CC BY
98
маційної завантаженості складових ОУ і їх схожості при вирішенні певного завдання, провести оптимі-зацію їх складу системи керування, зменшити часові ресурси Rt і мінімізувати необхідні людські ресурси R ч .
Література: 1. Парницкий Г. Автоматическая классификация. М.: Финансы и статистика, 1981. 136с.
Надійшла до редколегії 01.07. 2002.
Рецензент: канд. техн. наук, доцент Дробах Г.А.
Орлов Микола Михайлович, канд. військових наук, доцент кафедри Харківського військового університе-
УДК 681.3.06
МОДЕЛИ НАДЕЖНОСТИ МНОГОВЕРСИОННЫХ ОТКАЗОУСТОЙЧИВЫХ ЦИФРОВЫХ УСТРОЙСТВ НА ПЛИС
ХАРЧЕНКОВ.С., ТАРАСЕНКОВ.В.________________
Рассматриваются многоверсионные отказоустойчивые устройства на ПЛИС (ЦУПС). Получены аналитические модели оценки надежности одно- и много-версионных (диверсных) структур с учетом дефектов проектирования и физических дефектов ПЛИС. Анализируются результаты исследования ЦУПС с верси-онной избыточностью, формулируются критерии оценки целесообразности применения многоверсионной технологии.
1. Введение
В [1] предложена классификация и сформулированы принципы построения отказоустойчивых ЦУПС с версионной избыточностью. Среди множества типовых структур в качестве примера разработки ЦУПС с применением многоверсионной технологии (МВТ) рассмотрены две структуры. В своем составе они содержат два корпуса ПЛИС, внутри которых синтезированы внутренние каналы обработки (ВКО), выполненные по разным схемам (версиям), и другие элементы, обеспечивающие сравнение и восстановление обрабатываемой информации.
В [2] предложены аналитические модели надежности одноверсионных ЦУПС без учета дефектов проектирования. Цель данной статьи — разработка моделей надежности структур многоверсионных ЦУПС, описанных в [ 1], сравнительный анализ их надежности, выявление степени влияния безотказности составных частей, а также типов и параметров дефектов проектирования.
2. Аналитические модели надежности ЦУПС с версионной избыточностью
Оценку надежности исследуемых структур произведем с помощью комбинаторно-вероятностного
ту. Наукові інтереси: дослідження складних відкритих систем керування спеціального призначення. Захоплення: історія воєнного мистецтва, публікації про історію Росії та України. Адреса: Україна, 61184, Харків, вул. Родникова, 3 кв.45, тел. 40-41-41 (дод.2-13).
Якобсон Євген Володимирович, канд. військових наук, старший викладач Харківського військового університету. Наукові інтереси: дослідження шляхів покращення основних показників бойового застосування зенітних ракетних систем та комплексів. Захоплення: спорт, туризм. Адреса: Україна, 61025, Харків, вул. Клочківська, 154а, кв.29, тел. 40-41-41 (дод.2-13).
метода, основанного на переборе событий, связанных с отказами элементов и проявлением дефектов проектирования.
При разработке моделей учитывались отказы:
а) внутренней структуры ПЛИС;
б) внекристальных средств контроля и реконфигурации;
в) контактов (паечных соединений) ПЛИС и других элементов ЦУПС;
г) из-за проявления абсолютных и относительных дефектов проектирования.
Также были приняты следующие допущения [3]:
— отказы элементов ЦУПС и отказы, обусловленные дефектами проектирования, носят случайный, независимый характер;
—данные, поступающие на входы элементов сравнения и мажоритарных элементов, синхронны;
— ЦУПС не имеет групповых дефектов проектирования;
— к началу работы ЦУПС полностью исправно.
Следует отметить, что наиболее критичным из принятых является допущение о независимости отказов элементов ЦУПС, а именно его внутренних элементов , поскольку по некоторым источникам [4] их отказы могут носить кластерный характер, что, в свою очередь, в некоторых ситуациях приводит к одновременной потере работоспособности нескольких функциональных узлов устройства. Сохранение корректности допущения о независимости возможно благодаря такому программированию структуры ПЛИС, при котором реализуется принцип “максимальной удаленности” в физическом пространстве кристалла, по крайней мере, элементов резервных каналов (ВКО).
