폴트톨러런트 설계

이 기사는 검증 가능한 참고 문헌이나 출전이 전혀 나타나지 않은지, 불충분합니다.
출전을 추가해 기사의 신뢰성 향상에 협력해 주십시오.(2015년 3월)

이 항목으로는, 이론적인 폴트톨러런트 설계에 대해 설명하고 있습니다.특정의 실장에 대해서는 「폴트톨러런트 시스템」을 봐 주세요.

폴트톨러런트 설계(폴트톨러런트 설계, Fault tolerant design)는, 시스템 설계의 수법이며, 시스템의 일부에 문제가 생겨도 전체가 기능 정지하는 것 없게(비록 기능을 축소해도) 계속 동작하는 시스템을 설계하는 것이다.

이 용어는 하드웨어 혹은 소프트웨어의 장해가 있어도 거의 중단되는 일 없이 계속 동작하는 컴퓨터 시스템의 설계를 가리켜서 사용되는 것이 많다.

다른 영역의 예로서는, 자동차의 설계로 타이어가 한 개 펑크나도 주행할 수 있는 설계를 가리킨다.

수법

폴트톨러런트인 부품: 부품 각각이 내부에 이상을 발생해도 부품으로서 계속 기능할 수 있으면, 시스템 전체적으로도 계속 기능한다.자동차의 예로 말하면, 자동차에는 런 플래트 타이어를 장비하고 있는 것이 있다.이것은, 내부에 딱딱한 고무의 층을 가지고 있는 것으로, 표면이 펑크나도 주행이 가능해지고 있다.주행할 수 있는 시간은 한정되어 있고 스피드도 떨어뜨릴 필요가 있지만, 종래의 타이어에서 보면 큰 진보라고 말할 수 있자.
장황성: 이것은 백업의 부품이 있고, 장해가 발생했을 때에 자동적으로 대체해 동작하는 것이다.예를 들면, 대형 트레일러로는 타이어를 하나 잃어도 큰 문제는 되지 않는다.많은 타이어를 가지고 있기 위해, 타이어 하나로는 위험하지 않은(조종의 역할이 있는 전륜은 그렇지 않다)[¹].

어떠한이라고 해 폴트톨러런트 설계를 하는지

모든 부품에 대해서 폴트톨러런트 설계를 베푸는 것은 유리한 계책은 아니다. 어느 부품을 폴트톨러런트에 해야 하는가를 결정하려면 이하와 같은 판단 기준을 생각할 수 있다.

그 부품은 얼마나 중요한가?: 자동차로는, 라디오는 중요하지 않다.따라서, 라디오를 폴트톨러런트 설계하는 필요성은 낮다.
그 부품은 어느 정도 장해를 일으킬까?: 자동차의 드라이브 샤프트와 같이, 몇개의 부품은 고장나는 것은 거의 생각할 수 없기 때문에, 폴트톨러런트 설계의 필요성은 낮다.
그 부품을 폴트톨러런트로 하는데 걸리는 코스트는?: 예를 들면, 자동차의 엔진에 장황성을 갖게한다고 하면, 경제적으로도 중량이나 사이즈도 코스트가 비싸지는 것이 예상된다.

모든 조건에 적합한 부품의 예로서 자동차의 탑승자 구속 시스템(안전벨트나 에어백)이 있다.우리가 의식하지 않는 제일의 탑승자 구속 시스템은 중력이다.자동차가 전복등 했을 경우, 중력에 의한 구속은 없어져 버린다.이러한 사고 시에 탑승자를 구속하는 것은 안전상 매우 중요해서, 제일의 조건에 맞고 있다.안전벨트가 없는 시대에는 사고에 의해서 탑승자가 밖에 내던져지는 일이 자주 있었다.따라서 제2의 조건에도 맞고 있다.안전벨트 등은 가격적으로도 중량적으로도 코스트는 비싸지 않다.따라서 제３ 조건에도 맞고 있다.이상로부터, 안전벨트를 모든 자동차에 장비하는 것은 좋은 생각이라고 말할 수 있다.그 외의 에어백등의 보조 부품은 약간 고가의의로, 제３ 조건에 적합 하지 않을 지도 모르다.이 때문에, 염가의 자동차에 에어백을 탑재하고 있지 않는 것이(고가의 자동차보다) 많은 것이다.

