raptortech97
2015-03-25 02:56:20 UTC
至少在飛機上,真正重要的計算機是多餘的。通常,自動駕駛儀計算機的三個相同副本並行運行並比較結果。如果一台計算機與其他兩台計算機不同意,則忽略其輸出。該系統允許某些處理器出現故障,同時保持整個系統的運行。
為什麼?我從未聽說過微處理器突然發生故障。當然,可能會有製造錯誤,但這些錯誤會在工廠被發現。也許程序(及其證明)是錯誤的,但是在處理器之間以相同的方式將是錯誤的。同樣,錯誤的輸入將導致所有三台計算機上的錯誤輸出。這種冗餘可以防止什麼樣的錯誤?微處理器有時是否只是在做數學上的錯誤?為了解決這種故障,您需要一個備用處理器,但是您不需要比較三台計算機的輸出-假定產生的任何輸出都是正確的,因此您很樂意直接使用任何產生輸出的處理器的輸出。
相關:多個自動駕駛儀的目的是什麼?在進行說明之前簡單地說“冗餘”。
我將等待權威的答案,但是在我所涉及的系統上,這三台計算機運行的軟件不同,由獨立團隊生產,並被證明可以為相同的輸入生成相同的輸出。
@Simon我知道Shuttle擁有備份軟件(“設計多樣性”),但是Wikipedia聲稱這種做法正變得越來越不普遍。
可能是,我已經退出循環大約20年了。順便說一句,我現在是一名軟件工程師,並且看到處理器出現故障,更常見的是RAM芯片出現故障。
@Simon但是RAM可以具有ECC,對嗎?在最壞的情況下,複製RAM比複製整個計算機要容易得多,而且便宜得多。處理器故障更值得關注。您認為您能夠寫出有關處理器如何發生故障的答案嗎?
我的問題與我剛才鏈接的問題基本相同。我應該將其作為另一個的副本關閉,然後向另一個添加賞金嗎?我是否應該編輯另一個問題以關注如何實現冗餘以更好地匹配答案?
我認為您的問題是正確的,我對答案很感興趣。至於處理器如何失敗,這是不值得回答的。我從內存中看到了2。一個是風扇故障,芯片本身炸了,另一個是未知的。表現為越來越怪異的錯誤和藍屏,接著是完全失敗。 RAM幾乎肯定會具有ECC,但只能糾正一位錯誤並報告兩位錯誤。如果出現更多位失敗(這很容易發生物理錯誤),那麼ECC就沒有用了。
@raptortech97:自動駕駛儀並不那麼關鍵;飛機可以用手飛行。真正關鍵的系統是電傳操縱。在空中客車公司中,它們在成對的異種板(i386和m68k)上運行,並帶有相互交叉檢查的獨立編寫的軟件,這些成對的乘以進行故障轉移,並且主要飛行控制(電梯和副翼)有獨立的設置,另一組用於獨立的飛行控制。備用(擾流板和水平穩定器),因此如果其中一個發生故障,另一個仍然可以控制俯仰和橫滾。我相信波音777和787的系統是相似的。
@JanHudec我同意自動駕駛通常並不重要,但是在Cat III自動降落期間發生的故障被認為是災難性的。
我發現使用3的選擇有些奇怪。為了以任意方式處理其中之一的故障,您需要拜占庭式的彈性,而小於4則無法實現。
-1
@raptortech97對沒有拜占庭彈性的系統進行分析時,會假設每個節點運行狀況良好或已完全停止通信。只需要一個隨機的位翻轉就可以使此類系統的分析無效。
這不是在談論@kasperd。您建議的拜占庭抵抗性分析的類型基於以下假設:計算機可以說謊並偽造其他計算機的消息。如果您具有用於驗證身份的加密哈希,則該三方系統是可解決的。
@raptortech97僅當您假設故障節點停止發送任何消息時,才可以解決。如果單個節點發生故障而導致發送不一致的消息,則您將失去所有保證。
@kasperd讓我們[在聊天中繼續此討論](http://chat.stackexchange.com/rooms/22267/discussion-between-raptortech97-and-kasperd)。
你沒聽說過好老墨菲嗎? `任何可能出錯的地方都會出錯`
[是的,微處理器有時會做錯數學。](http://en.wikipedia.org/wiki/Pentium_FDIV_bug)
“ *我從未聽說過微處理器突然發生故障*”。那是因為您不熟悉電子產品。詢問[這裡](http://electronics.stackexchange.com/),您將得到啟發。此外,飛行計算機並非僅由CPU / MCU組成。鍵盤,顯示器,連接器,內存,時鐘,其他芯片,其他電子組件,電源單元...命名。
這個問題表達得很差,令人震驚。查詢者似乎是指飛行計算機_employ Redundancy_。但他實際上問的是_為什麼它們已過時?