「フォールトトレラント設計」の版間の差分

削除された内容 追加された内容
試験の難しさについて注釈を追加
m 改行位置を修正
20行目:
: 操作者が障害に気づいても、フォールトトレラントシステムではそれを直すことがおろそかになる危険がある。障害が修正されない場合、フォールトトレラントな部品全体が動かなくなったり冗長部品が全部障害となったりすると、システム全体の障害を引き起こすことが考えられる。
; 試験の難しさ
: [[原子炉]]のような故障の際の影響が大きいフォールトトレラントシステムでは、バックアップが機能するかどうかを事前にチェックする簡単な方法はない。最も有名な例は[[チェルノブイリ原子力発電所]]のメルトダウンである。彼らは緊急用のバックアップの冷却機能をチェックするために第一と第二の冷却機構を停止させてテストしていた。そのときにバックアップが動作せず、結果として[[メルトダウン]]と[[放射能汚染]]が起きてしまった<ref>原子炉のようなミッションクリティカルなシステムでは、特に異常系について本番環境でテストすべきでない。実施するテストが適切に設定されているか事前にテスト項目レビューを行い、妥当性を検証すべきである。本件の場合は「緊急用のバックアップの冷却機能のチェック」であるから、冷却対象としては本物の炉心を使うのではなく擬似の放射能汚染の心配がない熱源を使うべきだ。</ref>。
<ref>原子炉のようなミッションクリティカルなシステムでは、特に異常系について本番環境でテストすべきでない。実施するテストが適切に設定されているか事前にテスト項目レビューを行い、妥当性を検証すべきである。本件の場合は「緊急用のバックアップの冷却機能のチェック」であるから、冷却対象としては本物の炉心を使うのではなく擬似の放射能汚染の心配がない熱源を使うべきだ。</ref>。
; コスト
: フォールトトレラント部品も冗長部品もコストを増大させる。これは単に経済的なコストだけではなく、例えば全体重量を増大させるなどの問題も含む。例えば、有人宇宙船は何重にも冗長なフォールトトレラント部品を搭載しているため、安全性をそこまで求められない無人宇宙船よりもずっと重量が大きくなる。このため打ち上げロケットもより推進力があるものを作成する必要がある。