실례

컴퓨터

미션 크리티컬인 시스템에 대하고, 컴퓨터의 폴트톨러런트성은 중요하다.그렇게 말한 용도에 이용하기 위해, 제품 자체에 광범위한 폴트톨러런트 설계를 포함시킨 컴퓨터도 만들어져 있어, 탄젬콘퓨타즈나 스트라타스테크노로지, NEC등의 제품이 있다.이것들은 CPU를 포함한 모든 하드웨어를 2중화해, 하드웨어 장해(부품 장해)에 대해서는 폴트톨러런트성을 확보하고 있다(다만 operating system의 장해나 유저 조작상의 문제에 대응할 수 있다고는 할 수 없다).

탄젬콘퓨타즈는, 그 이름대로 동사의 비즈니스를 폴트톨러런트인 시스템을 개발/제조/판매하는 것으로 하고 있었다.동사의 NonStop 시스템은 「싱글 포인트・트레이닝 랜트」인 시스템이며, 10년간의 동작시간의 계측을 해 공표하고 있던[²].

하드웨어의 폴트톨러런트성은, 고장난 부품을 시스템 동작중으로 교환하는 것을 요구하는 경우가 있다. 이러한 백업이 하나만 존재하는 시스템을 「싱글 포인트・트레이닝 랜트」라고 한다.폴트톨러런트 시스템으로 불리고 있는 것은 거의 이 타입이다.이러한 시스템으로는 고장 발생 간격의 평균 시간(MTBF)이 충분히 길지 않으면 부품 교환중에 사용중의 백업도 고장나 버리는 일이 있다.MTBF가 길면 길수록 좋지만, 폴트톨러런트 시스템에 특히 그것이 요구되고 있는 것은 아니다.

자동차

엔진

자동차 엔진을 이중화한 예로서 토요타・센츄리는 잘 알려져 있다.고비용보다 신뢰성을 높이는 것을 우선한 실장예이기도 하다.또 일본 국내로의 시판차로 유일[³]의 실장인 것이, 관공청의 선택시에 있어 타사(타차)와 차별화하는 몹시 큰 소구 포인트나 되고 있다.탑재되고 있는 V형 12 기통 엔진 제어 시스템이 이중화 되고 있어 어느쪽이든 한쪽의 6 기통이 고장나도 주행할 수 있다.또 연료 펌프도 이중화 되고 있다.

전장품

예를 들면 근래에는, 일반적인 승용차에 대해도 서브 마이크로컴퓨터의 채용이나 페르오페레이션의 실장에 의해 폴트톨러런트인 설계가 되고 있는 것이 많다.예를 들면, 순정 혹은 딜러 옵션과 같은 카내비게이션의 경우, 실제로 불편이 발생하면 가까운 정비 공장을 안내하면서 최저한의 엔진 제어를 실시하는 등 최저한의 서비스를 제공 가능하게 하는 줄거리가 실장되고 있다.

또, 리모콘 키 탑재차로 리모콘의 고장이나 배터리 나감 등 불편에 준비 메카니컬 키를 사용 가능하게 해, 또 키 그 자체도 준비되는 일이 있다.이것은「리모콘의 불편은 드문 일이라고는 말하지 못하고, 특히 수몰은 일상의 모든 씬으로 발생할 수 있다(고장율)」「키를 사용할 수 없으면 승차도 엔진 시동도 하지 못하고(중요도)」「코스트도 비싸지 않다」의 3개의 조건에 합치하는 폴트톨러런트의 하나라고 말할 수 있다.

비고

폴트톨러런트 시스템(고장나도 동작하는 시스템)과 분별없게 고장나지 않는 시스템은 다르다.예를 들면, 웨스탄・일렉트릭사의 크로스바 교환기 시스템은 40년간에 2시간이라고 하는 고장 발생 확률이며, 매우 고장나기 어려운(폴트・레지스탄트)라고 말할 수 있다.그러나, 한번 고장나면 시스템은 완전하게 정지하므로, 폴트톨러런트라고는 할 수 없다.

각주

^어디까지나 자동차의 주행이라고 하는 이야기이며, 빗나간 타이어가 굴러 가면 위험하다고 하는 이야기는 별문제.
^장해등의 발생 확률로부터, 동작 불능이 되는 시간의 비율을 산출.예를 들면 10년간에 1일만 동작할 수 없다는 등 말한 형태이다.
^시판되어 있지 않은 차종도 포함하면 귀인들이 쓰는 의료, 식료, 그릇차전용 차종의 닛산・프린스 로열도 브레이크・연료 계통의 폴트톨러런트 설계를 실시하고 있다.

셀프피디아

일본 위키피디아 번역

2017년 3월 26일 일요일