Le tecniche di ridondanza Sommario Sommario Introduzione Le ...

Tecniche per il progetto di sistemi elettronici tolleranti ai guasti, 15-23 luglio 2002Le tecniche di ridondanzaFulvio Corno, Maurizio Rebaudengo,Matteo Sonza ReordaPolitecnico di TorinoDipartimento di Automatica e InformaticaSommario• Introduzione• Ridondanza nell’hardware• Ridondanza nell’informazione• Ridondanza nel tempo• Ridondanza nel software• Conclusioni.2Sommario• Introduzione• Ridondanza nell’hardware• Ridondanza nell’informazione• Ridondanza nel tempo• Ridondanza nel software• Conclusioni.Introduzione• Introducendo ridondanza nel sistema se neaccrescono le capacità, e quindi lapossibilità di rilevare e tollerare i guasti.• La ridondanza può avere effetti (positivi onegativi) non solo sull’affidabilità, ma anchesulle prestazioni, le dimensioni, il peso, ilconsumo del sistema.34Le tecniche di ridondanza• Le tecniche di ridondanza si dividono in:• Ridondanza nell’hardware• Ridondanza nell’informazione• Ridondanza nel tempo• Ridondanza nel software.Sommario• Introduzione• Ridondanza nell’hardware• Ridondanza nell’informazione• Ridondanza nel tempo• Ridondanza nel software• Conclusioni.56F.Corno, M. Rebaudengo, M. Sonza Reorda 1

Tecniche per il progetto di sistemi elettronici tolleranti ai guasti, 15-23 luglio 2002Permette di tollerare guasti singoli eImplementazione multipli di tipo permanente del TMR (stuck at) etemporaneo (SEU) che coinvolgono i flip• L'architettura flop che TMR saranno può usati essere per adottata realizzare a ilregistro.diversi livelli:• A livello gate, triplicando ciascun flip flop perproteggere i bit di dato memorizzati• A livello register, triplicando un registro• A livello sistema, triplicando un processore• A livello applicazione, triplicando un interosistema.Permette di tollerare guasti singoli emultipli di tipo permanente (stuck at) eImplementazionetemporaneo (SEU)delcheTMRcoinvolgono ilprocessore.• L'architettura TMR può essere adottata adiversi livelli:• A livello gate, triplicando ciascun flip flop perproteggere i bit di dato memorizzati• A livello register, triplicando un registro• A livello sistema, triplicando un processore• A livello applicazione, triplicando un interosistema.1314Permette di tollerare:• Guasti nell'hardware, in particolare singoliImplementazione permanenti (stuck at) del e temporanei TMR (SEU)che coinvolgono il sistema• L'architettura • Guasti nel TMR software, può se essere le tre adottata versioni del adiversi software livelli: sono diverse• Eventuali errori di progetto nei processori,• A livello gate, triplicando ciascun flip flop perse questi sono diversi.proteggere i bit di dato memorizzati• A livello register, triplicando un registro• A livello sistema, triplicando un processore• A livello applicazione, triplicando un interosistema.15Realizzazione dei moduli• L'architettura TMR diventa inefficace se lo stessoguasto si verifica in tutti moduli.• Questo può succedere se il guasto è un guasto dimodo comune.• EsempioOgni modulo corrisponde ad un processore; i 3processori eseguono lo stesso codice: il TMR nonprotegge l'applicazione:• contro i guasti nel codice• contro guasti analoghi che si verificanocontemporaneamente in almeno 2 processori, adesempio a causa di interferenze elettromagnetiche.16Restoring organEsempio• Se il voter di un TMR si guasta, vi possonoessere dei malfunzionamenti• Una possibile soluzione consiste neltriplicare anche il voter (restoring organ).Proc 1voterMem 1voterProc 2voterMem 2voterProc 3voterMem 3voter1718F.Corno, M. Rebaudengo, M. Sonza Reorda 3

Tecniche per il progetto di sistemi elettronici tolleranti ai guasti, 15-23 luglio 2002Voter Software• Il voter può essere realizzato in softwareattraverso un programma eseguito da unprocessore.EsempioTask A Task A Task AvoterTask BProcessore 1 Processore 2 Processore 31920Voter HW o SW• La scelta tra un voter HW o SW dipende da• disponibilità di un processore che esegua ilcodice di voting• velocità richiesta• vincoli di spazio, consumo, peso• numero di voter che devono essere realizzati• flessibilità futura eventualmente richiesta.Voting tra segnali diversi• In taluni casi (ad esempio quando si lavorasu sensori) i tre segnali su cui eseguire ilvoting possono essere diversi anche inassenza di guasti.• In tal caso il voter implementa strategie piùcomplesse quali la selezione del valoreintermedio (mid-value select).2122Selezione del valore intermedio• Consiste nel selezionare ad ogni istante ilvalore intermedio tra i 3 (o gli N)campionati.Somma dei flussi• In alcuni casi non è possibile eseguire unvoting e si applica una tecnica alternativa(sempre basata sul mascheramento) notacome somma dei flussi (flux-summing).2324F.Corno, M. Rebaudengo, M. Sonza Reorda 4

