Поддержание информационной целостности вычислительных сетей АС УВД Текст научной статьи по специальности «Компьютерные и информационные науки»

2006

НАУЧНЫЙ ВЕСТНИК МГТУ ГА серия Прикладная математика. Информатика

№ 105

УДК 629.735.015:681.3

ПОДДЕРЖАНИЕ ИНФОРМАЦИОННОЙ ЦЕЛОСТНОСТИ ВЫЧИСЛИТЕЛЬНЫХ СЕТЕЙ АС УВД

М.А. ЧЕРНИКОВА

Статья представлена доктором технических наук, профессором Рудельсоном Л.Е.

Рациональная избыточность необходима информационной системе для поддержания целостности, однако повышает риск рассогласования данных в ходе вычислительного процесса. В статье предложена технология нейтрализации нарастающих искажений информации, основанная на самоконтроле и регулировании данных. Найдена оптимальная стратегия, гарантирующая минимальные затраты ресурсов при заданной вероятности поддержания достоверности.

1. Введение

Компьютерная обработка информации о воздушных судах (ВС), совершающих полеты, связана с риском потери целостности данных. Вследствие того, что каждый комплекс программ сопровождает собственную копию описания объектов о каждом аэродроме, о каждом источнике радиометрической и плановой информации, о ситуации в секторах - в базе данных (БД) системы создаются автономно обновляемые и дополняющие друг друга описания. Частично они совпадают друг с другом, частично - различаются. Один и тот же объект - ВС - представляется отдельно плановой подсистемой, отдельно - подсистемой обработки радиолокационной информации, отдельно - подсистемой обработки данных автоматического зависимого наблюдения. При этом описания ВС корректируются диспетчерским персоналом. Каждый акт приема-передачи управления, смены позывного ВС, уточнения параметров движения, последовательно выполняемые различными диспетчерами, фиксируются в каждой копии как в компьютерах рабочих мест, так и в БД сервера системы. Моменты фиксации разнесены во времени и подчинены установленной в локальной сети дисциплине обмена и доступа. Каждая подсистема в соответствии со своими задачами использует различные схемы расчета траектории полета. В результате, в процессе непосредственного управления разные копии одного объекта начинают существенно отличаться, что приводит к потере целостности, к выдаче на экран недостоверных данных, к ошибкам в расчетах. Неоднозначность копий становится причиной выдачи на экран противоречивой информации и другим последствиям, совпадающим по характеру проявлений с результатами недостаточной отладки программного обеспечения (ПО). Нейтрализация рассогласований осуществляется, как правило, перезапуском системы. Все копии формируются заново и становятся непротиворечивыми. Однако при этом теряется часть информации, которая вследствие недостаточной синхронизации привела к нарушению целостности [1,2].

Рассмотрим схему согласования данных, сопровождаемых различными КП, и рассредоточенных в копиях рабочих мест и сервера вычислительной сети. Логика работы альтернативной схемы согласования данных состоит в том, чтобы в процессе нарастания отклонений не дожидаться момента потери целостности, приводящего к информационному отказу, а своевременно обнаруживать неизбежно возникающие отклонения и оперативно разрешать их. Для выполнения этой функции необходимо определить критерии обнаружения рассогласования данных и построить стратегию их применения, гарантирующую минимальные затраты вычислительных ресурсов при заданной вероятности поддержания достоверности информации.

2. Постановка задачи.

Классифицируем причины рассогласования данных о ВС в описаниях различных КП:

• использование различных математических схем прокладки траектории ВС;

• нарушение синхронизации обновления копий в различных узлах сети;

• непредсказуемые искажения информации (сбои программ и аппаратуры).

Радикальным средством устранения причин первой группы явилось бы объединение описаний различных КП в одно, сопровождаемое совместно.

Необходимо учесть, что несколько пользователей одной записи в процессе ее сопровождения вступают друг с другом в информационные конфликты как на общем поле памяти, так и по нарушению отношений предшествования. В результате объединения на первый план выдвигаются причины второй группы. В любом случае применение единой расчетной схемы предъявляет требования к выравниванию погрешности входной информации в процессе УВД.

Причины второй группы обусловлены стохастическим характером изменения информации о движущихся ВС. Корректировки копий, хранящихся на сервере, рассылаются по рабочим местам диспетчеров секторов, управляющих этими ВС. Отправленные сервером кодограммы достигают адресатов не одновременно. На этот нерегулярный поток накладывается встречный, складывающийся из реакций ПО на вводы функций с рабочих мест диспетчеров. С известной вероятностью встречные сообщения могут содержать противоречивую информацию о навигационных и других параметрах ВС. Такие ситуации должны анализироваться ПО, и результирующие изменения данных всех участников процесса взаимодействия должны фиксироваться одинаково. Для достижения однозначности организуются дисциплины квитирования обмена и выставления пауз выравнивания копий.

