CC BY
60
МандзийБ.А., Волочий Б.Ю., Озирковский Л.Д., Змысный М.М.
Украина, Львов, Национальный университет «Львовская политехника».
ОТКАЗОУСТОЙЧИВАЯ СИСТЕМА С АДАПТИВНОЙ МАЖОРИТАРНОЙ СТРУКТУРОЙ
1. Постановка задачи
Для необслуживаемых программно-аппаратных радиоэлектронных систем (РЭС), предназначенных для длительной непрерывной эксплуатации, надежность обеспечивают путем использования отказоустойчивой системы (ОС) на основе мажоритарной структуры (МС) с фиксированным правилом принятия решения и скользящим резервированием технических систем (ТС) ядра [1, с. 156; 2, с.101]. Повышение надежности ОС с МС обеспечивает процедура реконфигурации, приведенная в [3] , где рассматриваются ОС на основе МС типа "2 из 3" и "3 из 5". Отказоустойчивая система со структурой типа "2 из 3" после отказа двух ТС ядра реконфигурирует, то есть продолжает работу последняя работоспособная ТС. Отказоустойчивая система со структурой типа "3 из 5" после отказа трех ТС ядра продолжает работу, как ОС с однократным резервированием. В этих вариантах реализации процедуры реконфигурации ОС теряет положительные качества мажоритарного принципа, а именно: защита от сбоев; отсутствие перерывов в работе при отказе ТС; простоту процедурконтроля и диагностики. Модели этих систем разработаны с допущением о том, что мажоритарный элемент (восстанавливающий орган) является безотказным. Это обуславливает абсолютную надежность процедуры реконфигурации, что в свою очередь снижает степень адекватности предложенных моделей.
Практический интерес представляет процедура реконфигурации ядра МС, которая позволяет сохранить мажоритарный принцип при уменьшении количества работоспособных ТС в ядре. Такие системы принято называть адаптивными мажоритарными структурами [4] .Однако в известных публикациях об отказоустойчивых системах с МС отсутствует модель для оценки эффективности такой процедуры реконфигурации по сравнению с другими реализациями ОС с МС.
Для решения поставленной задачи создано 2 модели, в которых учтены: изменение правила принятия решения и соответствующая реконфигурация ядра МС, наличие скользящего резервирования ТС ядра, ненадежная работа мажоритарного элемента (МЭ) и коммутатора скользящего резерва. С помощью этих моделей проведено сравнение надежности ОС на основе МС с реконфигурацией ядра и без реконфигурации. Исследована зависимость показателей надежности ОС от двух условий запуска процедуры реконфигурации .
2. Особенности структуры отказоустойчивой системы
В состав ОС на основе МС, структура которой представлена в [1] , входят: ядро МС, которое составляют ТС рабочей конфигурации; ТС скользящего резерва; мажоритарный элемент; детектор рассогласования; коммутатор. Начальное нечетное количество ТС в ядре может быть произвольным с соответствующим правилом принятия решения. Срединаходящихся в резерве ТС, первая в очереди на подключение в ядро находится в "горячем" резерве, а все остальные - в "холодном". Перевод ТС в "горячий" резерв, в программно-аппаратных РЭС, означает подачу напряжения электропитания и загрузку программного обеспечения. Для резервных ТС предусмотрены контроль и диагностика. Надежность детектора рассогласования, средств контроля и диагностики резервных ТС значительно выше других составляющих ОС.
3. Процедуры, которые формируют поведение отказоустойчивой системы
Процедура 1. Обнаружение неисправной ТС в ядре и ее отключение.
Процедура 2. Подключение ТС с "горячего" резерва в ядро. Процедура порождает альтернативу, связанную с подключением или не подключением ТС "горячего" резерва в ядро, которая возникает в результате сбоя в работе коммутатора. При не подключении ТС в ядро количество резервных ТС не изменяется. При следующей необходимости замены ТС в ядре она может быть подключена.
Процедура 3.Перевод ТС с "холодного" резерва в "горячий" резерв. Эта процедура характеризуется длительностью, которую определяют затраты времени на загрузку программного обеспечения. Процедура может быть успешной и неуспешной. В первом случае происходит перевод ТС с "холодного" резерва в "горячий". Во втором случае происходит изъятие ТС с "холодного" резерва. При следующем обращении к "холодному" резерву коммутатор может перевести в "горячий" резерв другую ТС.
