CC BY
9
- ЯК1СТБ,НАДШШСТЬIСЕРТИФПСАЦ1Я
^ " ОБЧИСЛЮВАЛЫЮ1 ТЕХН1КИIПРОГРАМНОГО ЗАБЕЗПЕЧЕННЯ
https://orcid.org/0000-0001-8361-374X https://orcid.org/0000-0001-7756-0004
УДК 621.3.019.3
Ар.А. МУХА*, А.В. ФЕДУХИН*
К ВОПРОСУ О ДОСТОВЕРНОСТИ ФУНКЦИОНИРОВАНИЯ КОМПЬЮТЕРНЫХ СИСТЕМ С КВАЗИМОСТИКОВОЙ СТРУКТУРОЙ
Институт проблем математических машин и систем НАН Украины, г. Киев, Украина_
Анотаця. У роботг розглянутг питания щодо використання простог феноменологiчноí модели з метою визначення аналтичног залежностi достовiрностi функщонування комп 'ютерних систем (КС) у залежностi вiд типу структур i гх характеристик. Вiдмови i због' у процес функщонування iнформацiйно-управляючих систем, а також недолти програмного забезпечення, що не виявлеш у процеа проектування, призводять до виникнення помилок, як тягнуть за собою зниження досто-вiрностi обчислень i, як на^док, непередбачувану поведiнку управляючог' системи. Вперше така характеристика, як «достовiрнiсть», була включена А. Авiженiсом (Algirdas Avizienis) до перелту базових атрибутiв гарантоздатностi КС. Вiдомо, що з ростом надiйностi функщонування КС тдвищуеться i достовiрнiсть тформацп, що виробляеться нею, або управляючого впливу на управляючi об'екти (УО). Однак для надлишкових КС, структури яких характеризуются власти-вiстю вiдмовостiйкостi, таког' прямог' залежностi немае. Аналiз структурног' надiйностi та дос-товiрностi функщонування рiзних надлишкових структур КС показав, що мажоритарм структури мають быьш високий рiвень достовiрностi функщонування в порiвняннi з iншими надмiрними структурами, що перевищують гх по безвiдмовностi. Однак остантм часом серед вiдомих надлишкових структур КС, що використовуються для забезпечення вiдмовостiйкостi, з'явилася нова двоканальна квазiмiсткова структура (КМС), що самоперевiряеться, достовiрнiсть функщону-вання яког' ратше не до^джувалась. Уроботi показано, що КМС, маючи у своему складi модулi з бтьш високою iндивiдуальною безвiдмовнiстю в порiвняннi з модулями, що входять до складу т-ших аналiзованих структур, характеризуеться невисокою двократною апаратною надмiрнiстю, виграючи при цьому у мажоритарних структур з три i п'ятикратною апаратною надмiрнiстю як за оцткою базовог' моделi безвiдмовностi (ймовiрностi безвiдмовноíроботи), так i за достовiрнi-стю функщонування.
Ключовi слова: достовiрнiсть, ймовiрнiсть безвiдмовноí роботи, квазiмiсткова структура, роз-рахунок достовiрностi функщонування.
Аннотация. В работе рассмотрены вопросы использования простой феноменологической модели с целью определения аналитической зависимости достоверности функционирования компьютерных систем (КС) от типа структур и их характеристик. Отказы и сбои в процессе функционирования информационно-управляющих систем, а также недостатки программного обеспечения, не обнаруженные в процессе проектирования, приводят к возникновению ошибок, которые влекут за собой снижение достоверности вычислений и, как следствие, непредсказуемое поведение управляющей системы. Впервые такая характеристика, как «достоверность», была включена А. Ави-женисом (Algirdas Avizienis) в перечень базовых атрибутов гарантоспособности КС. Известно, что с ростом надежности функционирования КС повышается и достоверность производимой ею информации или управляющего воздействия на управляемые объекты (УО). Однако для избыточных КС, структуры которых характеризуются свойством отказоустойчивости, такой прямой зависимости нет. Анализ структурной надежности и достоверности функционирования различных избыточных структур КС показал, что мажоритарные структуры имеют более высокий уровень достоверности функционирования по сравнению с другими избыточными структурами, превышающими их по безотказности. Однако в последнее время среди известных избыточных
© Муха Арт. А., Федухин А.В., 2019
ISSN 1028-9763. Математичш машини i системи, 2019, № 3
структур КС, используемых для обеспечения отказоустойчивости, появилась новая двухканальная самопроверяемая квазимостиковая структура (КМС), достоверность функционирования которой ранее не исследовалась. В работе показано, что КМС, имея в своем составе модули с более высокой индивидуальной безотказностью, по сравнению с модулями, входящими в состав других анализируемых структур, характеризуется невысокой двухкратной аппаратной избыточностью, выигрывая при этом у мажоритарных структур с трех и пятикратной аппаратной избыточностью как по оценке базовой модели безотказности (вероятности безотказной работы), так и по достоверности функционирования.