Нейтрализация причин третьей группы, в силу непредсказуемости искажения данных в результате их воздействия, основывается на статистическом наблюдении. Обнаружить нарушение информационной целостности можно таким простым способом, как последовательными вычислениями контрольных сумм значений всех полей записи об объекте и сопоставлениями со значениями, вычисленными в момент предыдущего включения процедуры. Эти же контрольные суммы используются для выравнивания содержимого копий, хранящихся на других рабочих местах сети. При каждом санкционированном изменении записи суммы пересчитываются заново, и рассогласование данных обнаруживается только в случаях, если изменения вызваны нарушениями вычислительного процесса.

Сформулируем задачу поддержания информационной целостности ПО АС УВД. Должна быть разработана трехступенчатая схема нейтрализации рассогласования информационных копий управляемых объектов, обеспечивающая:

• целостность описания навигационных параметров ВС в копиях взаимодействующих КП за счет ранжирования данных по приоритетности источника (первая ступень);

• синхронизацию санкционированных изменений данных во всех сопровождаемых копиях каждого описания ВС (в различных узлах локальной вычислительной сети и в различных КП) за счет квитирования обмена (вторая ступень);

• защиту данных от несанкционированного доступа и от непредсказуемых искажений вследствие аппаратных и программных сбоев в процессе обработки информации.

Упрощенную схему процедуры поддержания целостности можно описать следующим образом.

Первая ступень включается функциональными КП по событиям завершения обработки кодограмм, поступивших от источников информации о движении ВС (плановые сообщения, доклады АЗН, данные пеленгаторов и радаров), а также с рабочих мест. Рассчитанные разными КП текущие параметры движения сопоставляются и при необходимости выравниваются по данным приоритетного КП. Наименьшей погрешностью отличаются данные АЗН, наибольшей - теле-

граммы плановой подсистемы. Изменения фиксируются в кодограммах сетевого обмена и рассылаются для согласования копий. По каждому факту обмена выставляется пауза ожидания квитанции, подтверждающей прием посланной кодограммы абонентом.

Вторая ступень тактируется прерываниями от таймера системы. При каждом подключении анализируется, поступила ли квитанция о завершении обмена. В случае успешного исхода выставленная пауза аннулируется. Если же по истечении паузы квитанция так и не поступила отправителю, процедура повторяет рассылку.

Третья ступень также включается периодически. По каждой записи о ВС, содержащейся в каждом узле сети, формируются кодограммы, содержащие ключевые параметры (контрольные суммы полей записи) и значение момента времени последнего обновления соответствующей копии. Сформированные кодограммы рассылаются по сети и фиксируются в файле сопоставления. При обнаружении расхождения значений ключевых параметров, вычисленных в разных узлах сети, производится выравнивание информации. Приоритетной считается запись с более поздним временем обновления данных.

Формализуем поставленную задачу отыскания оптимальной последовательности вмешательств в вычислительный процесс для нейтрализации рассогласования информации.

3. Формализация задачи

Модель процесса анализируется в векторном информационном пространстве БД. Каждая запись интерпретируется как вектор X, координаты которого X], х2,..., х-,..., х3 представляют собой численные значения длины пути доступа к записи по каждому из входящих в нее атрибутов, ] = 1, 3 - порядковый номер атрибута, 3 - количество атрибутов записей. Таких векторов, отображающих достижимость данных, насчитывается N по числу записей, хранящихся в системе. Эффективность управления характеризуется в каждый момент I длительностью доступа (длиной или временем прохождения пути поиска) к запрошенным записям. Количество 3 путей

доступа к любой записи, равное количеству атрибутов, определяет размерность вектора XN3 (^) состояния системы:

хN3 (>) = "|хN1 (гХ. - ХЩ (Х. - ХШ ()!

Установив предельно допустимую длину Ь0 для любого пути доступа или задав последовательность [Ь0]} для каждого пути, можно в качестве оценки состояния системы принять:

Хю-«) < 1

шах--------< 1.

