容錯是一個依賴于系統(tǒng)內(nèi)元素失效的系統(tǒng)。它也可以稱為失效安全設(shè)計。例如，在其中一個電源發(fā)生失效后，容錯系統(tǒng)可能會繼續(xù)正常運(yùn)行。或者它可能在減少或退化的狀態(tài)下運(yùn)行。其他系統(tǒng)可能具有“跛行回家”狀態(tài)，允許系統(tǒng)保存關(guān)鍵數(shù)據(jù)或允許您開車到安全的地方更換漏氣的輪胎。在某些情況下，徹底的系統(tǒng)失效是不可接受的。

通信、銀行、空中交通管制、運(yùn)輸和許多其他領(lǐng)域都有系統(tǒng)，一旦發(fā)生失效，可能會導(dǎo)致災(zāi)難性的后果。創(chuàng)建一個可能會遇到組件、子系統(tǒng)或軟件失效的系統(tǒng)，并且該系統(tǒng)能夠以通常非常需要的某種能力繼續(xù)運(yùn)行。

容錯系統(tǒng)的基本特征

容錯系統(tǒng)可能具有以下一個或多個特征：

無單點(diǎn)失效

這意味著如果電容器、軟件代碼塊、電機(jī)或任何單個項目發(fā)生失效，則系統(tǒng)不會發(fā)生失效。例如，許多醫(yī)院都有備用電源系統(tǒng)，以防電網(wǎng)出現(xiàn)失效，從而使醫(yī)院內(nèi)的關(guān)鍵系統(tǒng)保持運(yùn)行。

關(guān)鍵系統(tǒng)可能有多個冗余方案來保持高水平的容錯和彈性。

沒有單點(diǎn)修復(fù)會導(dǎo)致系統(tǒng)宕機(jī)

例如，擴(kuò)展單點(diǎn)失效的想法，實(shí)現(xiàn)失效組件的修復(fù)不需要關(guān)閉系統(tǒng)。

這也意味著系統(tǒng)在維修期間保持在線和運(yùn)行。這可能會給系統(tǒng)的設(shè)計和維護(hù)帶來挑戰(zhàn)。熱插拔電源是修復(fù)操作的一個示例，它可以在更換失效電源的同時保持系統(tǒng)運(yùn)行。

失效隔離或識別

該系統(tǒng)能夠識別系統(tǒng)內(nèi)何時發(fā)生失效，并且不允許失效元件對功能產(chǎn)生不利影響（即丟失數(shù)據(jù)或在銀行系統(tǒng)中產(chǎn)生邏輯錯誤）。識別并隔離失效元件。

系統(tǒng)的某些部分可能具有檢測失效的唯一目的，內(nèi)置自測試(BIST)就是一個例子。

失效遏制

當(dāng)發(fā)生失效時，可能會損壞系統(tǒng)內(nèi)的其他元件，從而造成第二個或第三個失效和系統(tǒng)失效。

例如，如果模擬電路發(fā)生失效，則可能會增加系統(tǒng)中的電流，從而損壞無法承受高電流條件的邏輯電路。失效遏制的想法是避免或盡量減少由單點(diǎn)失效引起的附帶損害。

魯棒性或變異性控制

當(dāng)系統(tǒng)遇到單點(diǎn)失效時，系統(tǒng)就會發(fā)生變化。

更改可能會導(dǎo)致暫時或永久的更改，從而影響系統(tǒng)的工作元素如何響應(yīng)和運(yùn)行。變化會發(fā)生，當(dāng)發(fā)生失效時，變化通常會增加。

例如，當(dāng)兩個電源中的一個發(fā)生失效時，其余電源將承擔(dān)全部電力需求。這種轉(zhuǎn)變應(yīng)該在不影響系統(tǒng)性能的情況下發(fā)生。設(shè)計和制造穩(wěn)健系統(tǒng)的能力可能涉及六西格瑪設(shè)計、實(shí)驗優(yōu)化設(shè)計和其他工具，以創(chuàng)建能夠在發(fā)生失效時運(yùn)行的系統(tǒng)。

恢復(fù)狀態(tài)操作（回退或跛行）

當(dāng)發(fā)生失效時，系統(tǒng)可以通過多種方式改變其性能，從而使系統(tǒng)能夠以某種方式繼續(xù)運(yùn)行。

例如，如果計算機(jī)的部分冷卻系統(tǒng)出現(xiàn)失效，中央處理器(CPU)可能會降低其速度或命令執(zhí)行率，從而有效地減少CPU產(chǎn)生的熱量。fail失效會導(dǎo)致冷卻能力損失，CPU會進(jìn)行調(diào)整以適應(yīng)并避免過熱和失效。其他還原方案可能包括回滾到先前的工作狀態(tài)，或切換到先前或安全模式軟件集。

在某些情況下，系統(tǒng)可能能夠在沒有或只有最小功能損失的情況下操作員，或者恢復(fù)操作將系統(tǒng)操作顯著限制在關(guān)鍵的幾個功能上。

概括

盡管系統(tǒng)內(nèi)任何單個元件發(fā)生失效，系統(tǒng)仍能繼續(xù)運(yùn)行的能力意味著該系統(tǒng)不在串聯(lián)配置中。

有一組冗余或一組替代方法可以繼續(xù)運(yùn)行。系統(tǒng)可以使用多個冗余元素，或者對系統(tǒng)配置的變化具有彈性。

創(chuàng)建容錯系統(tǒng)的適當(dāng)解決方案通常需要仔細(xì)規(guī)劃，了解元素如何發(fā)生失效以及失效周圍元素的影響。

編輯：黃飛