Ключевые слова: достоверность, вероятность безотказной работы, квазимостиковая структура, расчет достоверности функционирования.
Abstract. The paper discusses the use of a simple phenomenological model in order to determine the analytical dependence of the credibility functions of computer systems (CS), depending on the type of structures and their characteristics. Failures and outages in the operation of information management systems, as well as software flaws that were not detected during the design process, lead to errors that result in decreasing the credibility of calculations and, as a result, unpredictable behavior of the control system. For the first time, such a characteristic as "credibility" was included by A. Avizhenis (Algirdas Avizienis) in the list of basic attributes of the CS dependability. It is known that with increasing credibility of the functioning of CS, the credibility of the generated information or the control action on a controlled object (CO) increases as well, but for redundant CS the structures of which are characterized by the fault tolerance property do not have such direct relationship. Analysis of the structural reliability and credibility of the functioning of various redundant structures of the CS showed that the majority structures have a higher level of credibility of functioning compared to other redundant structures that exceed their reliability. However, recently, among the well-known redundant CS structures used for ensuring fault tolerance, a new two-channel self-verifiable quasi-bridge structure (QBS) has appeared, the credibility of which has not been previously investigated. The paper shows that the QBS, having in its composition modules with a higher individual reliability, compared with the modules included in the other analyzed structures, is characterized by a low two-fold hardware redundancy, while winning at the same time with majority structures with three and five-fold hardware redundancy, as on the evaluation of the basic model of reliability (probability offailure-free operation), and on the credibility of operation.
Keywords: credibility, probability of failure-free operation, quasi-bridge structure, credibility of functioning calculation.
DOI: 10.34121/1028-9763-2019-3-144-150
1. Введение
Все более широко на практике используются микропроцессорные цифровые системы или компьютерные системы (КС). Отказы и сбои в процессе функционирования информационно-управляющих КС, а также недостатки программного обеспечения, не обнаруженные в процессе проектирования, приводят к возникновению ошибок, что влечет за собой снижение достоверности вычислений и, как следствие, непредсказуемое поведение управляющих систем, которое может повлечь за собой тяжелые последствия.
Особенно это относится к системам критического применения, в составе которых, в последнее время, находят применение разнообразные КС, высокая эффективность функционирования которых может быть достигнута только путем реализации гарантоспособных вычислений, эффективных методов контроля и восстановления работоспособности наряду с использованием разнообразных методов обеспечения высокой безотказности и отказоустойчивости.
Такая характеристика, как «достоверность», была включена известным ученым А. Авиженисом (Algirdas Avizienis) в перечень базовых атрибутов гарантоспособности компьютерных систем (КС) недавно, ориентировочно в 2012 г. Достоверность функционирования КС определяется вероятностью того, что значение вычисляемого параметра (производство информации или выработка управляющего воздействия) отличается от истинного значения этого параметра (информации или управляющего воздействия) в пределах требуемой точности.
Не требует доказательства тот факт, что чем выше надежность функционирования КС, тем выше достоверность производимой ею информации или управляющих воздействий на управляемые объекты. Однако для избыточных КС, структуры которых характеризуются свойством отказоустойчивости, такой прямой зависимости не наблюдается.
Впервые вопросы достоверности КС в рамках сформулированной ранее атрибутивной модели гарантоспособности (АМГ) были рассмотрены в [1], где сформулировано определение достоверности функционирования КС и предложен метод расчета достоверности, основанный на простой феноменологической модели, которая позволяет проводить экспресс-анализ достоверности функционирования различных структур КС. В работе проведены расчеты достоверности следующих типовых структур: трехканальной невосстанав-ливаемой с нагруженным резервом, двухканальной невосстанавливаемой с ненагружен-ным резервом, мажоритарно-резервированной невосстанавливаемой типа «k из n». Анализ подтвердил, что мажоритарные структуры имеют более высокий уровень достоверности функционирования по сравнению с другими избыточными структурами, имеющими более высокую безотказность.
