용장성(엔지니어링)

공학에서 용장성(redundancy)이란 시스템의 신뢰성을 높이기 위해 시스템의 중요한 컴포넌트 또는 기능을 복제하는 것을 말합니다.일반적으로 백업 또는 페일 세이프의 형태로 시스템의 신뢰성을 향상시키거나 GNSS 리시버나 멀티 스레드 컴퓨터 처리 등의 실제 시스템 성능을 향상시킵니다.

항공기의 플라이 바이 와이어 및 유압 시스템과 같은 많은 안전 중요 시스템에서 제어 시스템의 일부는 3중으로 ^[1]복잡해질 수 있으며, 이를 공식적으로 트리플 모듈러 이중화(TMR)라고 한다.그러면 한 컴포넌트의 오류가 다른 2개의 컴포넌트에 의해 표시되지 않을 수 있습니다.3중 장황한 시스템에서는 3개의 서브 컴포넌트가 있으며, 이 3개의 서브 컴포넌트 모두 고장나야 시스템에 장애가 발생합니다.각 구성요소가 거의 고장나지 않고 하위 구성요소가 독립적으로 고장날 것으로 예상되기 때문에, 세 가지 모두 고장날 확률은 매우 작은 것으로 계산된다. 이는 종종 인간의 실수와 같은 다른 위험 요소보다 더 크다.중복성은 "다수 투표 시스템"^[2] 또는 "투표 논리"^[3]라는 용어로도 알려져 있다.

용장성은 신뢰성이 높아지는 대신 생산량이 적을 수 있습니다.즉, 보다 복잡한 시스템을 구축하여 다양한 문제를 일으키기 쉽고, 인간의 직무 태만으로 이어질 수 있으며, 생산 수요가 증가하여 시스템에 ^[4]과도한 부하를 가함으로써 안전성이 저하될 수 있습니다.

용장성의 형태

컴퓨터 과학에서는,^[5] 다음의 4개의 주요한 용장성이 있습니다.

• 듀얼 모듈러 용장성 및 트리플 모듈러 용장성 등 하드웨어 용장성
• 오류 검출 및 수정 방법 등 정보의 용장성
• 시간 중복: 프로그램의 여러 실행 또는 전송된 데이터의 여러 복사본과 같은 동일한 작업을 여러 번 수행합니다.
• N버전 프로그래밍 등의 소프트웨어 용장성

하드웨어에 적용되는 소프트웨어 용장성의 변경 형식은 다음과 같습니다.

• 차량 내 기계적 제동 및 유압 제동과 같은 뚜렷한 기능 중복성소프트웨어의 경우, 코드는 독립적으로 명확하게 작성되지만 동일한 입력에 대해 동일한 결과를 생성한다.

구조물은 보통 중복된 부품으로 설계되므로 한 부품이 고장나더라도 구조 전체가 무너지지 않습니다.이중화되지 않은 구조물은 파괴임계라고 불리며, 이는 단일 파손된 구성요소가 구조물 전체를 붕괴시킬 수 있음을 의미합니다.용장성이 부족하여 장애가 발생한 교량에는 Silver Bridge와 Skagit River 위의 Interstate 5 브릿지가 있습니다.

병렬 및 복합 시스템은 다른 수준의 중복성을 보여줍니다.이 모델들은 신뢰성과 안전 ^[6]공학 분야의 연구 대상이다.

다른 용장성

같은 것을 여러 개 사용하는 기존의 용장성과 달리 다른 용장성은 다른 것을 사용합니다.그 생각은 다른 것들이 동일한 결함을 가지고 있을 것 같지 않다는 것이다.투표방법은 두 가지에 서로 다른 시간이 걸린다면 추가적인 복잡성을 수반할 수 있다.동일한 소프트웨어에는 동일한 결함이 있기 때문에 다른 용장성이 소프트웨어와 함께 사용되는 경우가 많습니다.

다음 중 적어도 두 가지 다른 유형을 사용함으로써 고장 가능성이 감소합니다.

• 프로세서,
• 운영체제,
• 소프트웨어,
• 센서,
• 액추에이터 유형(전기, 유압, 공압, 수동 기계 등)
• 통신 프로토콜,
• 통신 하드웨어,
• 통신 네트워크,
• 통신^[7][8][9] 경로

지리적 용장성

지리적 용장성은 백업 디바이스를 지리적으로 분리하여 배치한 다중 디바이스의 취약성을 수정합니다.지리적 중복성은 정전, 홍수, HVAC 고장, 낙뢰, 토네이도, 건물 화재, 산불 및 대량 총격과 같은 이벤트가 시스템을 비활성화할 가능성을 줄입니다.