Структура с внутренним и внешним дублированием представляет собой ЦУПС, в котором реализовано внешнее и внутреннее дублирование, т.е. внутри каждой из двух ПЛ ИС (А1, А2) расположены по два ВКО, выходы которых соединены с внутренним решающим органом, осуществляющим межканальное сравнение. В случае несовпадения информации на его входах внешнее средство контроля отключит
РИ, 2002, № 4
71
ПЛИС А1 от выхода ЦУПС и подсоединит к выходу канал ПЛИС А2. В этой структуре каждый ВКО выполнен по своей, отличающейся от других, схеме. Таким образом, данная структура представляет собой четырехверсионное ЦУПС. Вероятность его безотказной работы определяется из выражения:
Р =
1 Г1 р2 р р р2 рЗп+2\2
і - (і - р1.1рВРОРАКРп0Рп )
х РСКР
2п+4 п
РпА,
(1)
где Р11 — вероятность безотказной работы ВКО; РВРО —вероятность безотказной работы внутреннего решающего органа; РАК—вероятность безотказной работы аппарата конфигурации ПЛИС; Рп0 — вероятность того, что к моменту времени t относительные ошибки проектирования не проявятся; Рп — вероятность безотказной работы паечного соединения; РСК — вероятность безотказной работы средств контроля. Считаем, что достоверность контроля DCK =1; Рпа — вероятность того, что к моменту времени t абсолютные дефекты проектирования не проявятся; п — разрядность данных.
Вторая структура представляет собой ЦУПС с внутренним мажоритированием и внешним дублированием. В корпусе каждой ПЛИС А1 и А2 расположены три ВКО, выходы которых соединены со входами мажоритарного элемента, с его выхода сигналы через внутренние коммутаторы поступают на выход ЦУПС. Работоспособность каждого резервного канала (А1 или А2) определяют внутренние средства контроля. В ПЛИС А1 и А2 каждый ВКО выполнен по разной схеме, т.е. рассматриваемая структура представляет собой трех-версионное ЦУПС. Вероятность безотказной работы этого ЦУПС определяется из выражения:
P = [Ррк + (1 - Ррк ) • Ррк ] • PnA . (2)
Здесь Ррк — вероятность безотказной работы одного кристалла ПЛИС, равная:
Р =
рк
(Рі.іРпоРП)3 + 3Рі.іРпо)3 х
X рН - Р п) + 3 Рі.іР по)2 Рпп X (і - РиРпо) + 3Р2.іР поР2п(і - Р п)> х Iі - Рі.іР по)] х
X РСКСскрпРАКРМЭPl2n+1, (3)
где Рк—вероятность безотказной работы коммутатора К; РМЭ — вероятность безотказной работы внутреннего мажоритарного элемента; РССК — вероятность безотказной работы внутреннего средства контроля.
3. Исходные данные для исследования
Исследования надежности ЦУПС с версионной избыточностью, структурные схемы которых приведены в [1] (на рис. 3 и 4), проводились по аналитическим моделям при различных значениях
интенсивностей отказа ПЛИС: Хплис (1Л0-7, 1 • 10-8, 1 • 10-9, 1 • 10-10 1/ч), числе разрядов п (1, 4,
8, 16, 32) и времени работы (1 ч, 10 ч, 1 месяц, 1 год, 5 лет),
^CCK = о,оі • ^ПЛИС , ^МЭ = о,ооо5 • ^ПЛИС ,
^ВРО = 0,0002 • ^ПЛИС , ^K = о,оооі • ^ПЛИС ,
DCK = і, ^AK = о>2 • ^ПЛИС , ^ВКО = о>25' ^ПЛИС
При этом сделано допущение о том, что закон распределения времени до отказа элементов ЦУПС — экспоненциальный. Необходимо заметить, что подтверждение экспоненциальности закона распределения времени до отказа для некоторых современ -ных ПЛИС, в частности, микросхем XC1700E/L, XC3000, XC4000 и других фирм XILINX, приведено в [5] по результатам многомесячных испытаний и эксплуатации в период с декабря 1995 г. по сентябрь 1999 г. Что же касается закона распределения времени до проявления дефекта проектирования, то такие данные отсутствуют. В связи с этим возможен следующий вариант выбора их параметров, базирующийся на методике [6].
