维护两台机器之间的状态

Question

我们有两个工业控制器用于控制关键系统。 这个想法是，当一个控制器发生故障时，另一个控制器将自动接管。 为了确保无缝切换，每个备用控制器必须始终镜像在线控制器的状态。

我们有一个解决方案，但编码和文档都很差。 问题是，是否存在一种通用的设计模式来实现这样的系统或开源软件，以实现类似的目标，可以用来创建可用于控制器或 PC 的通用解决方案，并且可以扩展以允许任意数量的控制器充当备用例程。

Answer 1

方法是“缓存一致性”。 商业产品——例如，Tangosol——就是这样做的。

另一种方法是企业服务总线 (ESB) 或面向服务的架构 (SOA) 的轻量级版本。 几乎所有的 SOA 供应商都有这方面的产品。 我将从 Tibco 开始，它有一个轻量级组件集可供您使用。

由于 SOA 并不那么难，因此您可以使用 HTTP 协议推出自己的协议，以便一个控制器可以将状态 POST 到它的影子控制器。

Answer 2

故障转移和透明故障转移之间存在差异。 您真的有透明故障转移的要求吗？ 如果是这样，您最终将为此付出代价（在成本和复杂性方面）。

话虽这么说，请查看 Buddy Replication 上的这篇文章，了解一个优雅的解决方案问题。

Answer 3

我几乎所有的 DBMS 都使用了标准的主从模式，支持集群、分布式架构和复制（http ://en.wikipedia.org/wiki/Database_replication）。

因此，基本上在您的情况下，您可以让主机维护状态，而从机坐在那里，除了根据主机的状态更新自己的状态之外什么都不做。 如果主设备宕机，从设备发现主设备不再存在，并且可以接管状态控制，主设备只有在从从设备的状态更新了自己的状态后才能再次使用（在主人尚未激活）。

Answer 4

控制实时关键系统所采用的传统方法是锁步运行两个单元。 多年来，Tandem 一直在使用这种技术构建一些非常令人印象深刻的容错机器。

然而，锁步在很大程度上是一种硬件级解决方案； 我认为你不能纯粹在软件级别实现经典的锁步。 或者至少，不是直截了当的。 也许使用通过交换矢量时钟或同样螺旋桨头同步的状态机？

Answer 5

航天飞机计算机也有类似的情况。 在这种情况下，他们使用了 5 台计算机，如果其中一台计算机迟到或与其他计算机不同，它（本质上）就会被投票从岛上剔除。

在你的情况下，你如何确定哪个控制器坏了？ 判定机是否也考虑单点故障？

两个控制器之间可用什么级别的通信？ 共享内存、以太网还是更慢的东西？

两者之间的状态信息变化有多快？

是否可以向两个控制器提供相同的信息，并且两个控制器会计算相同的状态转换吗？

Answer 6

也许是共享 SQLite 数据库或类似的东西？