システム分析のクラスで、インストラクターは冗長システムについて話しました。彼女は、3 つの独立したシステムが飛行機を着陸させることができ、テスト ランでは 3 つすべてが同時に失敗したという話をしました (どういうわけか、パイロットはまだ手動で着陸する時間がありました)。冗長システムが役立つ理由がわかりません。システム A が着陸装置と通信できない場合、システム B と C も通信できませんよね? 冗長システムの背後にある考え方は、「これらのシステムの 1 つにバグがないことを祈りましょう」ですか? はいの場合、バグが発見されたときには手遅れではないでしょうか (たとえば、プライマリ システムに障害が発生したため、セカンダリ システムに切り替え、飛行機が爆発するのを待ちます)?
冗長なシステムとは、「同じツールがさまざまな方法で作成されていますが、別のツールが必要な場合は運が悪い」と言っているようなものです。
同一のシステムは、特定のクラスの障害、つまりデバイスの電子的または物理的な障害 (非決定論的障害である場合) を防ぐのに役立ちます。言い換えれば、RAID 5 配置で 3 台のハード ドライブを使用している場合、1 台のハード ドライブでヘッドがクラッシュしても保護されますが、2 台でクラッシュした場合は、バックアップ時からの復元になります。ハードドライブのヘッドクラッシュ、電子的な故障などは、この種のものが保護する一種のエラーです.
保護されないのは、3 つのシステムすべてのソフトウェア バグによって引き起こされる確定的な障害です。RAID 5 アレイに話を戻すと、ハード ドライブが同じで、コントローラーにバグがあり、ヘッドが 3 つすべてに破損したデータを書き込む場合、3 台のハード ドライブに破損したデータが書き込まれているという事実はありません。本当の快適さ。
ここでの良い実例として、F22 戦闘機の飛行隊がハワイから日本に飛んでいたとき、国際日付変更線を越えて、ひどいアビオニクス ダンプを経験しました。どうやらいくつかの情報源から、彼らは慣性基準、一部の航空データ、一部の通信、兵器システムのすべてを失ったようです。ソフトウェアのバグにより、日付変更線が正しく処理されず、すべての冗長システムがロックされたようです。飛行隊は、計器なしで基地と着陸に戻らなければなりませんでした。悪天候だったら、コンピューターのクラッシュが航空機のクラッシュに変わっていたでしょうが、パイロットが脱出できたことを願っています。
さらに、冗長システムではより複雑な障害のケースがあり、安全の維持に携わる個人が問題が発生したときにトラブルシューティングを行うのが困難になることがよくあります。たとえば、2 番目のシステムの障害はどのように処理されますか? これにより、少なくとも 1 件の航空機事故で恐怖と負傷が発生しました。その場合、2 番目の迎角ユニット (Air Data/Inertial Reference Unit の一部) の故障により、システムは最初に故障したセンサーからの入力を使用するようになり、最初に命令されていない上昇が発生し、次に命令されていない急降下が発生しました。航空機は安全に着陸しましたが、これは航空機に座っているときにシートベルトを着用する正当な理由です!
したがって、常にそうであるように、堅牢性と、考えられるすべての障害状態の適切な処理を証明できることとの間にはトレードオフがあります。一般に、航空業界では、これはプラスのトレードオフであると考えられていますが、無料ではありません。