Если учесть, что моменты проявления этих дефектов зависят только от исходных данных, закон распределения поступления их различных сегментов является равномерным, а устройство функционирует циклически, отрабатывая по одному алгоритму изменяющиеся входные данные, то можно предположить, что вероятность проявления дефектов с течением времени будет расти (оставаясь при этом постоянной в пределах выполнения одного сегмента). Тогда можно сделать следующее предпо -ложение о том, что вероятность отказа на интервале времени не будет зависеть от его расположения на временной оси, а будет зависеть только от его величины. Из этого следует допущение об экспоненциальности распределения времени до проявления дефектов проектирования. Тогда можно говорить о том, что интенсивности отказов ПЛИС ^плис и интенсивности проявления абсолютных ^дпа и относительных ^дпо дефектов проектирования при функционировании устройства (с учетом их постоянства) связаны следующими зависимостями [3]:
^ДП = ^ДПА + ^ДПО = а^ПЛИС > (4)
^ДПА = Р • ^ДП. (5)
Диапазон изменения значений коэффициентов а и Р определяется с учетом того, что доля абсолютных дефектов может достигать 20-30% от общего числа дефектов проектирования, а они, в свою очередь, могут вызывать от 30 до 70% отказов цифровых программируемых систем [3,7]. В связи с этим оценки выполнялись для а в диапазоне 02 (0; 0,5; 1; 2) и Р в диапазоне 0-0,3 (0; 0,1; 0,2; 0,3).
4. Результаты исследований структур ЦУПС с версионной избыточностью
Анализ полученных значений вероятностей безотказной работы рассмотренных структур ЦУПС подтвердил естественные выводы о том, что:
72
РИ, 2002, № 4
a) с ростом числа разрядов ЦУПС вероятность безотказной работы уменьшается из-за увеличения вероятности отказа паечных соединений выводов ПЛИС и других микросхем;
в) с увеличением количества абсолютных и относительных дефектов в разрабатываемых проектах вероятность безотказной работы структур уменьшается.
б) с увеличением продолжительности работы ЦУПС и интенсивности отказов Хппис вероятность безотказной работы уменьшается;
При сравнении надежности двух структур без учета дефектов проектирования (рис. 1,а, 2,а) видно, что вероятность безотказной работы ЦУПС с внутренним и внешним дублированием ниже, чем с
10 0 10 1 10 2 10 3 10 4 t ч.
а
б
2
Рис. 1. График зависимостей изменения вероятностей безотказной работы ЦУПС с внешним и внутренним дублированием при
ХПЛИС = 1 • 10~7 1/ч, n=16: а - а = 0, в = 0 ; б - в = 0,2 ; в - а = 1
внутренним мажоритированием и внешним дублированием. Это объясняется тем, что при внутреннем дублировании, в случае возникновения ошибок из-за отказов аппаратных средств, ВРО с помощью коммутатора К отключает отказавший канал от выхода, а в ЦУПС с внутренним мажоритированием и внешним дублированием ошибки, возникшие в одном канале, “фильтруются” мажоритарным элементом и не поступают на выход. При учете дефектов проектирования, т.е. при а ^ 0, в ^ 0, этот эффект проявляется с большей силой, так как значения вероятностей, учитывающих относительные дефекты в ЦУПС с внутренним и внешним дублированием согласно выражению (1), возводятся в квадрат, а в ЦУПС с внутренним мажоритированием и внешним дублированием последствия таких дефектов “фильтруются” мажоритарным элементом и на выход не проходят (выражение
(3)).
С увеличением числа дефектов проектирования в ВКО, выполненных по разным версиям, снижается вероятность безотказной работы ЦУПС (рис. 1, б и 2, б). Т акая же закономер -ность наблюдается и при увеличении доли абсолютных дефектов проектирования (графики зависимости P(t) при разных в изображены на рис.1,в и 2,в соответственно). На рис.3 (а,б) и 4 (а, б) показаны графики зависимостей изменения относительного выигрыша 5Q в снижении вероятности отказа при использовании мно-говерсионной структуры (Qm) по сравнению с одноверсионной структурой (Q0) того же типа (по числу каналов и конструкции средств контроля и реконфигурации) от времени работы путем 5Q=(Q0 - Qm)/Q0 •
Из их анализа следует, что ЦУПС с внешним и внутренним дублированием очень чувствительны к количеству относительных дефектов проектирования, а показатель 8Q остается практически неизменным в течение года непрерывной работы.
