7.3.7. Вычислительная система космического корабля «Шаттл» [1076L Вычислительная система для космического транспортного корабля многоразового использования «Шаттл» (Shuttle—челнок) разрабатывается фирмой IBM с 1972 г. Основным требованием к системе является требование автоматического восстановления и гарантированного получения правильных результатов до и после первых двух отказов, в- том числе подобных друг другу. Система строится как многомашинная на базе серийных модифицированных ЭВМ АР-101 фирмы IBM, имеющих встроенный контроль и программы самопроверки.
Если требуется только обнаруживать отказ, то достаточно иметь две ЭВМ в системе. Однако, если требование заключается в получении гарантированно правильных результатов после отказа, то в многомашинной системе должны быть три ЭВМ, чтобы идентифицировать отказавшую ЭВМ и игнорировать результаты ее работы. Минимум четыре машины необходимы, если система должна продолжать вырабатывать правильные результаты после двух отказов. Именно такое число ЭВМ выбрано для работы в наиболее ответственных фазах полета корабля'«Шаттл», а всего в состав вычислительной системы этого корабля входят пять ЭВМ (рис. 7.18).
Центральный процессор и процессор ввода-вывода каждой ЭВМ используют общую оперативную память емкостью в 64 К 32-разрядных слов.
Упомянутые выше четыре ЭВМ составляют так называемый избыточный набор ЭВМ. Они. идентично запрограммированы для работы на критических фазах полета, тогда как пятая ЭВМ Программируется независимо. Ее можно рассматривать невидимому в качестве дубля первых четырех ЭВМ в случае, когда их программы генерируют ошибку (единственная ошибка в идентичном программном обеспечении четырех ЭВМ избыточного набора делает систему всех этих ЭВМ некорректной). Определение правильных результатов вычислений и выявление ошибок в результатах вычислений основано на принципе голосования, для выполнения которого привлекаются сами ЭВМ и используется межмашинный обмен.
Связи между элементами системы осуществляются через 28 последовательных шин, разбитых на 7 функциональных групп (см. рис. 7.18а). При этом каждая ЭВМ связана с 23 общими разделяемыми шинами и 1 индивидуальной шиной: 1) 5 "шин—для межмашинного обмена; 2) 2 шины — для обмена с массовой памятью; 3) 4 шины — для обмена с дисплеями; 4) 2 шипы — для работы с полезной нагрузкой; 5) 2 шины — для обмена при пред-стартовых операциях; 6) 1 шина — инструментальная для работы по приборам (индивидуальная шина); 7) 8 шин—для работы на критических фазах полета: Каждая ЭВМ, работая под управлением программного обеспечения, может управлять некоторыми или всеми этими шинами. Фактически, однако, каждая ЭВМ управляет предварительно намеченным подмножеством шин.
Для особо ответственных этапов полета ко входам каждой из четырех ЭВМ избыточного набора подключены четыре шины (рис. 7.186), причем каждая ЭВМ управляет одной из шин и обеспечивает прием из нее информации и только принимает ин-' формацию (без функций управления) из трех других шин так, что каждая из четырех шин управляется одной из ЭВМ. Таким образом, все ЭВМ избыточного набора получают данные от дат- ' чиков и размещают их в своей памяти. После обработки результаты проходят процедуру голосования.
Единая точка зрения на структуру рассматриваемой вычислительной системы еще не выработалась. Так, например, построение этой системы на базе машин с минимумом соединений для обмена данными с целью сравнения при параллельной работе четырех машин в режиме избыточности рассматривается в [3] как шаг назад по сравнению с отказоустойчивой ЭВМ ракеты .Saturn *). Отмечается, что ограниченная возможность сравнения и отсутствие аппаратурного обнаружения неисправностей предъявляют большие требования к программному обеспечению системы и ставят под вопрос возможность реального обеспечения отказоустойчивости в разрабатываемой системе.
7.3.8. Библиографическая справка. Концепция, эволюция и основные направления дальнейшего развития отказоустойчивых вычислительных систем, а также соответствующие примеры таких систем представлены в [3] и в предшествующем цикле работ [479, 482, 483, 485-490].
Ряд ранних американских вычислительных систем повышенной надежности, основанных на многомашинном принципе и
•) ЭВМ наведения ракеты Saturn V имела тройную избыточность для защиты каждого из последовательных центральных процессоров, состоящих из семи модулей, задублированную феррптовую память с параллельным доступом и другие средства отказоустойчивости [З], *
предназначенных для систем ПВО североамериканского континента SAGE, системы раннего обнаружения баллистических ракет BMEWS, системы контроля космического пространства SPADATS, системы управления стратегического авиационного командования США, системы управления воздушным движением, систем управления полетом пилотируемых космических кораблей по программам Mercury, Gemini и Apollo и некоторых других^ представлены в книге [114].
Проблеме надежности многопроцессорных систем, в особенности, вопросам резервирования, включая конкретные структуры дуальных и дуплексных систем (например, для BMEWS), большое внимание уделяется в книге [280].
Уважаемый посетитель!
Чтобы распечатать файл, скачайте его (в формате Word).
Ссылка на скачивание - внизу страницы.
