Domů

Počítače ve vesmíru

Přihlásit se
eArchiv

Počítače ve vesmíru

S pécéčkem z nejbližšího hypermarketu byste se ve vesmíru daleko nedostali. V kosmu je totiž bezporuchovost důležitější než výpočetní výkon a multimediální schopnosti.
Martin Jäger

Trojnásobná havárie počítačů ve vesmíru!", „Výpadek computerů v ruském modulu!", „NASA zvažuje evakuaci vesmírné stanice ISS!" - tak křičely uprostřed července palcové titulky. Těmi „computery" byly míněny dva počítačové systémy označované jako „DMS-R", které jsou použity v ruském servisním modulu „Zvezda" mezinárodní vesmírné stanice ISS (International Space Station). Slouží tam k ovládání datového provozu, výškové stabilizaci - ISS by jinak klesla za den asi o 350 metrů - a také k řízení zásobování vodou a vzduchem. Proto jsou pro kosmonauty životně důležité.
„Všechno to bylo mnohem méně divoké," uklidňuje rozruch Matthias Spude z EADS Astrium - firmy, která koncem devadesátých let vesmírné počítače vyvinula a postavila. Ve skutečnosti bylo totiž všechno úplně jinak. Během raketoplánové mise STS-117 namontovali američtí astronauti na ISS novou sluneční plachtu. Přitom krátkodobě došlo ke kompletnímu výpadku dodávky energie, včetně nouzového napájení. Až do této chvíle pracovaly všechny PC systémy bezchybně - už od července roku 2000. Jenomže, jak říká Spude, „kde není elektřina, tam ani ten nejlepší počítač nefunguje".
Po sedmi letech by měl počítač na Zemi za sebou přinejmenším třetí výměnu procesoru; na oběžné dráze byl však restartován vůbec poprvé. I to jasně ukazuje, že ve vesmíru prostě platí jiná měřítka.

Počítače ohrožuje záření

Požadavky kladené na počítač ve vesmíru jsou poněkud tvrdší než ty, jimž musí vyhovět pécéčko na matičce Zemi. Začíná to už při startu rakety, kdy je hardware vystaven extrémnímu zrychlení (po pět milisekund až devět g) a silným otřesům, a pokračuje stavem beztíže. Počítače také musí bez úhony přečkat obrovské teplotní rozdíly (od -20 do +60 °C), spolehlivě pracovat i ve vakuu, a především se vyrovnat s kosmickým zářením. Zatímco dole na zeměkouli velkou část proudu vysokoenergetických částic, pocházejících hlavně ze Slunce, pohltí zemská atmosféra, ve vesmíru jsou lidé i přístroje vystaveni nemilosrdnému bombardování protony, neutrony, ionty a elektrony.

Vysokoenergetické částice mění obsah počítačových pamětí

Elektroniku poškozují zejména dva druhy účinků záření. Zaprvé je to tzv. „latch-up effect", který vzniká, když proton nebo iont narazí do čipu. To vyvolá krátké spojení a celý obvod je zničen. Takové poškození je pak samozřejmě zpravidla okamžitě pozorovatelné. Daleko zákeřnější jsou naproti tomu tzv. „single event upset" efekty. K těm dochází, když se vysokoenergetická částice, například proton, „trefí" přímo do paměťové buňky, kterou však nezničí, ale „jenom" nepozorovaně změní její obsah.
Jak fatální následky může taková chyba mít, to se ukázalo před devíti lety, když se nosná raketa Ariane 5 krátce po startu kvůli pokaženému parametru odchýlila od své letové dráhy a musela být zničena. Od té doby je jasné jedno: kdejaké pécéčko z „bazaru za rohem" se do vesmíru prostě nehodí. Proto také firma EADS Astrium pod záštitou Bernda Wolffa vyvinula pro ruský servisní modul mezinárodní vesmírné stanice ISS speciální počítačový systém, zvláště tolerantní k chybám - DMS-R (Data Management System - Russia), pojmenovaný po své první oblasti nasazení a zákazníkovi.
Srdcem tohoto za zhruba 100 milionů marek vyvinutého systému byly původně čtyři tzv. FCR (Fault Containment Regions) - v solidních kovových pouzdrech o velikosti krabice od bot, přesněji 295 × 160 × 250 mm. V každé z těchto „krabic" jsou přitom umístěny tři desky elektroniky: „Application Layer Board", na níž se nachází vlastní počítač včetně paměti dat, dále „Fault Management Layer", která hostí elektroniku pro rozpoznávání a ošetření chyb, a konečně „Avionics Interface" pro výměnu dat s okolím. Celý systém je natolik úsporný, že vystačí s příkonem pouhých 40 wattů - současný procesor Core 2 Duo spotřebuje sám až 65 W.