РИ, 2002, № 4
73
В трехверсионной ЦУПС с внутренним мажорити-рованием и внешним дублированием (рис.4) благодаря наличию на выходе мажоритарного элемента значение 5Q остается практически постоянным до моментов времени ti=1600 ч (при в =0,1) и t2=700 ч (при в =0,3), после которых выигрыш надежности по сравнению с одноверсионной системой начинает уменьшаться. Для трехверсионных ЦУПС при фиксированных значениях параметров Хплис , разрядности n и др. увеличение доли абсолютных дефектов (рост в от 0,1 до 0,3) повышает чувствительность показателя 5Q к значению коэффициента а при меньших значениях t. В двухверсионных ЦУПС с внутренним и внешним дублированием выигрыш в надежности по отношению к одноверсионным структурам зависит только от коэффициентов а и в и практически не зависит от времени. Отметим, что при большем количестве относительных дефектов проектирования (рост а при фиксированном в ) наблюдается больший выигрыш надежности независимо от структуры ЦУПС.
Следует подчеркнуть, что в приведенных расчетах не учитывается усложнение схем сравнения и мажори-тирования при использовании нескольких версий, связанное с принципиально асинхронным характером работы каналов и необходимостью введения дополнительных средств фиксации выходных данных по специальным логическим меткам, идентифицирующим состояния разных версий, эквивалентных с точки зрения результатов функционирования. При увеличении коэффициента в , т.е. с ростом доли абсолютных дефектов, может оказаться, что эффект, получаемый от версионной избыточности, компенсируется потерями из-за снижения безотказности вследствие введения таких дополнительных средств.
5. Выводы. Направления дальнейших исследований
1. Для систем управления реального времени с повышенными требованиями к надежности и безопасности функционирования использование диверсности процессов разработки и реализации резервных каналов цифровых устройств на ПЛИС является одним из важных (а на этапе применения для необслуживаемых систем, пожалуй, единственным) методов снижения рисков, обусловленных на-
личием невыявленных при тестировании и отладке дефектов проектирования [8]. Особенности современных ПЛИС фирм Altera, Xilinx и др. и инструментальных средств, поддерживающих их разработки, таковы, что внесение версионной избыточности является для них естественным процессом вследствие разнообразия стандартных языков и моделей ввода проектов в кристалл, а также разно-
10
10
10
10
10 '
t, ч
Рис. 2. График зависимостей изменения вероятностей безотказной работы ЦУПС с внутренним мажоритированием и внешним дублированием при 7ПЛИС = 1 • 10~71/ч, n=16 : а — а = 0, в = 0 ; б — в = 0,2;
в - а = 1
а
74
РИ, 2002, № 4
Рис. 3. График зависимостей относительного выигрыша надежности ЦУПС с внешним и внутренним дублированием при \ПШС = 1 • 10~71/ч, n=16: а - р = 0,1; б - в = 0,3
образия возможных способов и приемов тестирования.
2. В представленной многоверсионной технологии разработки ЦУПС [1] используются указанные виды диверсности моделей ввода и способов тестирования проекта. Необходимо подчеркнуть, что:
во-первых, применение элементов МВТ только на этапе разработки и тестирования однозначно повышает надежность проекта (даже при одноверсион-ной реализации ЦУПС), поскольку снижает число необнаруженных дефектов проектирования из-за их “перекрестного” выявления в разных моделях и при использовании разных тестов. Окончательное решение о целесообразности применения МВТ на данном этапе принимается с учетом возможных ограничений на стоимость проекта. При этом следует учитывать возможность частичной компенсации дополнительных затрат на разработку различных моделей проекта интенсификацией процесса параллельного выявления дефектов проектирования на завершающих стадиях тестирования;
во-вторых, вывод о целесообразности распространения МВТ на этап эксплуатации ЦУПС должен
базироваться на тщательных срав-нительних оценках надежности одно - и многоверсионных структур с учетом особенностей их реализации, показанных на примере дублированных и мажоритарных схем резервирования. Возможны также дополнительные затраты (по сравнению с одноверсионными ЦУПС), связанные с удорожанием сопровождения системы.
3. Исследования, проведенные с помощью аналитических моделей, позволили оценить степень влияния на надежность структур числа разрядов, времени работы, интенсивности отказов ПЛИС, наличия паечных соединений, уровня относительных и абсолютных дефектов проектирования. Для повышения точности оценок необходимо провести дополнительные исследования, направленные на моделирование процесса проявления различных типов дефектов проектирования ЦУПС и идентификации законов распреде -ления случайных величин и их параметров.
4. Уменьшить количество и влияние относительных дефектов проектирования можно двумя способами:
а) увеличением времени и качества тестирования в целях полного выявления и устранения таких дефектов;
б) введением многоверсионности. Расширить спектр видов диверсности возможно с помощью различных
языков создания проектов (AHDL, VHDL, Verilog и др.) и проектировочных команд. Кроме того, при определенных условиях может быть применена диверсность спецификаций проекта.