В то же время последние исследования в области структурной надежности показали, что среди известных дублированных структур КС появилась новая двухканальная самопроверяемая квазимостиковая структура (КМС) [2-4], достоверность функционирования которой ранее не исследовалась.
Целью исследований является оценка достоверности функционирования КМС и проведение сравнительного анализа по этому показателю с другими структурами КС.
2. Количественная оценка достоверности работы КМС
Достоверность функционирования компьютерных систем (КС) за время t предлагается вычислять с помощью феноменологической модели [1]:
D = [dM-{Rn-k, (1)
где dM - достоверность вычислений модуля - условная вероятность того, что значение вычисляемого модулем определяющего параметра п отличается от истинного значения этого параметра в пределах требуемой точности;
п - определяющий параметр - критерий правильного функционирования модуля; fRq - вероятность безотказной работы системы за время t ;
к - коэффициент, учитывающий кратность сравнения информации между каналами в процессе функционирования системы или порог сравнения последовательно включенного сравнивающего устройства.
Примечание 1. Для дублированных и троированных структур с восстанавливающим органом (ВО), реализующим функцию ИЛИ, сравнение информации между каналами не производится, поэтому к принимаем равным достоверности вычислений неизбыточного модуля к = dM, для мажоритарной структуры M32, а также для двухузловой КМС минимальная кратность сравнения информации между каналами равна 2 (на выходах 1-го и 2-го узлов), поэтому к предлагается вычислять по формуле к = 2dM - d\, , для мажоритарной структуры М\, а также для трехузловой КМС минимальная кратность сравнения информации между каналами равна 3 (на выходах 1-го, 2-го и 3-го узлов), поэтому к, в свою очередь, предлагается вычислять следующим образом: к = diM - 3d^ + 3dM . В общем виде значение коэффициента к определяется по выражению к = 1 - (1 - dM )", где п - кратность сравнения информации между каналами в процессе функционирования системы или порог сравнения последовательно включенного сравнивающего устройства.
Базовая модель безотказности - вероятность безотказной работы произвольной отказоустойчивой системы вычисляется по формуле [5]:
{Щ=с'{ 1-^/), (2)
где - функция вероятности отказа с учетом параметров /, q и я ;
^ - количество резервов, изначально доступных для подключения; q - количество модулей, обеспечивающих заданную производительность системы (характеристика актуальна для систем, производительность которых зависит от количества одновременно работающих ресурсов);
с - степень компенсации последствий отказа (условная вероятность того, что при возникновении отказа в работающей системе последняя способна восстановить информацию и продолжить ее обработку без долговременной потери данных);
/ - способность модуля допускать / одиночных отказов до того, как он станет неработоспособным.
Принимая гипотезу о БЫ -распределении наработки до отказа элементов, модулей и системы в целом, вероятность отказа будем вычислять следующим образом [6]:
(3)
где V - коэффициент вариации наработки до отказа; х - относительная наработка ( х = — );
/ - время эксплуатации (наработки); Т - средняя наработка до отказа (на отказ).
Функция вероятности отказа для БЫ -распределения имеет следующий вид:
'jc-O
f 1 л
DN(x;v) = 0 +ехр(2у 2)Ф--= , (4)
Kv*Jx) ^ vV.v
где Ф(*) - функция нормированного нормального распределения.
Примечание 2. Если любой из параметров базовой модели fRq опускается, то по умолчанию предполагается, что q = 1, с - 1, / = 0, л = 0. Параметры \ , с и /' являются параметрами, увеличение которых приводит к увеличению общей безотказности системы.
Примечание 3. Если модуль системы является избыточным или спроектирован как / - безотказный автомат, то в пределах / отказов ( / = 1,2,3...) с = 1.
