CC BY
29
УДК 681.51+192:681.3.06
СОБЫТИЙНЫЕ МОДЕЛИ ДУБЛИРОВАННЫХ СИСТЕМ С ВЕРСИОННО-ВРЕМЕННОЙ ИЗБЫТОЧНОСТЬЮ ПРИ КРАТНЫХ И ПАРНЫХ ДЕФЕКТАХ ПРОГРАММНО-АППАРАТНЫХ СРЕДСТВ
ХАРЧЕНКО В. С, ШУРЫГИН О.В.___________
Моделируются события, связанные с кратными и парными дефектами программных и аппаратных средств в дублированных структурах информационно-управляющих систем с временной и версионной избыточностью, не имеющих встроенных средств контроля каналов. Оценивается уровень контролепригодности и отказоустойчивости этих систем с применением детерминированных показателей. Даются рекомендации по выбору структур, которые отличаются количеством программных версий и алгоритмами обработки информации.
1. Введение
В информационно-управляющих системах, важных для безопасности критических приложений (в частности, АЭС [1,2]), реализуется принцип единичного отказа. Для его выполнения необходимо выявить все возможные причины отказов при проектировании и обеспечить работоспособность при любом исходном событии — отказе элементов (программных и аппаратных средств). Для этого следует предусмотреть средства, позволяющие обнаружить, локализовать и парировать возможный отказ. Одним из методов решения такой задачи является использование различных видов избыточности — структурной или аппаратной (для парирования устойчивых отказов), временной (для защиты от сбоев) и версионной (для обеспечения устойчивости к дефектам программных средств). Удачным примером отказоустойчивых структур являются дублированные структуры с комбинированной избыточностью (ДСКИ) [3]. В этих структурах в двух каналах реализуются различные программно -аппаратные версии, результаты работы которых сравниваются и при несовпадении осуществляется повторный счет (по тем же или другим версиям).
Множество возможных состояний работоспособности ДСКИ содержит три характерные области. Первая - множество исправных состояний. Вторая — множество работоспособных состояний с разным объёмом неисправностей. Третья - множество неработоспособных состояний, переходы в которые отличаются разным объёмом потерь. Опасные состояния располагаются во второй и третьей областях. Для многих систем со сложной структурой, создаваемых на принципах многоверсионности, довольно сложно учесть все опасные состояния элементов системы и пути перехода в них и из них.
Выделение на стадии разработки объекта исходных событий - «аварий», порождаемых кратными отказами (двух и более элементов системы в один момент времени) и парными отказами (двух и более элементов системы в разные моменты времени — при повторном счете), требует больших усилий и затрат. Хотя вероятность возникновения кратных и парных отказов значительно меньше, чем одиночных, и при анализе технико-экономических потерь ими можно пренебречь, для анализа безопасности этого делать нельзя. Статистика аварий показывает, что именно при кратных и парных отказах наиболее высока вероятность переходов системы в опасные состояния. Даже если удалось учесть все одиночные отказы, обеспечить высокий уровень безопасности не удается [4].
В работах [3,5] были проведены исследования моделей отказоустойчивости различных структур ДСКИ при одиночных отказах и сбоях (событиях). Результаты показали, что наилучшей является трех-
версионная структура {А, Б; В, А, в которой при первом выполнении функций реализуются версии А, Б, при втором (в случае несовпадения результатов) — версии В и А . В случае двухверсионной реализации функций наиболее предпочтительной является структура {А, Б; Б, А.
Цель данной работы—исследование отказоустойчивости одноверсионных структур {А, А; А, А и наилучших (при одиночных событиях) двух-, трех- и четырехверсионныхДСКИ ({А, Б; Б, А, {А, Б; В, А, {А, Б; В, А) при кратных и парных событиях (отказах). При этом используются структурно-логическая модель ДСКИ, модели аппаратных средств (АС), модели дефектов программных средств (ПС) и детерминированные показатели достоверности (полноты) контроля, глубины диагностирования и отказоустойчивости, основанные на переборе событий, связанных с отказами, сбоями и программными дефектами различных компонент [5].
2. Основные положения и принятые допущения
На рис. 1 показаны элементы ДСКИ, где могут иметь место кратные и парные события.
Под кратным событием, происходящим в системе при выполнении версии Vij на интервале [0, т], будем понимать: сбои, устойчивые отказы АС, а также дефекты ПС, проявляющиеся во время Ц є 0, х; t2 є 0,х в различных каналах. Первая позиция индекса (i) версии V указывает на номер канала, вторая (j) -на номер интервала.
Под парным событием, происходящим в системе при выполнении версии Vij на интервалах [0, г], [г,2г], будем понимать: сбои, устойчивые отказы АС, а также дефекты ПС, проявляющиеся во время tn є 0,х; tj2 єх,2х в одном канале.
