Требования и атрибуты качества. С учетом того, что управление воздушным движением представляет собой от-крытую сферу, в которой переплетаются правительственные

С учетом того, что управление воздушным движением представляет собой от-крытую сферу, в которой переплетаются правительственные, коммерческие и общественные интересы, а в случае возникновения неисправностей существует риск гибели людей, два основных атрибута качества можно сформулировать следующим образом:

1. Сверхвысокая готовность — другими словами, нарушение работоспособности системы с превышением заданного интервала времени абсолютно недопустимо. Количественные требования к готовности системы ISSS выражались показателем 0,99999, из которого следовало, что период ее неготовности необходимо было ограничить пятью минутами в год. (Правда, если система оказывалась способна восстановиться после отказа и возобновить работу в пределах 10 секунд, этот отказ при подсчете периода неготовности не учитывался.)

2. Высокая производительность. Системе предстояло обрабатывать данные о почти 2440 рейсах, не «теряя» из виду ни один из них. Сети должны выдерживать серьезные нагрузки, а программное обеспечение — проводить вычисления быстро и предсказуемо.

Следует перечислить и некоторые другие требования, которые, не будучи стать значимыми в контексте обеспечения безопасности самолетов и пассажиров, все же в значительной степени обусловили характер и принципы построения архитектуры.

♦ Открытость. Система должна оъ:ла предусматривать возможность ввода в свей состав коммерческих программных компонентов — Б частности, функции управления воздушным движением и основных вычислительных служб наподобие пакетов графического отображения.

♦ Способность к выделению подмножеств системы — на случай, если проект стоимостью во многие миллиарды долларов падет жертвой сокращения бюджета (а значит, и функциональности), как. в конечном итоге, и случилось.

♦ Возможность дополнения функциональности, модернизации аппаратного if программного обеспечения (в частности, установки новых процессоров, устройств ввода-вывода и драйверов, новых версий компилятора языка Ada).

♦ Способность к взаимодействию и сопряжению с неопределенным набором внешних систем — как аппаратных, так и программных, почтенного возраста и до сих пор не реализованных.

Наконец, отличительной чертой этой системы является наличие огромного количества заинтересованных лиц — в частности, диспетчеров, выступавших в роли конечных пользователей. В этом, на первый взгляд, нет ничего удивительного, но диспетчеры могли отказаться от пользования непонравившейся системой, даже если бы она отвечала всем эксплуатационным требованиям. Из-за этого весьма существенного фактора процессы выявления требований и проектирования системы сильно растянулись.

Термином блок управления секторами (sector suite) обозначается комплект контроллеров (каждый из которых находится на консоли — см. рис. 6.4), предназначенных для управления воздушным движением в отдельном секторе воздушного пространства района. Итак, представленную выше упрощенную схему управления воздушным движением можно дополнить тем, что обязанности но координации передвижения воздушных судов передаются не только от района к району, но и от сектора к сектору. Принципы выделения секторов определяются индивидуально в каждом районе. В частности, основным фактором может быть стремление равномерно распределить нагрузку между диспетчерами района; если это так, то чем интенсивнее воздушное движение в том или ином секторе, тем он меньше.

Проект системы ISSS предусматривает гибкость в отношении количества диспетчерских пунктов в каждом секторе; допустимые значения находятся в диапазоне от одного до четырех, причем во время работы системы они могут корректироваться командным способом. В любом секторе должно быть не менее двух диспетчеров. Один из них — диспетчер радиолокационного контроля — следит обзорными показаниями РЛС, ведет переговоры с бортами и обеспечивает безопасное эшелонирование. На его плечи, таким образом, ложится тактическое управление ситуацей в секторе. Второй диспетчер ответствен за данные — он получает информацию (в частности, планы полетов) обо всех бортах, находящихся в секторе или приближающихся к нему. Диспетчер данных оповещает диспетчера РЛС о намерениях борта, а тот, в свою очередь, старается максимально безопасно и эффективно провести борт через воздушное пространство сектора.

ISSS — крупная система. Некоторое представление о ее масштабах, возможно, смогут дать следующие цифры.

♦ В каждом центре управления полетами ISSS способна обеспечивать работу до 210 консолей. В каждой консоли установлен процессор класса «рабочая станция» — IBM RS/6000.

♦ Согласно требованиям к ISSS, каждый центр должен одновременно управлять движением 400-2440 бортов.

♦ В каждом аппаратном блоке воздушным движением может быть установлено от 16 до 40 РЛС.

♦ В каждом районном центре может быть от 60 до 90 пунктов управления (и в каждом из них по одной или по несколько консолей).

♦ Реализация ISSS состоит примерно из одного миллиона строк кода на языке Ada.

Итак, перед системой ISSS были поставлены следующие основные задачи:

♦ Получение отчетов о радиолокационных целях, которые хранятся в существующей системе управления полетами — в так называемом хост-компьютере (Host Computer System).

♦ Преобразование радиолокационных отчетов в форму, пригодную для отображения на экране, и их пересылка на все консоли. Каждая консоль выбирает из них только те, которые ей требуются; при этом любая консоль может отобразить любую область.

♦ Обработка предупреждений о конфликтах (потенциально ведущих к столкновению воздушных судов) и всех прочих данных, передаваемых с хост- компьютера.

♦ Предоставление хост-компьютеру интерфейса для подачи входных данных и получения планов полетов.

♦ Предоставление подробных данных текущего контроля и управляющей информации (в частности, относящейся к сетевому управлению), при помощи которых администраторы узлов проводят реконфигурацию систем в реальном времени.

♦ Обеспечение возможности записи и последующего считывания.

♦ Размещение на консолях элементов графического пользовательского интерфейса — в частности, оконная организация экранного пространства. Кроме того, необходимы дополнительные меры предосторожности — например, если окна не будут прозрачными, диспетчеры могут упустить из виду критические данные.

♦ Обеспечение средств резервирования на случай сбоев на хост-компьютере, в основной сети передачи данных и в основных радиолокационных датчиках.

В следующем разделе мы проанализируем архитектуру, при помощи которой эти требования удалось выполнить.