Процедура 4.Реконфигурация ядра МС. Данная процедура предполагает изменение правила голосования в МЭ и соответственное изменение количества ТС в ядре. Рассматривается два предельных варианта для условия запуска процедуры "реконфигурация ядра МС".
1. В первом варианте реконфигурация ядра МС происходит после первого отказа любой ТС в ядре,
когда имеет место не подключение ТС скользящего резерва или исчерпан скользящий резерв. Детектор рассогласования, после выявления нарушения работоспособности одной ТС в ядре и установления того факта, что нарушением работоспособности является отказ, а не сбой, подает команду в МЕ о реконфигурации. После этого одна ТС переводится в резерв, а в ядре меняется правило принятия решения. Например, если в ядре 9 ТС и правило принятия решения "5 из 9", то после реконфигурации в ядре остается 7 ТС и устанавливается правило принятия решения "4 из 7". Ненадежность МЕ порождает альтернативу, связанную с успешной или неуспешной реконфигурацией ядра МС. Во втором случае ОС теряет способность к реконфигурации, но обеспечивает работоспособность до момента, когда в ядре останется ((N-1)/2) работоспособных ТС.
2. Во втором варианте реконфигурация ядра МС происходит в предаварийной ситуации, когда количество ТС в ядре становится минимальным для правильной работы МС, т.е. ((N+1)/2). Для конфигура-
ции отказоустойчивой системы, когда в ядре МС остается четное количество ТС, "лишняя" ТС ядра переводится в скользящий резерв. Например, если в ядре 7 ТС и правило принятия решения "4 из 7", то после реконфигурации в ядре остается 3 ТС, а правило принятия решения "2 из 3". Как и в первом варианте условия запуска процедуры реконфигурации, ненадежность МЕ порождает альтернативу, связанную с успешной или неуспешной реконфигурацией ядра МС. Во втором случае ОС продолжает работать без изменений и при очередном отказе ТС в ядре переходит в состояние катастрофического отказа.
Для разработки моделей ОС используется усовершенствованная технология аналитического моделирования поведения дискретно-непрерывных стохастических систем, которая обеспечивает автоматизацию построения модели в виде графа состояний и переходов на основе представления объекта исследования в виде структурно-автоматной модели [5]. Эта технология, реализована в программном модуле ASNA-1.
4. Разработка структурно-автоматных моделей отказоустойчивой системы
Согласно постановке задачи, разработаны две структурно-автоматные модели ОС для двух условий запуска процедуры реконфигурации ядра МС, соответственно модель № 1 и модель № 2.
С описания поведения ОС составляется перечень событий, которые могут происходить в ОС. События следует представлять парами, фиксируя начало и окончание соответствующего временного интервала, который соответствует определенному состоянию ОС. События, происходящие в ОС, обусловленные на-
дежностным поведением, представлены в табл. 1. Анализ представленных в таблице событий позволяет определить базовые события.
В перечень базовых событий включены события: "Отказ ТС в ядре МС", "Отказ резервной ТС ("горячий" резерв)", "Окончание процедуры перевода ТС с "холодного" резерва в "горячий" резерв", "Окон-
чание процедуры реконфигурации ядра МС". Эти базовые события являются исходной информацией для разработки 2 структурно-автоматных моделей ОС с реконфигурацией ядра МС.
Представление пар событий, которые фиксируют начало и окончание временного интервала пребывания исследуемой отказоустойчивой системы в определенном состоянии
Таблица 1
Пор. № пары событий Событие, которое фиксирует начало... Событие, которое фиксирует заключение ... Среднее значение длительности временного интервала между событиями, [сек]
1 „Начало работы системы" „Отказ ТС в ядре МС" ti
2 „Начало работы системы" „Отказрезервной ТС ("горячий" резерв)" І 2
3 „Начало процедуры обнаружения неисправной ТС в ядре МС" „Окончание процедуры обнаружения неисправной ТС в ядре МС" б4 II О
4 „Начало процедуры отключения неисправной ТС из ядра" „Окончание процедуры отключения неисправной ТС из ядра" І4 = 0
5 „Начало процедуры подключения ТС из "горячего" резерва в ядро МС" „Окончание процедуры подключения ТС из "горячего" резерва в ядро МС" t5 = 0
6 „Начало процедуры перевода ТС из"холодного" резерва в "горячий" резерв" „Окончание процедуры перевода ТС из "холодного" резерва в "горячий" резерв " їє
7 „Начало процедуры реконфигурации ядра МС" „Окончание процедуры реконфигурации ядра МС" і 7
Структурно-автоматная модель учитывает следующие параметры отказоустойчивой системы:
N - начальное количество ТС в ядре МС; M - количество ТС"холодного" резерва; Ап - интенсивность отказов одной ТС в ядре МС или резерве ("горячий" резерв);
Ат - интенсивность отказов резервной ТС ("холодный" резерв);РМЕ -вероятность успешного выполнения процедуры реконфигурации; Рн - вероятность успешного подключения ТС из резерва в ядро; Рс-вероятность успешного перевода ТС из "холодного" резерва в "горячий"; Тс - среднее значение продолжительности перевода ТС из "холодного" резерва в "горячий"; Tr - среднее значение продолжительности процедуры реконфигурации ядра МС.