Výpočetní výkon na úrovni „čtyřiosmšestky"

Ve funkci CPU je použit SPARC kompatibilní 32bitový procesor ERC 32. Se svou pracovní frekvencí 14 MHz a 2,5 milionu operací v pohyblivé čárce za sekundu se výkonnostně řadí někam mezi procesorové řady 386 a 486. Nesmíme ovšem zapomínat, že na FCR neběží Windows, tolik polykající systémové prostředky, ale pouze aplikace střižené danému počítači přímo na míru. Čím se však procesor vyznačuje především, to je odolnost proti záření, dosažená jeho speciální architekturou. Operační paměť o kapacitě pouhých 8 MB je rovněž obrněna proti záření; programy jsou uloženy ve čtyřmegabajtové paměti typu EEPROM. A právě u paměti už také zasahuje první stupeň rozpoznávání a oprav chyb. Tato strategie je nazývána EDAC (Error Detection And Correction) nebo také „dopředná korekce chyb". Při ní se obsah paměti pravidelně porovnává s uloženými kontrolními součty a v případě odchylky je automaticky zkorigován (Fault Tolerant Computer - FTC).

Porovnávání dat v desetihertzovém taktu

O druhý stupeň ošetření chyb se stará „Fault Management Layer" a týmová spolupráce. Systém FTC zde při zpracování chyb ponejprv prakticky využívá metodu „byzantského algoritmu" (viz rámeček nahoře). Při ní si čtyři propojené počítače desetkrát za sekundu navzájem porovnávají své výsledky. Pokud se jeden z nich odchýlí od ostatních, je jeho výsledek samočinně zkorigován. Pokud tento počítač vyprodukuje odchylný výsledek i v dalším taktu (po 100 milisekundách), je už z další práce vyloučen. Takto je možné během provozu opravit dvě chyby za sebou, neboť i tři zbývající počítače ještě mohou na základě „práva většiny" určit správný výsledek. Teprve po další chybě musí systém kapitulovat.
Ve fázi designu modulu Zvezda, jak prozrazuje Kai Burmeister, dnes manažer projektu „Columbus" (viz dále), však bylo zjištěno, že postačí jednoduchá tolerance chyb. Proto je nakonec každý chybově tolerantní systém ve vesmírné stanici tvořen vždy jen třemi jednotkami.

„Teflonový efekt" se dosud nedostavil

Vývojáři jsou svým systémem tak nadšeni, že jej už nasazují univerzálně. Systémy FTC tak bude vybaven například i Columbus, vědecká laboratoř, která má v prosinci zakotvit u ISS, stejně jako „Automated Transfer Vehicle" (ATV), kosmický „náklaďák", jenž má ISS od roku 2008 pravidelně zásobovat.
Když 27. července 2000 ruský modul startoval, tehdejší šéf EADS Astrium Josef Kind dokonce předpovídal systémům „teflonovou" kariéru. Spatřoval ji v jejich nasazení také v pozemních podmínkách v bezpečnostně kritických oblastech, například v chemickém průmyslu. „Kromě toho došlo k jednání i s resorty blízkými kosmickým letům, jmenovitě s leteckým průmyslem a s armádou," shrnuje dnes Sven Rakers, vedoucí týmu počítačových vývojářů u společnosti Astrium, „ale až dosud z nich žádné konkrétní nasazení nevyplynulo."
Rakers se svým týmem v současnosti pracuje na projektu SPAICE (Space Infrastructure Computer), výkonnější, menší a modulárně koncipované variantě systému DMS-R. Kdy však bude další generace chybově tolerantních PC „Made in Germany" moci prokázat své kvality i ve vesmíru, to je zatím ve hvězdách.