지리적 용장성 위치는 다음과 같습니다.

• 대륙 62마일(100km) 이상,
• 간격은 62마일 이상이고 간격은 93마일(150km)^[10] 미만입니다.
• 같은 캠퍼스에 있는 건 아니지만, 62마일도 안 되는 거리에요
• 같은 캠퍼스에서 300피트(91m) 이상 떨어져 있는 다른 건물.

화재에 의한 손상 위험을 줄일 수 있는 방법은 다음과 같다.

• 80피트(24m) 이상^{[11]: 9} 떨어진 대형 건물
• 최소 82피트(25m) 떨어진^{[11]: 12 [12]} 고층 건물
• 물체의 각^[13] 측면에 200피트(61m) 이내의 인화성 식물이 없는 공터
• 300피트(91m) 이상 떨어져 있는 방에서 같은 건물에 있는 다른 날개
• 다른 층에 있는 방 사이에 방화벽이 있는 최소 70피트(21m)의 수평 간격의 방의 같은 날개에 있는 다른 층
• 두 방 사이에 적어도 70피트의 간격을 두고 다른 방으로 분리된 두 방
• 적어도^[10] 두 개의 분리된 방화벽이 복도 반대편에 있어야 한다.

원격 조기 경고선은 지리적 중복성의 한 예입니다.이들 레이더 사이트는 최소 80km(50마일) 떨어져 있었지만 중복 탐지 범위를 제공했습니다.

용장성 기능

용장성의 2가지 기능은 패시브 용장성과 액티브 용장성입니다.두 기능 모두 추가 용량을 사용하는 사람의 개입 없이 성능 저하가 사양 한계를 초과하지 않도록 합니다.

패시브 용장성은 과도한 용량을 사용하여 컴포넌트 장애의 영향을 줄입니다.패시브 용장성의 일반적인 형태 중 하나는 브리지에서 사용되는 케이블과 스트럿의 추가 강도입니다.이 추가 강도에 의해 일부 구조 구성요소가 교량 붕괴 없이 고장날 수 있습니다.설계에 사용되는 추가 강도를 안전 한계라고 합니다.

눈과 귀는 수동적 용장성의 작동 예를 제공합니다.한쪽 눈의 시력 감퇴는 실명을 일으키지는 않지만 깊이 지각이 손상된다.한쪽 귀의 청력 상실은 청각장애를 일으키지 않지만 방향성은 상실된다.퍼포먼스 저하는 일반적으로 장애가 한정된 수의 패시브 용장성과 관련지어집니다.

액티브한 용장성은 개개의 디바이스의 퍼포먼스를 감시함으로써 퍼포먼스 저하를 방지합니다.이 모니터링은 투표 로직에서 사용됩니다.투표 로직은 컴포넌트를 자동으로 재구성하는 스위칭에 링크됩니다.에러 검출 및 수정과 Global Positioning System(GPS; 글로벌 포지셔닝 시스템)은 액티브한 용장성의 2가지 예입니다.

배전에는 액티브한 용장성의 예가 있습니다.각 세대 시설에는 여러 개의 전원선이 연결되어 있습니다.각 전원 라인에는 과부하를 검출하는 모니터가 포함되어 있습니다.각 전원 라인에는 회로 차단기도 포함되어 있습니다.전원 라인의 조합에 의해서, 용량이 과잉이 됩니다.회로 차단기는 모니터가 과부하를 감지하면 전원 라인을 분리합니다.전력은 나머지 ^{[citation needed]}회선으로 재배포됩니다.토론토 공항에는 4개의 중복 전선이 있습니다.4개의 라인 각각은 공항 전체에 충분한 전력을 공급합니다.스폿 네트워크 변전소는 역류 릴레이를 사용하여 고장 난 회선에 대한 차단기를 열지만, 전력이 공항을 계속 흐르게 합니다.

전력 시스템에서는 전원 스케줄링을 사용하여 액티브한 용장성을 재구성합니다.컴퓨팅 시스템은 다른 발전 설비가 갑자기 상실되었을 때 각 발전 설비의 생산 출력을 조정합니다.이것은 지진과 같은 주요 사건 중의 정전 상태를 방지한다.