Рассмотрим в качестве примера структурную схему надежности (ССН) двухузловой КМС (рис. 1). КМС состоит из равнонадежных модулей М1, М2, М3, М4, полученных путем разбиения функционального блока (ФБ) на две равнонадежные части (с аппаратной точки зрения ФБ=М1+М3=М2+М4). Равнонадежные модули соединены логически параллельно и образуют два равнонадежных дублированных узла, образующих посредством схемы реконфигурации (СР) логически последовательную цепочку [2]. Особенностью КМС является СР с переменной логической функцией И/ИЛИ, однако для анализа надежности КМС с использованием ССН принимаем логическую функцию СР как функцию ИЛИ.
В качестве примера вычислим количественную оценку базовой модели fRq для двухузловой невосстанавливаемой KMC при следующих исходных данных [6]: • время эксплуатации (наработки) t = 200ч;
средняя наработка до отказа функционального блока ТФБ = 1000ч ; коэффициент вариации наработки до отказа функционального блока УФБ = 1,0.
Mi
X
CP
Мз
ВО
Y
М2 М4 CP
Рисунок 1 - Структурная схема надежности КСМ с двумя узлами
1. Вычислим среднюю наработку до отказа модулей КМС (М1, М2, М3, М4) двухузловой структуры:
ТШ_А = ТФБ47г = 1000- л/2 = 1414ч.
2. Вычислим среднюю наработку до отказа узлов КМС (В1, В2) двухузловой струк-
туры:
Тт-2 = ТМ1_< S = 1414 ■ л/2 = 1999ч. 3. Вычислим величину относительной наработки х узла:
200
х =
ТВ1_2 1999
= 0,1.
4. Вычислим параметр формы DN-распределения для узла:
v =
V
ФБ
V
ФБ
1
= 0,7.
узла:
/и л/2 1,41
5. По таблице /Ж -распределения для значения г =0,7 вычислим вероятность отказа
= 0,00004.
6. Вычислим количественную оценку базовой модели безотказности узла системы.
Количество резервов узла, изначально доступных для подключения, равно s =1. В связи с тем, что производительность узла не зависит от количества одновременно работающих модулей, то q =1. Так как восстановление работоспособности узла осуществляется в автоматическом режиме с помощью СР, которая определяет неисправный модуль, маскирует его, исключая его влияние на достоверность работы узла, поэтому степень компенсации последствий отказа в узле c = 1. В связи с тем, что по условию задачи не установлено, что модули М1, М2, М3, М4 являются избыточными, то способность модуля допускать одиночные отказы принимается равной f =0, откуда количественная оценка базовой модели безотказности узла равна
fcRqs = Ry3 = ¡Rl = с'(l-°Fi) = l4l - 0,00004) = 0,99996.
Поскольку КМС представляет собой последовательную структуру I класса, которая включает в себя два дублированных узла с «горячим» резервом, которые последовательно
t
подключены через СР с логической функцией ИЛИ (дизьюнкция), то количественная оценка базовой модели безотказности КМС вычисляется следующим образом:
{Щ = В-кмс = Ry3 ■ Ry3 = 0,999962 * 0,99992.
Достоверность функционирования двухузловой невосстанавливаемой KMC при dM =0,995, к = 2dM -d2M =0,999975 и fcRqs = В.шс=0,99992 за время t вычислим по формуле (1). D = [dM ■fcRqs ] • к =0,995-0,99992-0,999975=0,9949.
3. Сравнительная оценка достоверности функционирования избыточных структур
Результаты вычисления достоверности функционирования КС, аналогичные приведенным выше, изложены в [1].
1. Дублированная невосстанавливаемая структура с нагруженным резервом II класса при к = , =0,995 и fcRqs =0,99908 за время t получим D = \dM ■fcRqs ] • к =0,995-0,99908-0,995=0,9890.
2. Дублированная невосстанавливаемая структура с ненагруженным резервом 11а класса при к = , =0,995 и fRqs =0,94996 за время t получим
D = \dM ■fcRq ] • к =0,995-0,94996-0,995=0,9400.
3. Троированная невосстанавливаемая структура с нагруженным резервом III класса при к = , =0,995 и fRq =0,99999 за время t получим
D = [dM ■fcRqs ] ■ к =0,995-0,99999-0,995=0,9900.
4. Невосстанавливаемая структура с мажоритарным резервированием IV класса M 32 при к = 2dM -d2M =0,999975, dM=0,995 и fcRqs =0,99648 за время t получим D = \dM ■fcRqs ] • к =0,995-0,99648-0,999975=0,9914.