Вектор состояний отказоустойчивой системы для модели № 1 представлен такими компонентами:
V1 - отображает текущее количество исправных ТС в ядре (начальное значение компоненты V1 равно
N) ;
V2 - отображает наличие ТС в "горячем" резерве: 1 - ТС присутствует, 0 - ТС отсутствует (на-
чальное значение компоненты V2 устанавливается в 1 или 0 в зависимости от исследуемой структуры);
V3 - отображает текущее количество исправных ТС в "холодном" резерве (начальное значение компоненты V3 равноМ);
V4 - отображает текущее значение минимального количества ТС в ядре, которые необходимы для правильной работы МЭ (начальное значение компоненты V4 равно (N+1)/2);
V5 - отображает текущее значение количества ТС в ядре, при котором происходит процедура реконфигурации (начальное значение компоненты V5 равно(N-1));
V6 - компонента, обеспечивающая возможность перехода в режим формирования модели ОС на основе МС без реконфигурации: 1 - модель ОС с реконфигурацией ядра МС; 0 - модель ОС без реконфигурации ядра МС.
Структурно-автоматная модель № 1 для первого варианта условия запуска процедуры реконфигурации представлена в табл. 2, в которой использованы следующие сокращения: ФРИБС - формула расчета
интенсивности базового события; ФРВАП - формула расчета вероятности альтернативного перехода; ПМКВС - правило модификации компонент вектора состояния.
Структурно-автоматная модель №1отказоустойчивой системы Таблица 2
Базовые события Условия и обстоятельства ФРИБС ФРВАП ПМКВС
1. Отказ ТС в ядре МС. (V1>0) AND (V2=1) V1*An Рн V2 : = 0
(V1>0) AND (V2=1) 1- Рн V1:=V1-1
(V1>0) AND (V2=0) 1 V1:=V1-1
2. Отказ резервной ТС ("горячий" резерв). (V2=1) Ап 1 V2 : = 0
3. Окончание процедуры перевода ТС с "холодного" резерва в "горячий" резерв. (V2=0) AND (V3>0) 1 /Тс Рс V2:=1; V3:=V3-1
1-Рс V3:=V3-1
4. Окончание процедуры реконфигурации ядра МС. (V1=V5) AND (V1>=3) AND (V2=0) AND (V6=1) 1 /Tr РМЕ t—1 t—1(4 H Lf) > H > > II II II II H (4 •З1 LT) > > > >
1 - Рме V1:=V1-1
Базовые события Условия и обстоятельства ФРИБС ФРВАП ПМКВС
V1 и < и и
(V1=V5) AND (V1>=3) AND V3 =V3+1;
1/Tr РМЕ V4 II < ' И 1
(V2=1) AND (V6=1) V5 =V5-2
1 - Рме V1 II < И И
Критерий катастрофического отказа: (V1<V4)
Разработанные структурно-автоматные модели являются универсальными для ОС на основе МС, со скользящим резервированием ее рабочих ТС и реконфигурацией ядра МС. При формировании системы дифференциальных уравнений принято, что продолжительность всех процессов, происходящих в системе, имеют экспоненциальное распределение и соответственно интенсивности событий являются постоянными во времени величинами.
Разработанные структурно-автоматные модели являются исходной информацией об объекте исследования для программного модуля ASNA-1, с помощью которого выполнены необходимые расчеты.
5. Исследование эффективности использования отказоустойчивой системы с реконфигурацией ядра мажоритарной структуры
5.1. Сравнение двух предельных вариантов выбора условия запуска процедуры реконфигурации ядра
МС.