] Ь0 ] _

Если в некоторый дискретный момент значение хотя бы одной координаты XNj ) превысит соответствующий ей порог Ь0 -, то процесс управления данными требует оперативного вмешательства, восстанавливающего нарушенную меру состояния. При этом вмешательство (регулирование) можно осуществлять либо по событию ввода новой записи и установления путей доступа к составляющим ее атрибутам, либо посредством организации периодических процедур анализа текущих значений Ь0-. Первый способ экономичнее по затратам ресурса времени, второй более универсален и может применяться на всех трех ступенях поддержания целостности данных. Каждый акт регулирования состоит в перераспределении запросов очередей в ступенях процедуры, позволяющем не допускать превышения XNj (^) над Ь0-. Как правило, преобразование фрагментов очередей выполняется тем быстрее, чем короче существующие пути доступа. Если наряду с последовательностью пороговых значений [Ь0 -} задать последовательность критических уровней Ьс-, Ьс] < Ь0-, то профилактическое регулирование очереди следует

производить уже при нарушении условия XNj (^) < Ь ..

сс

Обозначим затраты времени на оперативное вмешательство как Т0, на профилактическое -Тр (Т0 > Тр), на вычисление длины пути доступа — Тт. -Пусть за время t набл^эдения было выполнено оперативных и qp профилактических корректировок, а количество измерений длины

XNj пути доступа составило qm (для стратегии периодического анализа очередей qm = t / Дt, Дt - период измерений длины). Тогда суммарные затраты времени Тъ на динамическую оптимизацию управления данными составят Тъ = qoTo + qpTp + qmTm . Если в дискретный момент времени qm Дt хотя бы для одного ] координата X N. (qm ■ Дt )> Ьс., но для всех ] соблюдается XNj {qm •Дt)< Ьо] , то производится профилактическое регулирование ]-го фрагмента очереди. Решение состоит в выборе либо шага Дt вычисления параметров X N. и значений Ьс ., либо разности пороговых значений ДЬ = Ьо. - Ьс., при которых средние (по интервалу наблюдения) затраты Т^ времени:

Т = Т (д?,Ьс1,...,ьс ) = Иш1ТЯо (t)+Тр<1р (t)+Та (t)

V ] / t

______________ Р1Р

t

будут минимальными, т.е. Т- = дихл {Т (Дt,Ьс. )}.

Для отыскания оптимальной стратегии выбора Тъ необходимо ввести ряд допущений на параметры процессов наблюдения и измерений, процедур профилактического и оперативного регулирования, и показать их справедливость в приложении к исследуемой модели. Отправным пунктом формализации становится аппроксимация дискретного описания области определения

оценочной функции Тъ. Нужно сопоставить каждой координате {х. (^)} вектора X з квазине-прерывный случайный процесс X. (t), сглаживающий измеренные значения по линейной схеме с учетом последовательного применения управляющих воздействий. Пусть х 0- ^ 0) = х 0 есть значение ]-й координаты до первой регулировки. Пусть, кроме того, первое вмешательство (оперативное или профилактическое) произведено в момент ql Дt. Обозначим через х1 (г) значение]-й координаты, достигнутое в результате первой корректировки для всех т < q2 • Дt, где q2 • Дt -момент второго регулирования (вообще, qj • Дt - момент /-го регулирования) и т.д. Определим:

х0 (г) , 0 <г< q1 •Дt,

|-х](ч), (ql^0-

х5 (qlДt)+(q2 •Дt)- х] (^)+х2 (г)- х] (tl), (q2 ^Д1:) < т < (qз • Д)

-

х] (qlДt) + ^ (т)-х] (to), (ql •Дt) < Т < (q2 •ДtX

Первое ограничение на предлагаемую модель случайного процесса изменения векторов {х] (t)} {Х] (г)} вводится для обоснования допустимости использования оценочной функции,

усредняемой по времени при t ® ¥ , к выбору стратегии Тъ (усреднение по множеству £ компонент затрат ресурсов {Т^}). Пусть векторный процесс X. (т) = {Х (г),..., X. (т),..., Хз (г)}, т> 0,

имеет стационарные приращения, представимые эргодическими составляющими (процессами). В приложении к измерениям пути доступа к элементам очереди правомерность данного огра-

ничения следует из анализа модели образования и удаления записей.

Второе ограничение говорит о свойстве ординарности процесса образования очереди. Вероятность нарушения одновременно (при At — 0 ) более чем одной меры х. (^) < Ь . состояния

J С]

пренебрежимо мала: Р {х. ^) < ЬС], хк (t) < Ьск, х. (t + At) > ЬС], хк (t + At) > Ьск }— 0,

] Ф к; ], к =1,3 . Заметим, что для описания модели поддержания целостности в векторном информационном пространстве данное ограничение несущественно, так как не затрагивает свойства эргодичности приращений процессов X] (). Однако без его введения возникают затруднения при расчете значений параметров qo(t), qp(t) и qm(t) для всех непериодических компонент затрат ресурсов времени на сопровождение данных.