화재 경보, 도난 경보, 전화 중앙 사무소 교환기 및 기타 중요한 시스템은 DC 전원에 의해 작동합니다.

단점들

Normal Accidents의 저자인 Charles Perrow는 때때로 중복이 역효과를 일으켜 신뢰성이 향상되는 것이 아니라 오히려 떨어진다고 말했습니다.이 문제는 다음 세 가지 방법으로 발생합니다.첫째, 중복된 안전장치는 보다 복잡한 시스템을 초래하고 오류와 사고를 일으키기 쉽습니다.둘째, 정리해고는 근로자들의 책임 회피로 이어질 수 있다.셋째, 중복으로 인해 생산 압력이 증가하여 시스템은 고속으로 작동하지만 ^[4]안전성은 떨어질 수 있습니다.

투표 논리

투표 로직은 성능 모니터링을 사용하여 시스템 전체의 사양 제한을 위반하지 않고 작업을 계속할 수 있도록 개별 구성요소를 재구성하는 방법을 결정합니다.투표 로직은 종종 컴퓨터를 포함하지만, 컴퓨터 이외의 항목으로 구성된 시스템은 투표 로직을 사용하여 재구성될 수 있습니다.회로 차단기는 비컴퓨터 투표 로직의 한 형태입니다.

컴퓨팅 시스템에서 가장 단순한 투표 로직은 프라이머리와 대체의 두 가지 컴포넌트를 포함합니다.둘 다 비슷한 소프트웨어를 실행하지만 정상 동작 중에는 대체 출력은 비활성화 상태로 유지됩니다.프라이머리는 자신을 감시하고 모든 것이 정상인 한 정기적으로 대체 사용자에게 액티비티 메시지를 보냅니다.기본이 고장을 감지했을 때 활동 메시지를 포함하여 기본 중지에서 나오는 모든 출력입니다.액티비티 메시지가 정지되면 대체는 출력을 활성화하고 프라이머리로부터 잠시 지연된 후 인계합니다.투표 로직에 오류가 있으면 두 출력이 동시에 활성화 또는 비활성화되거나 출력이 켜지거나 꺼질 수 있습니다.

보다 신뢰할 수 있는 투표 로직 형식은 홀수 이상의 3개의 디바이스를 포함합니다.모두 동일한 기능을 수행하며 출력은 투표 로직에 의해 비교됩니다.투표 로직은 불일치가 있을 때 과반수를 설정하며, 과반수는 불일치가 있는 다른 장치로부터의 출력을 비활성화하기 위해 작용합니다.단 한 번의 고장으로 정상 작동이 중단되지는 않습니다.이 기법은 우주왕복선의 작동을 담당하는 항전 시스템과 같은 항전 시스템에 사용됩니다.

시스템 장애 확률 계산

시스템에 추가된 각 중복 컴포넌트는 다음 공식에 따라 시스템 고장 확률을 낮춥니다.

${\displaystyle {p}=\display_{i=1}^{n}p_{i}}$

여기서:

• ${\displaystyle n}$ $\$ $display style$n $$–컴포넌트 수
• ${\displaystyle p_{}}$ i$(\$})$$ – 컴포넌트 i의 장애 가능성
• $\displaystyle$p $$– 모든 컴포넌트가 고장날 가능성(시스템 장애)

이 공식은 고장 사건에 대한 독립성을 가정합니다.즉, 부품 A가 이미 고장났을 때 부품 B가 고장날 확률은 A가 고장나지 않았을 때 B가 고장날 확률과 동일하다는 것을 의미합니다.한쪽 전원장치가 고장났을 경우 다른 쪽 전원장치도 고장나도록 같은 소켓에 연결된2개의 전원장치를 사용하는 등 이것이 불합리한 상황이 발생할 수 있습니다.

또한 시스템을 계속 가동시키기 위해 필요한 컴포넌트는 1개뿐이라고 가정합니다.

「 」를 참조해 주세요.

레퍼런스

외부 링크

• 고도의 용장 제어를 사용한 안전한 추진
• 다중 통신 채널로서의 전원 회선 사용
• Flammini, Francesco; Marrone, Stefano; Mazzocca, Nicola; Vittorini, Valeria (2009). "A new modeling approach to the safety evaluation of N-modular redundant computer systems in presence of imperfect maintenance". Reliability Engineering & System Safety. 94 (9): 1422–1432. arXiv:1304.6656. doi:10.1016/j.ress.2009.02.014. S2CID 6932645.