冗余设计与容错设计

冗余设计与容错设计

1.冗余与容错的概念

提高产品可靠性的措施大体上可以分为两类：第一类措施是尽可能避免和减少产品故障发生的避错”技术；第二类措施是当避错难以完全奏效时，通过增加适当的设计余量和替换工作方式等消除产品故障的影响，使产品在其组成部分发生有限的故障时，仍然能够正常工作的“容错”技术。而冗余是实现产品容

错的一种重要手段。

“容错（fault tolerance）”定义：系统或程序在出

现特定的故障情况下，能继续正确运行的能力。“冗余（redundancy）”定义：用多于一种的途径来完成一

个规定功能。“容错”反映了产品或系统在发生故障情

况下的工作能力，而“冗余”是指产品通过多种途径完成规定功能的方法和手段。“容错”强调了技术实施的最终效果，而“冗余”强调完成规定功能所采用的不同方式和途径。严格地说，冗余属于容错设计范畴。

从原理上讲，冗余作为容错设计的重要手段，其实施流

程和原则也同样适用与其他容错设计活动。

2.冗余设计

2.1.目的

冗余设计主要是通过在产品中针对规定任务增加更多的功能通道，以保证在有限数量的通道失效的情况下，产品仍然能够完成规定任务。

2.2 .应用对象

(a) 通过提高质量和基本可靠性等方法不能满足任务可靠性

要求的功能通道或产品组成单元；

（b）由于采用新材料、新工艺或用于未知环境条件下，因而其任务可靠性难于准确估计、验证的功能通道或产品组成单元；

（c）影响任务成败的可靠性关键项目和薄弱环节；

（d）其故障可能造成人员伤亡、财产损失、设施毁坏、环境破坏等严重后果的安全性关键项目；

（e）其他在设计中需要采用冗余设计的功能通道或产品组

成单元。

2.3 .适用时机

在设计/研制阶段的初期，与其他设计工作同步开展。

2.4 . 冗余设计方法

A）按照冗余使用的资源可划分为：

（a）硬件冗余：通过使用外加的元器件、电路、备份部件等对硬件进行冗余；

（b）数据/信息冗余：通过诸如检错及自动纠错的检校码、奇偶位等方式实现的数据和信息冗余；

（c）指令/执行冗余：通过诸如重复发送、执行某些指令或

程序段实现的指令/执行冗余；

（d）软件冗余：通过诸如增加备用程序段、并列采用不同

方式开发的程序等对软件进行冗余。

B）按照实施冗余的产品级别可划分为：部件冗余、系统冗余等。

C）按照冗余方法可划分为：

（a）静态冗余：只利用冗余的资源把故障的后果屏蔽掉，而不对原来的系统结构进行重新改变。此方法多用于电路或部件。

（b）动态冗余：在发现故障后，对有故障的部件或分系统进行切换或对系统进行重构或恢复。此方法多用于系统。（c）混合冗余：上述两种冗余方法的组合。

D）按照冗余系统的工作方式和各个单元的工作状态，冗余也可划分为：

（a）主动冗余（热储备/热备份）：冗余系统中的各个单元同时工作，以保证在有限个单元故障时，该冗余系统仍然能够完成预定任务。主动冗余又可划分为并行冗余和表决冗余两类。

（b）备用冗余（冷储备/冷备份、温储备/温备份）：执行任务时，冗余系统中只有一个单元工作，当该单元发生故障时，切换至其他的冗余单元，直至所有冗余单元都失效，该冗余系统才失效。备用冗余可划分为冷备份和温备份。

上述冗余方式分类如图

温储备/温备份图1 冗余方式分类

2.4.1.主动冗余

主动冗余（active redundancy）也称为工作冗余、热

储备或热备份，是指：执行规定功能的所有手段同时处于工作状态的冗余。主动冗余包括并行冗余和表决冗余两种方式。（1）并行冗余

并行冗余系统工作时，所有冗余单元均同时工作，并

提供相同的输出，仅当所有冗余单元均失效时，该冗余系统才失效。并行冗余系统中，在保证系统正常运行的前提下允许失效的单元个数称为该冗余系统的冗余度。图2给出了一个二度冗

余系统的可靠性框图示意。

（1）式中：

n 为系统中单元数；

Rs 为系统可靠性；

R i 为第i 个单元的可靠性。∏=--=n i i s R R 1)1(1

A1

A2An

……k /n (G )

图3 表决冗余系统可靠性框图示意

当采用相同冗余单元组成表决冗余系统时，表决器完全可靠，则其可靠性数学模型可表示为：

（2）

式中：

n 为系统中单元数；Rs 为系统可靠性；R 为单元可靠性。

∑=--=

n

k

i i

n i i n

s R R C

R )

1(

当采用不同冗余单元组成表决冗余系统时，其可靠性

数学模型不便用单一的通用公式描述。实际操作时可用全概率法计算系统的可靠性。例如对于2/3（G）的表决冗余系统，其可靠性可通过下式计算：

Rs=R1R2R3+(1-R1)R2R3+(1-R2)R1R3+(1-R3)R1R2

从其原理可以看出，在使用相同资源的条件下，并行

冗余比表决冗余提供更多的冗余度；但对于某些具有准确度、精度等要求的功能而言，表决冗余设计能够通过比较、判断，筛选掉异常或错误的输出，因而更能满足功能要求。在主动冗余中，并行冗余通常用于保证一个功能通道的工

作可靠性，而表决冗余通常用于保证多个功能通道。

A2

An

……切换环节

图4 带切换的备用冗余系统

在备用冗余系统中，根据备份冗余单元的工作情况，又可分为冷备份和温备份。

执行任务时，冗余系统的不工作单元如果处于关闭状态（不加电状态），则称该冗余系统为冷备份系统；如果处于待机预热状态，则称该冗余系统为温备份系统。相对而言，温备份具有较快捷的启动或切换过程，切换过程对冗余系统工作的影响较小；冷备份中备份单元的工作应力更低，因此其不

工作状态下的可靠性较高。