3noga

Даже предмета спора не должно быть намой взгляд, безопасность достигается или суперэлементами с неравномерным потоком отказов или программно аппаратной избыточностью -больше никак. Поэтому естественно что все системы должны иметь как минимум дублированную или любую другую программно-аппаратно избыточную структуру для достижения заданных нормативными документами параметров безопасности. Как этих параметров достич - другой вопрос... Но все мы знаем класическую теорию надежности, которая основана на обычной математике, и вот она как раз однозначно дает ответ что например схема 2из2 дает прирост показателей безопасности но снижает параметры безотказности, 2из3 дает прирост и там и там - но прирост по безопасности меньше чем при 2из2, вот и приходится наворачивать по безопасности каждую из составных частей более чем пришлось бы в 2из2 - это уже вопрос не только программирования но и схемотехники... Ну и естественно все мы прекрасно понимаем что нет возможности доказать безопасность дублированных только програмных средств - обязательно требуется аппаратная избыточность...
С класикой не поспоришь - там все обосновано математически, а не на словах... ;-)

3noga добавил 01.04.2011 в 14:54
От себя добавлю довелось в исполнительных устройствах реализовывать и дубль и мажоритар, поверьте мне - из собственного опыта - я за дубль. Ибо мажоритар который может крови попить -и он ее попьет поверьте, т.к. там уже есть параметр времени замены неисправнорго канала, т.к. два неисправных -уже дадут норму при 3-ем исправном, тот же дубль но с более сложным решающим элементом чем И, поэтому я за 2из2 более простые и в итоге более надежные решения чем 2из3 в идеале, если смотреть на устройство не как на систему абстрактную - а как на железяку вполне осязаемую. Мало безотказности - резервируй горячими дублями и не морочь голову.