1章

元米国大統領ロナルド・レーガンの署名フレーズは、ロシアのことわざ「信頼するが、検証する」だった。予期しない環境条件や論理的な設計エラーにより、システムの想定される信頼性が大幅に低下する可能性がある。システムが「10億分の1」の信頼性を実証するためのテストは実行不可能である。テストもフォーマル検証(設計の仕様と、設計結果の回路をそれぞれ数学的に解析することで、回路の正しさを検証する手法)であるが、超信頼システムの信頼性を実証するためには、不十分であるため実行時にシステムを監視するというアイデアが提案されている。モニターシステムの動作を観察し、それが仕様と一致しているかどうかを検出する。モニターはシステムが仕様を満たしているか追加の信頼性を実行時に提供できる。

2章

シャトルMDMの失敗

スペースシャトルのデータ処理システムは、冗長セットで動作する4台の汎用コンピュータがある。オービター(スペースシャトル本体)は23個のマルチプレクサー(複数の信号を入力として受け取り、それをあれこれすることで1つの信号にして出力する)デマルチプレクサ(1つの信号を入力として受け取り、それをあれこれすることで複数の信号にばらして出力する)ユニットも搭載されており、そのうち16個は共有バス(複数のデバイスが1本のバスを共有する形)を介して直接GPCに接続されている。GPCは、障害検出、分離、および回復機能を含む冗長性管理アルゴリズムを実行する。