Toleranţa la defectări

Prin această proprietate, la nivel de macrosistem, este asigurată îndeplinirea parţială sau totală a
programului funcţional prevăzut , inclusiv în prezenţa unor defectări.

Sistemele în cauză îşi pot menţine starea validă, fără intervenţie din exterior. Defectările care apar la
orice nivel (componentă, subansamblu etc.), nu produc efecte negative, din punct de vedere
funcţional, dar reduc rezerva de fiabilitate a sistemului. Implementarea toleranţei la defectări se
bazează, deci, pe redundanţă şi este mai uşor de realizat dacă apariţiile defectărilor reprezintă
evenimente independente şi compatibile.

Sisteme autotestabile
Funcţiunile de autotestare în cadrul sistemelor tehnice sunt necesare, ca o primă treaptă, pentru a se
obţine toleranţa la defectări. În acest scop se urmăreşte punerea în evidenţă a producerii defectărilor,
inclusiv a celor mascate care nu se manifestă la nivel macroscopic.
După cerinţe, autotestarea poate fi urmată de identificarea elementului sau subansamblului defect în
cauză, identificare în urma căruia se obţine informaţie necesară pentru reconfigurarea sistemului (de
exemplu, pentru aplicarea redundanţei glisante – fig 1) sau pentru activitatea de mentenanţă
deoarece, în marea majoritate a aplicaţiilor, defectele apărute trebuie înlăturate spre a se restabili
nivelul de fiabilitate normal (impus).

În situaţiile cele mai simple, autotestarea se realizează prin indicarea stării de defectare fără a fi
necesară blocarea procesului (spre exemplu la desfăşurarea, în continuare, a circulaţiei sau navigaţiei).

Fig.1 - Aplicarea redundanţei glisante / permanente

1
Un astfel de caz poate fi întâlnit la sisteme de prelucrare automată a informaţiei, bazat pe procedeul
redundanţei permanente.
Subsistemele SS1 şi SS2 sunt identice şi operează în paralel (on line), atât pentru semnalele primite la
intrare (i), cât şi pentru cele furnizate la ieşire (e). Celelalte notaţii au semnificaţiile:
o P 1 , 2 – procesoare; UA 1 , 2 , UB 1 , 2 – unităţi de calcul;
o M 1 , 2 – memorii.
Semnalele pentru verificare v1 şi v2 , provenite din subsistemele SS1 respectiv SS2 , sunt aplicate
subsistemului de verificare SSV care, în cele mai multe situaţii practice, îndeplineşte funţia de
comparator logic; la ieşirea de verificare (ev ) se obţine, în permanenţă, informaţia cu privire la starea
validă a sistemului sau la starea de defectare a unui subsitem (oricare), ca şi identitatea acestuia.

Dacă în cadrul unui sistem există şi funcţiuni de protecţie, care impun blocarea procesului la apariţia
defectărilor singulare sau multiple, se recurge la utilizarea unor dubleţi funcţionali; o astfel de structură
este redată în figura 2 a), din care se observă că cele două module funcţionale identice, Μf1 şi Μf2
procesează semnalele primite
la intrarea comună (i).

Fig.2 – Structura de tip dubleti functionali

La ieşirea (e) se obţin semnalele procesate prin subsistemul Μf1 , necesare unor funcţiuni esenţiale,
iar la ieşirea de verificare (e v) se obţin semnalele de autote stare prin comparare între semnalele de
ieşire ale celor două module funcţionale, în comparatorul C; în cazul apariţiei unei necoincidenţe,
semnalele de verificare (e v) sunt utilizate ca semnale de comandă pentru blocarea procesului (stop)
şi, în acest fel , se obţine producerea de răspunsuri eronate în locul unora false.
Prin urmare răspunsul pe sistem, pentru funcţiunea de protecţie, este corect dacă sunt în stare validă
toate cele trei subsisteme: Μf1 , Μf2 , C. Această condiţionare logică corespunde grafului din figura 2
b), respectiv relaţiei de calcul pentru funcţia de fiabilitate în raportcu răspunsul fals Rv (t):
Rv(t) = R 1 (t) · R2 (t) · RC (t).

Deoarece modulele funcţionale Μf1 şi Μf2 sunt identice, funcţiile lor de fiabilitate vor fi, de asemenea,
identice:
R1 (t) = R 2 (t) = R(t),
iar expresia de mai sus devine:
Rv (t) = R 2 (t) · RC (t).
Rezultă că pentru funcţia de fiabilitate faţă de răspuns fals sunt valabile inegalităţile:

Rv (t) < R(t); Rv(t) < R C (t)

Pentru acest motiv, în general, semnalul la ieşire (ev ) se anulează în caz de necoincidenţă, în urma
comparării, având ca efect blocarea procesului şi deci evitarea unui răspuns fals în sistem.