Третье ограничение вводится как обоснование достаточности перехода от дискретной совокупности измеренных координат вектора XN. к квазинепрерывному описанию процесса наблюдений. Допустим, что на каждом интервале наблюдений {к • At, (к +1)- А^ каждый процесс { (•) с исчезающе малой ошибкой аппроксимируется сплайном третьего порядка, т. е. с привлечением соседних наблюдений (к — 1) • At, (к +1) • At. Тогда, если результаты измерений s-й компоненты ресурса времени (вычисление пути доступа, сопоставление ключевых параметров) представимы как совокупность ВХ1 = {{ (к • At);к = 0,1,...;] = 1,3;1 = 1,Я}, то после сглаживания

сплайнами она преобразуется к виду: ВЕ х = {{^ (т); ] = 1,3; 1 = 1, Я}, где {(т) - значения процесса (т) для 1-й компоненты затрат ресурсов системы.

Четвертое ограничение обосновывает правомерность автономного рассмотрения Я компонент ресурсов времени, затрачиваемого на измерение координат х. ^) процесса управления

данными. Пусть как измеренные ВХ1, так и сглаженные ВЕ1 данные, независимо от 1, распределены одинаково и при любом 1 Ф к; к, 1 = 1, Я не коррелированны друг с другом. В приложении к вычислению длины путей доступа и сопоставлению ключевых параметров справедливость ограничения очевидна: первое отображает процесс образования и удаления записей, второе - воздействие на информацию потока сбоев и отказов.

Пятое ограничение - отсутствие последействия - говорит о том, что регулирование координат процесса не сказывается на природе их дальнейшего изменения. Правомерность допущения нетрудно показать, так как интенсивности поступления записей или потока событий искажения их содержимого определяются внешними причинами. Тем не менее, введение последних допущений, в силу их очевидности, позволяет строго утверждать, что наблюдаемые фрагменты х] ^ • At) и результаты их аппроксимации процессами (т) имеют идентичные распределе-

ния. Это означает, что оптимальность выбранной стратегии становится инвариантной относительно количества произведенных вмешательств.

При сделанных допущениях результаты 7 регулирования, полученные при оптимальном

~ * (без учета регулирующих воздействий) значении At (или AЬС), можно пересчитывать в ТЕ ,

* *

полученные при новых значениях параметров At (ALС ) и других критических уровнях

* * * * *

ЬС. , ] = 1,3. При этом отыскивается 7^ ^) = Т^а ^) + Tpqp ^) + Т^т ^) (для регулярных ком**

понент qm = ts / At , где ts - время наблюдения за 1-й компонентой затрат ресурсов системы). В силу эргодичности приращений векторного процесса найденные значения можно усреднить по Я компонентам (1 = 1, Я):

* 1 * Tz(<) = ё 2 Tss (t )•

S s=1

Если

* ~ 1 ^ ~ Ts (г) < Ts (I) = - 2 Ъ, (I),

S s=1

* * *

то новая стратегия A ,L c1,...,L cj I лучше исходной по критерию суммарных затрат времени на

процедуры динамического управления данными, независимо от количества вмешательств (регулирований).

4. Заключение

Рассмотрена схема согласования данных, сопровождаемых различными КП и рассредоточенных в копиях рабочих мест и сервера вычислительной сети. Логика ее работы состоит в том, чтобы в процессе нарастания отклонений не дожидаться момента потери целостности, приводящего к информационному отказу, но своевременно обнаруживать неизбежно возникающие отклонения и оперативно разрешать их. Для выполнения этой функции определены критерии обнаружения рассогласования данных и построена стратегия их применения, гарантирующая минимальные затраты вычислительных ресурсов при заданной вероятности поддержания достоверности информации.

ЛИТЕРАТУРА

1. Rudel’son L.Ye. The Ordering of Information Fields in Alterable Files of Records of Variable Length. Journal of Computer and Systems Sciences International // USA, Vol. 32, № 1, 1994, pp. 164-170.

2. Мартин Дж. Организация баз данных в вычислительных системах / Пер. с англ. - М.: Мир, 1980.

INFORMATION INTEGRITY SUPPORT of COMPUTER NETWORKS FOR AUTOMATED

CONTROL SYSTEM OF AIR MOVEMENT

Chernikova M.A.

Rational redundant dimensioning is essential for an informational system in order to maintain its integrity, but at the same time it increases risk for data mismatch during the computation process. The article offers an Accelerating Information Distortion Neutralization Technology, based on data autosurveillance and regulation. The optimal strategy, providing minimal resource expenditure at any given accuracy maintenance probability, is found.

Сведения об авторе

Черникова Марина Александровна, окончила МГТУ ГА (2004), аспирантка МГУТ ГА, автор 6 научных работ, область научных интересов - программное обеспечение планирования полетов воздушных судов.