Расчеты выполнены при следующих значениях параметров ОС: начальное количество ТС в ядре N=5;
интенсивность отказов ТС Ап=100 отказов за 106часов работы; среднее значение продолжительности перевода ТС из"холодного" резерва в "горячий"Тс=0,1 час.; среднее значение продолжительности процедуры реконфигурации ядра МС Tr=0,01 час.; вероятность успешного выполнения процедуры реконфигурации Рмэ=0,999; вероятность успешного подключения ТС из резерва в ядро Рн=0,999; вероятность успешного перевода ТС изсостояния"холодного" резерва в "горячий" Рс=0,999.
Исследования показали, что условие запуска процедуры реконфигурации ядра МС при заданных параметрах ОС не влияет на показатели ее надежности. Поэтому при проектировании необслуживаемых программно-аппаратных РЭС, использование ОС с первым или вторым вариантом реконфигурации ядра МС не является принципиальным, при одинаковых исходных параметрах.
soro їв ого is ого того кого юого кого *осоо
t, час
Рисунок 1 - Зависимость вероятности безотказной работы ОС от продолжительности ее эксплуатации
5.2. Сравнение надежности РЭС в двух вариантах реализации ОС на основе МС: с реконфигурацией
после первого отказа ТС в ядре и без реконфигурации ядра МС. Исследования проведены при значениях параметров, приведенных выше.
Исследования показали, что использование ОС с процедурой реконфигурации ядра МС по сравнению с ОС на основе МС без реконфигурациипри заданных параметрахповышает надежность, представленную средним значением продолжительности работы до катастрофического отказа: для ОС с правилом голосования "4 из 7" более чем в 2 раза, для ОС с правилом голосования "3 из 5" более чем в 1,5 раза.
5.3. Определение зависимости надежности РЭС, для модели ОС с условием запуска процедуры реконфигурации после первого отказа ТС в ядре, при различных значениях вероятности успешного проведения процедуры реконфигурации. Значения параметров ОС: начальное количество ТС в ядре N=7; интенсивность отказов ТС Ап=100 отказов за 106 часов работы.
Тс, час
18000
16000
14000
12000
10000
8000
6000
4000
2000
0
15704
15871
0.999 РМЇ
Рисунок 4 -Зависимость среднего значенияпродолжительности работы ОС до катастрофического отказа от вероятности успешного выполнения процедуры реконфигурации ядра МС
Проведенные исследования показывают, что для обеспечения высокой надежности необслуживаемых программно-аппаратных РЭС, вероятность успешного выполнения процедуры реконфигурации ядра МС должна быть не ниже Рмэ=0,99. Использование более надежного, а соответственно более дорогого МЭ для исследуемой ОС не дает увеличение среднего значения продолжительности работы РЭС до катастрофического отказа и вероятности безотказной работы на заданном интервале ее эксплуатации.
Выводы
Использование отказоустойчивой системы с реконфигурацией ядра мажоритарной структуры, в необслуживаемых программно-аппаратных РЭС, дает существенное повышение их надежности по сравнению с аналогичной ОС без реконфигурации.
Проведенным исследованием установлено, что различные условия запуска процедуры реконфигурации не влияют на значения показателей надежности РЭС.
Применение процедуры реконфигурации ядра мажоритарной структуры, позволяет использовать не отработанный ресурс и сохранить мажоритарный принцип при уменьшении количества работоспособных технических систем в ядре.
ЛИТЕРАТУРА
1. Арсеньев Ю.Н. Проектирование систем логического управления на микропроцессорных средствах / Ю.Н. Арсеньев, В.М. Журавлев. - М.: Высшая школа, 1991. - 319 с.
2. Надежность и эффективность в технике. Справочник Т.4: Методы подобия в надежности / [Под
общ.ред. В.А. Мельникова, Н.А. Северцева]. - М.: Машиностроение, 1987. - 280 с.
3. Федухин А.В. Моделирование надежности невосстанавливаемой системы со структурой типа «К из N» с реконфигурацией / А.В. Федухин, Н.В. Сеспедес-Гарсия // Радіоелектронні і комп'ютернісистеми. - 2009. - №7(41). - C. 82-84.
4. Кривоносов А.И. Структурно-алгоритмическая организация и модели надежности мажоритарно-
резервированных систем / А.И. Кривоносов, Н.К. Байда, А.А. Кулаков, В.С. Харченко, Н.П. Благодарный // Космічна наука і технологія. - 1995. - № 1. - С. 74 - 79.
5. Волочий Б.Ю. Технология моделирования алгоритмов поведения информационных систем / Б.Ю. Во-лочий. - Львов: Изд-во НУ "Львовская политехника", 2004. - 220 с.
