硬件二模冗余系統(tǒng)以兩倍硬件構成一個容錯系統(tǒng)優(yōu)點：結構簡單、易于實現(xiàn)糾錯率高應用廣泛第四節(jié) 硬件二模冗余系統(tǒng)雙機雙工系統(tǒng)二模協(xié)同系統(tǒng)二模冗余系統(tǒng)的

15、檢測計算機級的二模協(xié)同系統(tǒng)部件級的二模協(xié)同系統(tǒng)第四節(jié) 硬件二模冗余系統(tǒng)雙機雙工系統(tǒng) 兩臺計算機同時工作，但可以執(zhí)行不同的程序。滿足容錯需要資源合理利用第四節(jié) 硬件二模冗余系統(tǒng)主要工作方式雙機互備援雙機熱備份第四節(jié) 硬件二模冗余系統(tǒng)缺點：對永久性故障效果明顯，對偶然性故障糾錯能力弱單機的自檢測很難實現(xiàn)優(yōu)點：合理利用資源易于實現(xiàn)，構建成本低系統(tǒng)中雙機切換、雙機通信，都需要時間第四節(jié) 硬件二模冗余系統(tǒng)雙機雙功系統(tǒng)二模協(xié)同系統(tǒng)二模冗余系統(tǒng)的監(jiān)測計算機級的二模協(xié)同系統(tǒng)部件級的二模協(xié)同系統(tǒng)第四節(jié) 硬件二模冗余系統(tǒng)二模協(xié)同系統(tǒng)雙份硬件同時執(zhí)行相同的指令，處理相同的數據。雙份均正常，任取其一作為輸出若其中一個

16、硬件失效，則封鎖該硬件的輸出，由另一個正常的硬件作為輸出不存在儲備硬件與待命儲備系統(tǒng)的區(qū)別第四節(jié) 硬件二模冗余系統(tǒng)二模協(xié)同系統(tǒng)組成第四節(jié) 硬件二模冗余系統(tǒng)雙機雙功系統(tǒng)二模協(xié)同系統(tǒng)二模冗余系統(tǒng)的檢測計算機級的二模協(xié)同系統(tǒng)部件級的二模協(xié)同系統(tǒng)第四節(jié) 硬件二模冗余系統(tǒng)二模冗余系統(tǒng)的檢測比較法比較-自診斷自檢測裝置利用監(jiān)視計時器外仲裁器第四節(jié) 硬件二模冗余系統(tǒng)比較法 二者同時執(zhí)行相同的操作，定期對輸出進行比較。相同認為無故障。實現(xiàn)簡單無法定位故障可用于計算機邏輯設計的所有范圍和級別第四節(jié) 硬件二模冗余系統(tǒng)比較-自診斷（Bell ESS-2）第四節(jié) 硬件二模冗余系統(tǒng)自檢測裝置二模系統(tǒng)的雙方各自均設置自檢

17、測硬件。目前，多采用編碼技術實現(xiàn)檢測，如：奇偶校驗碼、海明碼、循環(huán)碼等。第四節(jié) 硬件二模冗余系統(tǒng)利用監(jiān)視計時器（看門狗）主要用來檢測工作狀態(tài)的正確與否、模塊功能的對與錯無法對數據的對錯進行檢測第四節(jié) 硬件二模冗余系統(tǒng)外仲裁器以COMTRAC鐵路交通控制系統(tǒng)為例第四節(jié) 硬件二模冗余系統(tǒng)雙機雙功系統(tǒng)二模協(xié)同系統(tǒng)二模冗余系統(tǒng)的檢測計算機級的二模協(xié)同系統(tǒng)部件級的二模協(xié)同系統(tǒng)第四節(jié) 硬件二模冗余系統(tǒng)計算機級的二模協(xié)同系統(tǒng)系統(tǒng)構成第四節(jié) 硬件二模冗余系統(tǒng)特點：對永久性故障糾錯效率較高，對偶然性故障，所花代價太大。雙模要保持一定范圍內的同步、通信，占用系統(tǒng)開銷可維修性較好，系統(tǒng)靈活性好第四節(jié) 硬件二模冗余系

18、統(tǒng)可靠度比較第四節(jié) 硬件二模冗余系統(tǒng)第四節(jié) 硬件二模冗余系統(tǒng)雙機雙功系統(tǒng)二模協(xié)同系統(tǒng)二模冗余系統(tǒng)的檢測計算機級的二模協(xié)同系統(tǒng)部件級的二模協(xié)同系統(tǒng)第四節(jié) 硬件二模冗余系統(tǒng)部件級的二模協(xié)同系統(tǒng)第四節(jié) 硬件二模冗余系統(tǒng)計算機級與部件級二模協(xié)同系統(tǒng)的比較第四節(jié) 硬件二模冗余系統(tǒng)可維修性可靠性定量計算：是否模塊劃分的越多，可靠性越高計算機級的二模系統(tǒng)是否還有市場STRATUSFault Detection&IsolationEmbedded I/OPCIDisksCPUChipsetMemoryFault Detection&IsolationFault Detection&IsolationEmbed

19、ded I/OPCIDisksCPUChipsetMemoryFault Detection&IsolationLockstepped CPUsMulti-path I/O330056006600Fault Detection&IsolationEmbedded I/OPCIDisksCPUChipsetMemoryFault Detection&IsolationFault Detection&IsolationEmbedded I/OPCIDisksCPUChipsetMemoryFault Detection&IsolationLockstepped CPUsMulti-path I/O2300第三章 硬件冗余設計技術第一節(jié) 硬件表決系統(tǒng)第二節(jié) 待命儲備系統(tǒng)第三節(jié) 混合冗余系統(tǒng)第四節(jié) 硬件二模冗余系統(tǒng)第五節(jié) 可重構的五模系統(tǒng)第六節(jié) 硬件冗余結構綜述第五節(jié) 可重構的五模系統(tǒng)基于多數表決的五模塊系統(tǒng)（3，2）混合系統(tǒng)篩除冗余系統(tǒng)可重構的五模系統(tǒng)第五節(jié) 可重構的五模系統(tǒng)系統(tǒng)的構成出現(xiàn)單故障的情況雙重故障的情況三重故障的情況第五節(jié) 可重構的五模系統(tǒng)系統(tǒng)的構成第五節(jié) 可重構的五模系統(tǒng)重構的原理令模塊4出錯（x4=0和x5=1)第五節(jié) 可重構的五模系統(tǒng)檢測器T正常時g1=