③
工作模块t时刻失效，由第一待命模块接替工作 到t’又失效，再由第二待命模块接替运行到T。
C2K 2 2K 1 3K 2 ( R 2 R R ) 2 (1 K ) K K
R1, 2 (T ) R
CK K 1 R(1 R ) K 1 K C2K 2 2K 1 3K 2 ( R 2 R R ) 2 (1 K ) K K
冷备份 热备份
硬件冗余设计技术
容错计算技术
第二节 待命储备系统
一． 二． 三．
四．
五． 六．
待命储备模块的纠错能力 具有一个备份的系统的可靠度 具有两个备份的系统的可靠度 考虑监测器和切换器可能失效的待命储 备系统 检测 — 切换装置 延长系统的运行时间
硬件冗余设计技术
容错计算技术
第二节 待命储备系统
M1 M2 . . . MS+1
R1,s 1 (1 R) s1
硬件冗余设计技术
检测 与 切换
储 备 模 块
容错计算技术
第二节 待命储备系统
一．
待命储备模块的纠错能力 R1,s 1 (1 R) s1
硬件冗余设计技术
容错计算技术
第二节 待命储备系统

储备模块的工作方式

硬件冗余设计技术
容错计算技术
第一节 硬件表决系统
二．
NMR系统 N个模块的表决系统可以纠正n个 模块的错误， 其中: n=(N-1)/2
硬件冗余设计技术
容错计算技术
第一节 硬件表决系统

NMR系统可靠度
RNMR C (1 R) R
i 0 i N i
n
( N i )
硬件冗余设计技术
硬件冗余设计技术
容错计算技术
第一节 硬件表决系统

TMR的MTBF
( MTBF)TMR (3e 2t 2e 3t )dt
0
5 1 6
硬件冗余设计技术
容错计算技术
第一节 硬件表决系统
R
t
1 0.693 0.5 0.1 0.06 0.018
与
RTMR
的比较
Re
0.368 0.5 0.607 0.905 0.942 0.982
t
RTMR 3R 2 2R3
0.306 0.5 0.657 0.975 0.990 0.999
容错计算技术
硬件冗余设计技术
第一节 硬件表决系统

TMR的特点
R
1.0
TMR
0.5 Simplex
0.0 0 ln 2
t
硬件冗余设计技术
a 2 b2 由 1可知 ab
RTMR 2 RTMR
容错计算技术
硬件冗余设计技术
第一节 硬件表决系统

Saturn-V七段TMR系统
V V V
1
M M M
M M M
V V V
2
M M M V
7
选用三表决器： 为了避免单表决器形成的故障单点
硬件冗余设计技术
容错计算技术
第一节 硬件表决系统
二．

具有一个备份的系统的可靠度
恢复率：
C = 从故障中恢复成功的次数 / 故障次数

引入系数 K=λ/μ μ:备份模块的失效率 待命储备模块的可靠度为
Rs (T ) e t
硬件冗余设计技术
容错计算技术
第二节 待命储备系统
二．
具有一个备份的系统的可靠度
T
R1,1 (T ) e
硬件冗余设计技术
容错计算技术
第二节 待命储备系统
①
②
分析一下： 当C=1，K=1， R1,2(T)=2.5R-R2+R3/2+R5/3 当C=1, K= R1,2(T)=R+2R-3R2+R=1-(1-R)3 对于S个待命模块的系统 R1,s(T)=1-(1-R)S+1
容错计算技术
第一节 硬件表决系统

TMR的特点


任务时间越短可靠度的提高越明显 任务时间过长，RTMR反而不如单模的R(t) 高 （MTBF）TMR < （MTBF）单模块
因此，TMR的主要优势在于任务时间不 是很长的情况下。 例如：弹载计算机
硬件冗余设计技术
容错计算技术
TMR with Imperfect Voter
第一节 第二节 第三节 第四节 第五节 第六节 硬件表决系统 待命储备系统 混合冗余系统 硬件二模冗余系统 可重构的五模系统 硬件冗余结构综述
硬件冗余设计技术
容错计算技术
第二节 待命储备系统
待命储备系统是一个模块工作， 其它模块不工作，处于待命状态，一旦 工作模块出现故障，则储备模块接替工 作。
硬件冗余设计技术
容错计算技术
第二节 待命储备系统
一． 二． 三． 四．
五．
六．
待命储备模块的纠错能力 具有一个备份的系统的可靠度 具有两个备份的系统的可靠度 考虑监测器和切换器可能失效的待 命储备系统 检测 — 切换装置 延长系统的运行时间
硬件冗余设计技术
容错计算技术
第二节 待命储备系统
一．
待命储备模块的纠错能力
第一节 硬件表决系统
第一节 硬件表决系统

