|
; 冗長性
: これはバックアップの部品があって、障害が発生したときに自動的に代替して動作するものである。例えば、大型トレーラーではタイヤをひとつ失っても大きな問題とはならない。多くのタイヤを持っているため、タイヤひとつでは危険ではない(操縦の役割がある前輪はそうではない)<ref>あくまでも自動車の走行という話であって、外れたタイヤがころがっていくと危ないという話は別問題。</ref>。
== 欠点 ==
フォールトトレラント設計では以下のような欠点がある。
; 障害検出の阻害
: 上記、自動車の例で説明すると、タイヤ1個がパンクしたことは運転手には分からないかもしれない。これはフォールトトレラントシステムでも同様である。この問題は分離された「自動障害検出システム」が処理することが一般的である。タイヤの例では、空気圧モニターが空気圧が減っていることを検出し、運転手に知らせる。代替案として「手動障害検出システム」があり、自動車が停車するたびにタイヤをチェックするようなものである。
; 障害修正の優先順位の低下
: 操作者が障害に気づいても、フォールトトレラントシステムではそれを直すことがおろそかになる危険がある。障害が修正されない場合、フォールトトレラントな部品全体が動かなくなったり冗長部品が全部障害となったりすると、システム全体の障害を引き起こすことが考えられる。
; 試験の難しさ
: [[原子炉]]のような故障の際の影響が大きいフォールトトレラントシステムでは、バックアップが機能するかどうかを事前にチェックする簡単な方法はない。最も有名な例は[[チェルノブイリ原子力発電所]]の大爆発を伴うメルトダウンである。彼らは緊急用のバックアップの冷却機能をチェックするために第一と第二の冷却機構を停止させてテストしていた。そのときにバックアップが動作せず、結果として[[メルトダウン]]を通り越して、原子炉が爆発し、[[放射能汚染]]が起きてしまった<ref>原子炉のようなミッションクリティカルなシステムでは、特に異常系について本番環境でテストすべきでない。実施するテストが適切に設定されているか事前にテスト項目レビューを行い、妥当性を検証すべきである。本件の場合は「緊急用のバックアップの冷却機能のチェック」であるから、冷却対象としては本物の炉心を使うのではなく擬似の放射能汚染の心配がない熱源を使うべきだ。</ref>。
; コスト
: フォールトトレラント部品も冗長部品もコストを増大させる。これは単に経済的なコストだけではなく、例えば全体重量を増大させるなどの問題も含む。例えば、有人宇宙船は何重にも冗長なフォールトトレラント部品を搭載しているため、安全性をそこまで求められない無人宇宙船よりもずっと重量が大きくなる。このため打ち上げロケットもより推進力があるものを作成する必要がある。
; 障害発生件数の増大
: 部品の故障率が変わらないなら部品点数の増大は障害発生件数の増大を意味する。このため、冗長設計を行なった場合には、システム全体が停止する確率は下がるが、障害発生件数自体は増大してしまう。この障害発生件数の増大は、前述の「障害修正の優先順位の低下」を招く一因ともなる。
== どのようなときフォールトトレラント設計をするのか ==
| 