Отказоустойчивые системы. Системы JPL STAR и UDS

7.3. Отказоустойчивые системы

7.3.1. Системы JPL STAR и UDS. Системы JPL STAR (Self-Testing And Repairing) и UDS (Unified Data System) разрабо­таны в Лаборатории реактивного движения JPL (Jet' Propulsion Laboratory) Калифорнийского технологического института, в которой созданы космические аппараты, исследовавшие Луну, Марс, Венеру и Меркурий, и направленные к Юпитеру и Сатурну.

Наиболее важное требование, предъявляемое к бортовой вы­числительной системе космических аппаратов,— большая долго­вечность без обслуживания, причем на потребляемую мощность» на массу и габариты системы накладываются жесткие ограниче­ния (как правило, 30—40 Вт, 45 кг и объем несколько тысяч кубических сантиметров). В JPL около двадцати лет проводится программа по созданию отказоустойчивых вычислительных сис­тем в целях обеспечения требований к надежности космических аппаратов.

В период 1961—1972 гг. была выполнена первая часть про­граммы, в результате которой, вероятно, впервые была практи­чески построена самовосстанавливающаяся (лабораторная демон­страционная) система, получившая название JPL STAR (1969 г.). Эта система ориентирована на технологию "производства устройств для бортовых систем начала 1970-х годов (биполярные элементы с малым и средним уровнем интеграции и память на цилиндри­ческих магнитных пленках). Всесторонняя проверка в условиям введения неисправностей в макет JPL STAR показала, что при­мерно при 99% всех вносимых неисправностей следовало успеш­ное самовосстановление макета. После этой проверки система JPL STAR ^прослужила несколько лет в качестве лабораторной маши­ны. Был разработан также бортовой вариант модели JPL STAR^ рассчитанный на 10—15 лет работы в космическом полете, но его реализация была приостановлена, так как NASA прекратило работы по подготовке полета, для которого предназначалась эта модель.

После завершения испытаний JPL STAR с 1973 г; начались работы по второй части указанной программы, которая продол­жается по настоящее время. Успехи в технологии создания ма­ломощных микропроцессоров с высокой • степенью интеграции позволили заменить относительно дорогие общие сконцентрирован­ные вычислительные ресурсы на распределенные ресурсы, реали­зуемые в виде малых ЭВМ. Эти ЭВМ распределенной системы располагаются там, где они непосредственно нужны. Возникаю­щие здесь вопросы -связаны со сложностью системы, надежно­стью программного обеспечения, отказоустойчивостью аппара­туры. Был построен макет подобной системы, названной UDS, который используется для эмуляции ряда функций вычислитель­ной системы космического аппарата [3, 361J.

Структурная схема окончательного варианта системы JPL STAR'изображена на рис. 7.8 t3611. Жесткие ограничения па по­требляемую мощность не позволили применить структуры с боль­шой избыточностью, например, одновременно работающие сдво­енные или строенные системы со сравнением их сигналов или с мажоритарным голосованием на выходе соответственно. Был при­нят вариант, при котором должна функционировать одна ЭВМ,

имеющая развитые схемы контроля для обнаружения внутренних неисправностей. При этом затраты на обнаружение неисправно­стей должны быть минимальными вследствие жестких совокуп­ных ограничений на потребляемую мощность, массу и габариты. В целях восстановления после отказа для обеспечения большой долговечности был принят вариант, когда один рабочий блок имеет несколько резервных, причем на резервные блоки питание

не подается (ненагруженный резерв). Модули замены не долж­ны содержать слишком большое число компонентов, чтобы .ин­тенсивность их отказов была допустимой. Поэтому, например, .центральный процессор, имевший более 1000 кристаллов, был разбит на четыре модуля (см. рис. 7.8), каждый из которых обес­печивался необходимым числом резервных модулей.

Поскольку в рабочем состоянии находится одна вычислительная машина, требуется специальное центральное устройство для непрерывной диагностики неисправностей в машине, перезапус­ков программ, выработки управляющих сигналов для запуска программных процедур восстановления и автоматической замены неисправных модулей на резервные путем переключения питания сразу же после обнаружения отказа какого-либо рабочего модуля. Таким устройством является процессор контроля и восста­новления [361].

Система JPL STAR имеет семь типов модулей, являющихся функциональными блоками (см. рис. 7.8). Управляющий процес­сор модифицирует адреса команд перед их выполнением, он со­держит счетчик команд и индексные регистры. Логический и ос­новной арифметический процессоры выполняют логические и арифметические операции над словами данных соответственно. Процессор ввода-вывода управляет запросами на прерывания и содержит буферные регистры для ввода-вывода и процессор пре­рываний. Процессор контроля и восстановления управляет рабо­той вычислительной машины и осуществляет диагностику и вос­становление; для взаимодействия с аппаратурой восстановления • была разработана операционная система STAREX.