„Kvůli bezpečnosti jsme museli denně bootovat"

* CHIP: Pane doktore Thiele, v roce 2000 jste byl s raketoplánem ve vesmíru. Je kosmické záření pro moderní počítače skutečně tak nebezpečné?
Thiele: Ano, opravdu je to tak. Proto jsme také při SRTM (Shuttle Radar Topography Mission) své notebooky značky IBM museli jednou denně bootovat - jinak by nám hrozily chyby označované jako „single event upset". Počítače raketoplánu jsou ovšem robustnější.
* CHIP: Můžete v kosmu rychle přepsat program, pokud experiment neprobíhá podle plánu?
Thiele: Ne, každá taková změna by přinesla víc škody než užitku. V případě potřeby můžeme nový software dostat ze Země prostřednictvím rádiových vln - to je docela obvyklé.
* CHIP: A propos rádiové spojení: Jak byly při vašem letu notebooky zasíťovány?
Thiele: V raketoplánu pomocí kabelů. Na ISS se už dlouho používá WLAN.
* CHIP: Mohl jste během vaší mise surfovat na internetu?
Thiele: Nikoli, ale každý astronaut má v Houstonu svou soukromou e-mailovou schránku. Ta se dvakrát až třikrát denně synchronizuje s jeho notebookem.
* CHIP: Mají astronauti vliv na budoucí programy?
Thiele: S průmyslem vznikla během doby vynikající kooperace. Na straně ESA tak pod heslem „rapid prototyping" s průmyslovými vývojáři velmi těsně spolupracují Thomas Reiter a Frank De Winne. A jsou velmi úspěšní.

Kosmický PC

Od července 2000 pracují na mezinárodní vesmírné stanici ISS počítače zvané FCR (Fault Containment Region), vyvinuté firmou EADS Astrium - bez jakéhokoliv výpadku. Kvůli vyloučení výpočetních chyb se vždy několik identických FCR sdružuje do jednoho FTC (Fault Tolerant Computer).

Byzantský algoritmus: Rozhoduje většina

Počítače na ISS jsou koncipovány tak, aby i při výskytu chyb dále správně pracovaly. K tomu systém DMS-R využívá tzv. „byzantský algoritmus". Ten má svůj podklad ve staré legendě, podle níž chtěl jistý byzantský vojevůdce se svými čtyřmi armádami dobýt město. Mohlo se to však podařit jedině v případě, že by jeho vojska zaútočila současně. Musel proto zajistit, aby se rozkaz k útoku korektně dostal ke každému ze čtyř generálů a nemohl být zmanipulován například falešnými posly. Rozhodl proto, že každý z generálů má s obdrženým rozkazem seznámit také své tři zbývající kolegy. Díky tomuto opatření si generálové mohli platnost svého rozkazu ověřit.
Tento princip používají i chybově tolerantní systémy. V určitých časových intervalech si všechny propojené počítače (FCR) vzájemně sdělují své výsledky. Čtyři propojené PC tak dokážou rozpoznat dvě libovolné chyby po sobě a také je bez zastavení opravit. Pokud některý z počítačů udělá dvakrát po sobě stejnou chybu, je z další účasti na výpočetním procesu vyloučen.

ODKAZY

www.esa.int - Hlavní stránka evropské kosmické agentury
www.eads.com - Portál evropského leteckého a kosmického koncernu EADS
www.nasa.gov - Webové stránky americké letecké a kosmické agentury

SPAICE: Kosmický počítač na úrovni Pentia

SPAICE (Space Infrastructure Computer) - tak se jmenuje další generace chybově tolerantního kosmického počítače. Sestává z jediné desky, na níž je nasazen modul pro ošetření chyb. Se svým na frekvenci 100 MHz pracujícím procesorem „Leon II FT AT697" se výkonnostně může měřit „jenom" s „pentiovým" pécéčkem, komunikaci zrychluje moderní sběrnice PCI.

Dokumenty ke stažení