Mai este de observat faptul că această structură nu permite identificarea subsistemului defect (Μf 1
sau Μf2 ), ceea ce, în anumite aplicaţii, poate fi un dezavantaj important.
O creştere a fiabilităţii, atât pentru funcţiuni esenţiale cât şi pentru funcţiuni de protecţie, se obţine
dacă se folosesc trei module funcţionale (Μf 1 , Μf2 , Μf3 – fig. 3), cu trei căi de verificare (TMR –
redundanţă modulară triplă).
În acest caz sunt utilizate un subsistem de procesare a datelor SSD şi trei comparatoare C1 , 2 , 3 :
ieşirile de verificare (e v1 , 2 , 3 ), prin semnalele furnizate, permit identificarea automată a modulului
funcţional defect.

Figura 3 - Redundanţă modulară triplă

De asemenea, prin aplicarea procedeului de redundanţă majoritară triplă în varianta „2 din 3”,
blocarea procesului la apariţia unor defectări se produce numai dacă ordinul defectării este II sau III:

ev1 Ç ev2 ; ev1 Ç ev3 ; e v2 Ç ev3 ; ev1 Ç ev2 Ç ev3 .

3
Prin aceasta se obţine o bună disponibilitate pentru funcţionarea sistemului, iar mentenanţa est e mult
uşurată: intervenţia pentru restabilire nu este strict necesară imediat după producerea defectării, iar
înlocuirea modulului defect se face într-un interval mic de timp deoarece identitatea acestuia este
cunoscută.

Sisteme reconfigurabile
Posibilitatea de reconfigurare a unui sistem, atunci când apar defectări, are la bază unele structuri
redundante de tip dinamic. După măsura în care este realizată, reconfigurarea poate fi:
- totală, când se obţine refacerea în întregime a structurilor hardware şi software, pe care
sistemul le-a avut înaintea apariţiei defectărilor;
- parţială, dacă sistemul revine la o funcţionare corectă pe ansamblu, dar având o capacitate
redusă de operare.
În cazul reconfigurării parţiale, unele module de echipament defecte nu sunt înlocuite; consecinţa este
că programul funcţional nu se poate realiza în întregime: unele programe şi/sau date se pierd astfel că
unele funcţiuni, pentru a fi îndeplinite, necesită durate mai mari decâtcele admisibile.
Această proprietate, de reconfigurare, este mai uşor de realizat la sistemele care au o organizare
modulară, corespunzând structurilor de fiabilitate uniforme. Pentru a putea fi realizată, orice
reconfigurare trebuie să fie precedată de autotestare.
Utilizarea reconfigurării reprezintă singura soluţie în situaţia în care nu este posibilă intervenţia
operatorului uman pentru efectuarea restabilirii ( reparării ), cum este cazul echipamentelor de pe
vehicule care se deplasează fără conducere umană:
o pilotări automate în circulaţia rutieră sau feroviară, respectiv în
o navigaţia navală, aeriană, spaţială.

A - Sistemele reconfigurabile rigide au, în general, structuri invariabile la nivel de subsistem:
subsistemele de bază funcţionează în regim on – line, iar cele de rezervă în regim off – line. Când unul
sau mai multe subsisteme dintre cele de bază se defectează, intervine o înlocuire automată cu unităţi
de rezervă (redundanţă automată succesivă.

Datorită procedeelor de implementare aceste sisteme mai sunt numite, în literatura de specialitate,
sisteme reconfigurabile în regim de comutaţie, în aşteptare (standby redundancy), autoreparabile etc.
Trecerea de la subsistemele de bază la cele de rezervă se face cu ajutorul unui subsistem de comutaţie
corespunzător, comandat de subsistemul de supraveghere.
În desenul din figura 4 este redată structura unui astfel de sistem, structură ce provine din sistemul
reconfigurabil descris anterior, faţă de care s-au operat unele simplificări şi modificările necesare.

Astfel subsistemele SS1 şi SS2 sunt notate SSb (bază) şi SS r (rezervă), iar semnalele de verificare
(pentru autotestare) v 1 şi v2 devin semnal de comandă (Cd) respectiv de control (Ct) pentru
reconfigurare.

4
Reconfigurarea este comandată şi controlată prin subsistemul auxiliar SSa u x care, la rândul său, este
compus din două părţi:
o SSvc – subsistemul de verificare şi comandă a comutării;
o SSc – subsisteme de comutaţie, comandat prin semnalul de comutare Sc (figurat prin săgeată
dublă cu lin ii întrerupte).

Figura 4 – sistem autoconfigurabil

În momentul în care se defectează subsistemul de bază SSb se modifică în mod adecvat semnalul de
comandă (Cd), modificare procesată de subansamblul SSvc care generează, în consecinţă, semnalul de
comutare Sc . În urma comutării este izolat subsistemul de bază SSb şi se activează subsistemul de
rezervă SSr , care astfel intră în regim de funcţionare on – line.

Tot pe baza unor reconfigurări rigide funcţionează şi sistemele automate de reglare a circulaţiei
feroviare cu redundanţă glisantă (K). Din unele motive ce ţin de specificul căii ferate, nu este posibilă
reconfigurarea cu subsisteme de rezervă identice cu cele de bază: volum mai mare, practic imposibil
de montat pe poduri metalice, tunele, în staţii pe spaţiul dintre linii etc., dar şi de cost. De aceea sunt
de preferat reconfigurări în structuri existente, cu grad funcţional mai redus, caracterizat prin răspuns
eronat, însă practic imposibil de a se produce răspuns fals.