5. Невосстанавливаемая структура с мажоритарным резервированием V класса M53 при k = d\j-Sd^ + 3dM =0,999999875, dM=0,995 и fcRqs =0,99977 за время t получим D = [dM ■fcRqs ] ■ к =0,995-0,99977-0,999999875=0,9947.
По отношению к [1] перечень анализируемых структур расширен дублированной невосстанавливаемой структурой с нагруженным резервом II класса, являющейся прототипом рассматриваемой двухканальной КМС. Проанализируем полученные нами результаты оценки достоверности функционирования КС в зависимости от типа структуры системы (табл. 1).
Таблица 1 - Характеристики безотказности и достоверности функционирования различных структур КС_
Тип структуры T, час fRq с s с к D
Квазимостиковая из 2-х узлов 1414 0,99992 1,0 0,999975 0,9949
Мажоритарная «3 из 5» 1342 0,99977 1,0 0,999999875 0,9947
Мажоритарная «2 из 3» 1155 0,99648 1,0 0,999975 0,9914
Троированная с нагруженным резервом 1730 0,99999 1,0 0,995 0,9900
Дублированная с нагруженным резервом 1414 0,99908 1,0 0,995 0,9890
Дублированная с ненагруженным резервом 2000 0,949962 0,95 0,995 0,9404
4. Заключение
Результаты анализа достоверности функционирования разнообразных избыточных структур c помощью простой феноменологической модели подробно описаны в [1], где сделан вывод о превосходстве трехканальной и пятиканальной мажоритарных структур. Несмотря на их высокую аппаратную избыточность, эти структуры выигрывают по достоверности за счет высокого значения параметра к, характеризующего кратность сравнения информации между каналами структуры в процессе функционирования системы. В мажоритарной структуре «2 из 3» кратность сравнения информации между каналами равна минимум 2, а в мажоритарной структуре «3 из 5» - минимум 3.
КМС, несмотря на наличие 4 модулей, но с более высокой индивидуальной безотказностью, по сравнению с модулями, входящими в состав других анализируемых структур, имеет лишь двухкратную аппаратную избыточность, выигрывая при этом у можари-тарных структур с трех и пятикратной аппаратной избыточностью как по оценке базовой модели безотказности (вероятности безотказной работы), так и по достоверности функционирования.
Следует также отметить еще один важный факт. С ростом количества узлов в КМС ее аппаратная избыточность остается неизменной и равной 2 (не принимая во внимание простые и высоконадежные СР). При этом возрастают как вероятность безотказной работы, так и достоверность функционирования.
Анализ результатов расчета достоверности функционирования на основе представленной феноменологической модели (1) показал лидерство двухузловой КМС, сопоставимое с мажоритарной структурой «3 из 5». Сформулированные нами выводы не противоречат самым общим рассуждениям о структурной надежности и достоверности КС, а предложенную математическую модель достоверности функционирования можно рекомендовать для анализа разнообразных структур КС также со смешанным резервированием.
СПИСОК ИСТОЧНИКОВ
1. Федухин А.В., Сеспедес Гарсия Н.В., Муха Ар.А. К вопросу о связи надежности и достоверности функционирования компьютерных систем. Математичш машини i системи. 2017. № 2. С.145-155.
2. Федухин А.В., Муха Ар.А. К вопросу об аппаратной реализации избыточных структур: резервированная двухканальная система с реконфигурацией. Математичш машини i системи. 2010. № 4. С.156-159.
3. Федухин А.В., Пасько В.П., Муха Ар.А. К вопросу моделирования надежности восстанавливаемой квазимостиковой структуры с учетом тренда параметров надежности составных частей. Математичт машини i системи. 2016. № 1. С. 158-167.
4. Федухин А.В., Сеспедес Гарсия Н.В., Муха Ар.А. К вопросу о надежности невосстанавливаемой системы с квазимостиковой структурой элементов. Математичт машини i системи. 2017. № 4. С.160-168.
5. Федухин А.В., Пасько В.П. К вопросу о количественных характеристиках безотказности избыточных компьютерных систем. Математичш машини i системи. 2012. № 1. С. 145-156.
6. Стрельников В.П., Федухин А.В. Оценка и прогнозирование надёжности электронных элементов и систем. К.: Логос, 2002. 486 с.
Стаття надiшла до редакцп 03.06.2019