工作原理
3.
出现永久性故障
假如M1出现永久性故障 ① M1被封锁 ② 计数器1计数，直到记满溢出，使 C1=0, T1=0, A1―关”； C2=0, T2=0, A2 ―关”, 封锁M2; ③ 仅M3工作。
硬件冗余设计技术
容错计算技术
第一节 硬件表决系统
①
工作模块从开始一直运行到任务时间T的概率。
Re
②
T
工作模块t时刻失效，由待命模块接替工作到T 的概率。

T
0
e ( u ) t e (T t ) C
CK K 1 (1 e t )dt R(1 R ) t K 1 K
硬件冗余设计技术
容错计算技术
硬件冗余设计技术
容错计算技术
第一节 硬件表决系统
一．
三模表决系统（TMR） Triple Modular Redundancy 三个模块同时执行一样的操作，以 多数相同的输出作为该表决系统的正确 输出。 通常称为三中取二 “少数服从多数”
硬件冗余设计技术
容错计算技术
第一节 硬件表决系统

TMR表决系统
第五章 硬件冗余设计技术
硬件冗余设计技术
容错计算技术
硬件冗余设计技术
第一节 硬件表决系统
第二节 待命储备系统 第三节 混合冗余系统 第四节 硬件二模冗余系统
第五节 可重构的五模系统
第六节 硬件冗余结构综述
硬件冗余设计技术
容错计算技术
第一节 硬件表决系统
一． 二． 三． 四． 五．
简单的表决系统(TMR) NMR系统 分段表决系统 三模 – 单模自净系统 典型表决电路
M1 M2 F M3
硬件冗余设计技术
容错计算技术
第一节 硬件表决系统
TMR可靠度 设三个模块的可靠度相等，为R(t)。 忽略表决电路的失效。

RTMR (t ) 3R(t ) R(t )1 R(t ) R(t ) R(t ) R(t ) 3R 2 (t ) 2 R 3 (t ) 3e 2t 2e 3t
e
0
T
t
e
t
C e
(T t )
(1 e t )dt t
R1,1 (T ) e T
1 K T CK K 1 (1 e ) 1 K
硬件冗余设计技术
容错计算技术
第二节 待命储备系统
硬件冗余设计技术
容错计算技术
硬件冗余设计技术
容错计算技术
第一节 硬件表决系统

三种工作方式


表决方式 直接传递方式 发散工作方式
硬件冗余设计技术
容错计算技术
第一节 硬件表决系统
硬件冗余设计技术
容错计算技术
第一节 硬件表决系统

三种工作方式


表决方式 直接传递方式 发散工作方式
硬件冗余设计技术
容错计算技术
第一节 硬件表决系统
2.
②③④ ⑤ Nhomakorabea控制门G1―关”状态，则： M1输出被封锁；V接收M2,M3最后输出正确结果F。 门A1―开”状态，则 第一脉冲使C1＝1，计数器1＋1＝1。 G1―开”状态，f1送到V。 f1 F ，则： M1再被封锁，F由M2,M3决定，直至计 数器1＋1＝2，则 f1=F
硬件冗余设计技术
容错计算技术
硬件冗余设计技术
容错计算技术
第一节 硬件表决系统

三模 - 单模自净系统的可靠度
硬件冗余设计技术
容错计算技术
第一节 硬件表决系统
一． 二． 三．
四．
五．
简单的表决系统(TMR) NMR系统 分段表决系统 三模 – 单模自净系统 典型表决电路
硬件冗余设计技术
容错计算技术
第一节 硬件表决系统
五．
一个典型的表决电路
0.95 TMR better 0.885 Simplex better 0.5 0.56 0.75 1.0 0.94 ?
1
2 3
V
Voter
R
硬件冗余设计技术
容错计算技术
第一节 硬件表决系统
一． 二． 三． 四． 五．
简单的表决系统(TMR) NMR系统 分段表决系统 三模 – 单模自净系统 典型表决电路