Tecniche per il progetto di sistemi elettronici tolleranti ai guasti, 15-23 luglio 2002La corrente in uscitadipende dallasomma delle correnti La velocità delEsempioin ingresso.motore dipendedalla corrente iningresso.Funzionamento in caso di guasto• Caso 1: un modulo smette di funzionare (nonproduce nessuna corrente): gli altri moduliaumentano la corrente prodotta sino a riportare ilmotore alla velocità voluta.• Caso 2: un modulo produce una corrente diversada quella prevista: gli altri moduli modificano lacorrente prodotta in modo da compensare glieffetti del guasto, e riportare il motore allavelocità voluta.2526Ridondanza attiva• Si basa sulle seguenti fasi:• Error detection• Fault location• Fault containment• Fault recovery.• Le ultime 3 fasi vengono anche indicate con iltermine riconfigurazione.• A differenza della ridondanza passiva, non fa usodel mascheramento, e quindi il sistema puòessere temporaneamente soggetto ad errori, edeventualmente anche a malfunzionamenti.27Funzionamento• Il sistema• localizza il modulo guasto• si riporta in uno stato corretto• sostituisce il componente guasto• riparte (eventualmente con capacità ridotte).28CaratteristicheArchitetture di ridondanza attiva• La ridondanza attiva• Non elimina la possibilità di brevi periodi dimalfunzionamento.• Comporta di solito un costo (in termini dihardware e consumo) inferiore a quello dellaridondanza passiva.• È di solito utilizzata in applicazioni a lungadurata o ad alta disponibilità.• Duplicazione e confronto (duplication withcomparison)• Attesa e sostituzione (standby replacemento standby sparing)• Tecniche miste (ad esempio pair-and-aspare).2930F.Corno, M. Rebaudengo, M. Sonza Reorda 5

Tecniche per il progetto di sistemi elettronici tolleranti ai guasti, 15-23 luglio 2002Duplicazione e confronto• Rappresenta l’architettura di ridondanza attiva piùsemplice.• Si basa sulla duplicazione dell’hardware e delsoftware e sull’aggiunta di un comparatore checonfronta le uscite dei due moduli.• Nel caso sia rilevata una differenza (e quindi unerrore) parte una procedura per identificare ilmodulo guasto e disabilitarlo.• Da quel momento il sistema funziona senzaridondanza, in attesa di un intervento dimanutenzione.31Problemi• I guasti sulle linee di ingresso ai due modulinon vengono né rilevati né tollerati.• I guasti nel comparatore possono:• Impedire il rilevamento di guasti nei moduli• Segnalare l’occorrenza di guasti inesistenti.• In taluni casi il confronto tra le uscite deidue moduli non è facilmente eseguibile.32Mem. PrivataProc ARisultati AEsempioSegnale di ErroreACMPProc AShared MemoryRisultati BRisultati ASegnale di ErroreBCMPProc BMem. PrivataProc BRisultati BAttesa e sostituzione• Il sistema comprende uno o più moduliridondanti (spare).• Allorquando viene rilevato che un modulo èguasto, questo viene sostituito da uno deimoduli di riserva.• Si distinguono due tecniche:• Hot sparing• Cold sparing.3334Hot sparing• I moduli di riserva sono attivi ed eseguonotutte le funzionalità eseguite dal moduloprincipale La sostituzione richiede una sospensione didurata minima nelle attività del sistema, inquanto i moduli di riserva sono giàalimentati ed attivi. I moduli di riserva consumano.Cold sparing• I moduli di riserva non sono alimentati, evengono attivati solo nel momento in cuidivengono necessari. La sospensione delle funzionalità delsistema durante la riconfigurazione è piùlunga. I moduli di riserva non consumano.3536F.Corno, M. Rebaudengo, M. Sonza Reorda 6

Tecniche per il progetto di sistemi elettronici tolleranti ai guasti, 15-23 luglio 2002Pair-and-a-spare• Combina le due tecniche precedenti.• Il sistema comprende:• Due moduli che lavorano in parallelo e le cuiuscite vengono continuamente confrontate• Un modulo di riserva che prende il posto diquello guasto quando viene rilevato un errore.• Il sistema Stratus adotta questo approccio.Ridondanza ibrida• Combina ridondanza attiva e passiva.• Adotta il mascheramento, ma i moduli guastivengono rimpiazzati una volta rilevato il guasto.• Non permette ai guasti di produrremalfunzionamenti, ma ha un costo hardwareelevato.• È adatta ai casi in cui si desidera la massimaaffidabilità.3738NMR with sparesArchitettura triple-duplex3940Triple-duplex• L’architettura TMR permette di evitare ilverificarsi di qualunque malfunzionamento.• L’architettura con duplicazione e confrontopermette di sostituire i moduli guasti, cosìche successivi errori possono ancora esseretollerati.41F.Corno, M. Rebaudengo, M. Sonza Reorda 7