Пример разработки, ориентированной на высокую готовность

В течение целых десяти лет Федеральное авиационное агентство пыталось заменить стремительно старевшую систему управления воздушным движением и все это время сталкивалось с проблемой сложности выполнения поставленной задачи. Новый проект под названием «Комплексная система автоматизации» (AAS) полностью отвечает всем требованиям, которые предъявляются к вычислительным системам в 1990-е годы. Программа, в которой больше миллиона строк, распределяется между многими сотнями компьютеров и встраивается в новое, модернизированное оборудование, которое, в свою очередь, должно круглосуточно реагировать на непредсказуемые, поступающие в реальном времени события. Минимальный сбой в такой ситуации потенциально угрожает общественной безопасности.

В. Вейт Гиббс [Gibbs 94]

К программным приложениям управления воздушным движением (Air Traffic Control, АТС) предъявляются невероятно высокие требования. Они должны работать в жестких условиях реального времени (hard real time) — иначе говоря, безусловно соответствовать временным ограничениям; выполнять особые требования к безопасности (safety critical) — из-за неправильной работы системы могут погибнуть ЛЮДИ; кроме того, они относятся к категории сверхраспределенных (highly distributed) — для ведения самолетов по авиалиниям требуется сотрудничество десятков диспетчеров. Коммерческие, частные и военные воздушные суда пользуются воздушным пространством Соединенных Штагов интенсивнее, чем во всех остальных странах, — соответственно, на эту сферу обращено серьезное общественное внимание. Но безопасностью проблемы не исчерпываются ~ правительство тратит на построение и сопровождение хорошо защищенных. надежных систем управления воздушным движением огромные деньги. Стоимость разработки системы АТС исчисляется миллиардами и даже десятками миллиардов долларов.

В настоящей главе мы рассмотрим конкретный пример одного из элементов спроектированной недавно системы управления воздушным движением нового поколения, разработанной в СШ А. Мы увидим, как за счет архитектуры — в частности, набора тщательно отобранных проекций (см. главу 2) и тактик (см. главу 5) ее разработчикам удалось добиться выполнения серьезных разнородных требований. За недостатком финансирования систему так и не ввели в действие, однако ее реализация явственно продемонстрировала соответствие всем поставленным качественным задачам.

Управлением воздушным движением в Соединенных Штатах занимается Федеральное авиационное агентство (Federal Aviation Administration, FAA) — правительственное учреждение, отвечающее за общую безопасность полетов. Именно оно и выступило заказчиком описанной ниже системы. Безопасность прохождения самолета по авиалиниям и через наземные средства обслуживания обеспечивается во взаимодействии с различными элементами системы АТС. Координация передвижения самолета по территории аэропорта осуществляется службой наземного движения (ground control). Со специальных вышек координируется его перемещение в узловом диспетчерском районе (terminal control area) — цилиндрическом сегменте воздушного пространства с центром над аэропортом. Обязанности по обеспечению безопасности полетов в воздушном пространстве страны поделены между 22 районными центрами (en route centers).

Рассмотрим перелет из г. Ки-Уэст (Флорида) в аэропорт Далласа (Вашингтон, округ Колумбия). От стоянки до конца взлетно-посадочной полосы передвижение самолета координируется службой наземного движения Ки-Уэста. Во время взлета и набора высоты контроль переходит к диспетчерской вышке. С момента выхода самолета из узлового диспетчерского района Ки-Уэста он находится в зоне ответственности районного центра управления полетами Майами (он, помимо прочего, обязан контролировать полеты над Ки-Уэстом). Впоследствии управление полетом передается районным центрам Джексонвиля, Атланты и т. д. вплоть до того момента, как самолет входит в воздушное пространство, подконтрольное районному центру Вашингтона. Тот через какое-то время передает управление диспетчерской вышке аэропорта Далласа, которая берет на себя обязанности по координации захода рейса на посадку и приземления. Покинув взлетно-посадочную полосу, экипаж связывается со службой наземного движения, которая доводит самолет до стоянки. Эта схема работы систем управления воздушного движения в США сильно упрощена, однако для анализа нашего конкретного примера такого уровня детализации вполне достаточно. На рис. 6.1 приводится иллюстрация процесса передачи управления воздушным движением, а на рис. 6.2 — карта 22 американских районных центров управления полетами.

Система, обзор которой мы собираемся представить вашему вниманию, называется Основной системой контроля секторов (Initial Sector Suite System, ISSS). Изначально она предназначалась для замены устаревшего оборудования и программного обеспечения 22 районных центров управления полетами в США. Это лишь один из элементов крупномасштабного правительственного проекта, в результате поэтапной реализации которого аналогичные системы нового поколения предполагалось установить на диспетчерских вышках, в службах наземного движения и трансокеанских центрах управления полетами.

То обстоятельство, что ISSS задумывалась лишь как один из элементов набора близкородственных систем, оказало на ее архитектуру глубочайшее влияние. В частности, везде, где это возможно, разработчики должны были внедрять решения и элементы, предусматривающие возможность повторного применения в последующих системах. Как-никак, у систем в районных центрах управления полетами, на диспетчерских вышках и в службах наземного движения много общего: наличие интерфейсов для обмена данными с радиосистемами, базами планирования полетов и друг с другом, необходимость в обработке показаний РЛС, повышенные требования к надежности и производительности и т. д. Таким образом, проектные решения, реализованные в ISSS, в значительной степени обусловливались требованиями ко всем обновлявшимся системам. Весь набор модернизированных систем предполагалось назвать комплексной системой автоматизации (Advanced Automation System, AAS).

В конце концов от программы AAS отказались в пользу менее амбициозного и дорогостоящего, зато постепенного плана модернизации. Тем не менее конкретный пример системы ISSS до сих пор сохраняет свою ценность — дело в том, что, когда пришло известие об отмене проекта, проект и львиная доля кода уже были подготовлены. Более того, независимая группа аудиторов, обследовавшая архитектуру системы (равно как и большинство других ее аспектов), пришла к выводу о ее соответствии сформулированным требованиям. Наконец, система, впоследствии размещенная вместо ISSS, заимствовала у архитектуры последней множество элементов. Все эти обстоятельства позволяют говорить об архитектуре ISSS как о примере решения в высшей степени трудной задачи.