витися виконувати певну послугу, виконати її помилково або зруйну-
            вати якісь дані. Вочевидь, для другої і третьої з перелічених реакцій
            неможливо передбачити наслідки, тоді як для першої можна докласти
            певних  зусиль,  щоб  відновити  працездатність  системи,  наприклад,

            виконати один з наведених нижче варіантів робіт:
                   відновити попередній стан системи (що передував винятковій си-

            туації) і спробувати застосувати іншу стратегію виконання послуги;
                   відновити попередній стан системи, внести необхідні коректи-
            ви і повторити виконання послуги із старою стратегією;

                   відновити попередній стан системи, сформувати повідомлення
            про помилку й зупинити систему в очікуванні реакції користувача.
                  Ми бачимо, що забезпечення надійності системи вимагає для ко-

            жної її послуги передбачення виняткових ситуацій, аналізу їхніх при-
            чин та наслідків, побудови механізму відтворення попереднього ста-
            ну  (для  чого  необхідна  певна  стратегія  запам’ятовування  поточного
            стану системи) та виправлення ситуації. Для забезпечення таких дій

            застосовують типові засоби:
                   подвійне обчислення й порівняння результатів або їхніх конт-

            рольних сум, у тому числі виконаних на різних процесорах;
                   таймери,  що  визначають  часові  інтервали  фіксації  поточного
            стану;

                   додаткові  перевірки  коректності  даних,  які  передають  актори
            чи зовнішні системи або окремі компоненти однієї системи.
                  Усі зазначені вище дії втілюються в додаткових компонентах проек-

            ту і призводять до додаткових витрат на певні надмірні перестороги, які
            є ціною за надійність функціонування системи. Доцільність таких витрат
            визначається виключно специфікою систем. Якщо наслідки помилок не-
            зворотні, наприклад, як у систем підвищеного ризику (космічні та ядерні

            системи,  моніторинг  хворих,  керування  реальними  об’єктами),  дово-
            диться йти на дублювання процесів і додаткові перевірки. Іноді навіть
            використовують паралельну роботу кількох команд або взаємну переві-

            рку комп’ютерів, що працюють паралельно, коли один з них здійснює
            моніторинг іншого. Так, кажуть, що для керування системою ШАТЛ сім
            комп’ютерів дублюють один одного.
                  Переносимість системи (system portability). Під таким терміном

            розуміють можливість змінювати певні використовувані сервісні сис-
            теми (операційні системи, системи комунікацій у мережах, СУБД то-

            що) шляхом локального настроювання відповідних модулів. Зазвичай
            йдеться про переносимість щодо конкретного типу сервісних систем,
                                                              33