Уменьшить количество абсолютных дефектов проектирования возможно, применяя различные инструментальные средства получения конфигурационных файлов, а также выполняя резервные каналы на ПЛИС разных фирм-изготовителей.
5. Выбор варианта структуры из множества типовых одно- и многоверсионных отказоустойчивых структур, приведенных в данной работе, а также описанных в [6,8], для конкретного приложения зависит от требуемой надежности, конкретных условий эксплуатации, ограничений, накладываемых массо-габаритными показателями, энергопотреблением^ времени, отведенного на разработку и тестирование, и стоимости. Применение многоверсионности в ЦУПС увеличивает его надежность при одновременном существенном росте затрат на проектирование.
6. Некоторые из выводов данной работы, касающиеся особенностей реализации, объема и границ целесообразного применения многоверсионной тех-
РИ, 2002, № 4
75
ЦУПС с внутренним мажоритированием и внешним дублированием при ХПЛИС = 1 • 10~7 1/ч, n=16: а - р = 0,1; б - р = 0,3
нологии создания ЦУПС, получили экспериментальное подтверждение при создании бортовой аппаратуры систем управления реального времени. Дальнейшая экспериментальная отработка МВТ должна быть связана с:
— тщательным сбором и анализом статистики дефектов, выявляемых при тестировании различных версий проекта;
— детальной классификацией причин дефектов и разработкой методов и средств их устранения при проектировании и тестировании ЦУПС;
— идентификацией законов распределения случайных величин, описывающих процесс проявления обнаруженных при тестировании ЦУПС, и их использованием по назначению;
—разработкой модели стоимости мно-говерсионных проектов и методик выбора оптимальных технологий создания и структур ЦУПС по критерию “надежность/стоимость” с учетом других ограничений.
Таким образом, необходима постановка и решение комплексной задачи разработки (выбора) оптимального проекта, объединяющего “процесс” - создание цифровой системы на ПЛИС и “продукт” — собственно ЦУПС.
Литература: 1.Харченко В.С., Тарасенко
B. В. Технология разработки отказоустойчивых цифровых устройств на ПЛИС с использованием диверсных моделей ввода и тестирования проектов // Радиоэлектроника и информатика. 2002. №3.
C. 71-74. 2. Kharchenko VS., Tarasenko V.V. Multiversion Design Technologies of On-board Fault-tolerant FPGA Devices // Proceedings of MAPLD Conference, 13-15 September, 2001, Maryland, USA, http: // klabc.org. 3. Харченко В. С. Модели и свойства многоальтернативных отказоустойчивых систем // Автоматика и телемеханика. 1992. №12. С.82 - 91. 4. Бернар Куртуп, Марко Медзалама. Отказоустойчивость в СбИС // ТИИ-ЭР.1986. Т.74, №5. С.4-6. 5. XILINX. Quality Assurance and Reliability, 2000, February 1 (V 3.0), Р.9.1-9.10. 6. Харченко В. С., Скляр В.В. Моделирование и оценка безотказности необслуживаемых компьютерных систем управления с многоверсионными программными средствами // Электронное моделирование. 2001. №4. С.69-81. 7. Харченко В. С. Теоретические основы дефектоустойчивых цифровых систем с версионной избыточностью. Харьков: МО Украины, 1996. 503 с. 8. Kharchenko V. S. Multiversion Information Technologies
and Reliable Projects // Материалы международной НТК “Автоматика - 2001”, 10—14 сентября 2001. Одесса, Т. 2. С.135-136.
Поступила в редколлегию 15.02.2002
Рецензент: д-р техн. наук, проф.Фурман И.А.
Харченко Вячеслав Сергеевич, д-р техн. наук, профессор, заведующий кафедрой компьютерных систем летательных аппаратов Национального Аэрокосмического университета им. Н.Е. Жуковского, заслуженный изобретатель Украины. Научные интересы: надежность, живучесть и безопасность критических компьютерных систем и технологий. Адрес: Украина, 61070, Харьков, ул. Чкалова, 17, тел (0572) 44-25-14, 44-23-56.
Тарасенко Виталий Владимирович, начальник сектора Национального Аэрокосмического университета им. Н.Е. Жуковского. Научные интересы: отказоустойчивые цифровые устройства на ПЛИС. Адрес: Украина, 61070, Харьков-70, ул. Рудика,1, тел. (0572) 44-78-64.
76
РИ, 2002, № 4