РИ, 2003, № 1
65
1 канал
2 канал
Рис.1. Элементы структуры, временные интервалы, где могут иметь место кратные и парные события
Расчёты детерминированных показателей с учётом влияния кратных и парных дефектов проводятся при следующих условиях и допущениях: кратное или парное событие за время анализа происходит одно; при совпадении результатов повтор не производится; кратное событие невозможно в одном канале; парное событие невозможно в двух каналах; средства сравнения абсолютно надежны.
Дефекты делятся на связанные и несвязанные. Связанные имеют место одновременно как в программной, так и в аппаратной компонентах. Несвязанные дефекты возникают или в программной, или в аппаратной компоненте.
3. Оценка влияния кратных и парных дефектов на детерминированные показатели
Оценка проводится с использованием моделей множеств событий, которые могут иметь место в рассматриваемых структурах при соблюдении введенных условий и допущений. Более тёмным цветом для всех моделей обозначено множество ПС. Темными точками на множествах АС и ПС обозначены возможные одиночные дефекты, сплошными линиями между тёмными точками на множестве АС показаны несвязанные кратные и парные дефекты. Во всех рассматриваемых моделях пунктирными линиями между тёмными точками на множестве ПС показаны несвязанные кратные и парные дефекты, а пунктирными линиями между тёмными точками на множествах АС и ПС показаны связанные кратные и парные дефекты. Буквами А, Б, В, Г указаны различные версии выполнения функции (рис. 2-9).
АС систем включают: совместные АС версий, образующие ядро системы (показаны пересечением множеств); индивидуальные АС версий - оболочки системы (например, средства хранения различных программ выполнения одноименных функций); средства сравнения, обеспечивающие сравнение результатов выполнения функций в каналах на первом и втором интервалах (на рис. 2-9 не показаны). К ядру относятся те средства, участвующие в реализации двух версий, отказ которых ведет к отказу канала. Отказ индивидуальных АС версий делает невозможным реализацию только одной из них.
Дефекты версий ПС состоят из: абсолютных дефектов, которые обусловливаются неполнотой, некорректностью технического задания и другими причинами, общими для всех программных версий (показаны пересечением множеств); относитель-
ных дефектов, характерных только для одной версии и обусловленных индивидуальными ошибками, внесенными при ее проектировании и не обнаруженными при тестировании; групповых дефектов, являющихся общими для двух и трех версий [6] (показаны пересечением двух, трёх множеств). В событийных моделях ДСКИ показана только основная часть множеств возможных кратных и парных событий из-за их большого количества в рассматриваемых двух-, трёх- и четы-рёхверсионных структурах. Подразумевается, что точки, обозначающие отказы, сбои АС, относительные, групповые, частично групповые (для че-тырёхверсионных структур), абсолютные дефекты ПС в разных каналах в один момент времени (при кратных событиях) или в одном канале в разные моменты времени (при парных событиях), соединены между собой линиями, указывающими на возможность возникновения различных связанных и несвязанных кратных и парных событий.
Модели множеств возможных кратных и парных событий в рассматриваемой одноверсионной структуре представлены на рис. 2 и 3.
На рис. 2 множества ПС обозначены АП, множества АС — Af , АА • Нижний индекс указывает номер канала, верхний индекс — принадлежность программным, аппаратным средствам. На рис. 3 обозначение нижнего индекса АС указывает временной интервал выполнения функции.
Рис. 2. Модель множеств возможных кратных событий в одноверсионной структуре
Рис. 3. Модель множеств возможных парных событий в одноверсионной структуре
66
РИ, 2003, № 1
Модели множеств возможных кратных и парных событий в рассматриваемых двух-, трех- и четырех-версионной структурах приведены на рис. 4-9 соответственно.
Рис. 4. Модель множеств возможных парных событий в двухверсионной структуре
Рис. 5. Модель множеств возможных кратных событий в двухверсионной структуре
Рис. 6. Модель множеств возможных кратных событий в трёхверсионной структуре
В результате анализа рассмотренных моделей событий построены диаграммы возможных значений числа событий М, значений полноты контроля, глубины диагностирования, уровня дефектоустойчивости для выбранных структур.
РИ, 2003, № 1
Рис. 7. Модель множеств возможных парных событий в трёхверсионной структуре
Рис. 8. Модель множеств возможных кратных событий в четырёхверсионной структуре
Рис. 9. Модель множеств возможных парных событий в четырёхверсионной структуре
67
На диаграммах по оси абсцисс показаны упрощенные схемы четырёх выбранных структур, где первая (вторая) строка соответствует версиям, выполняемым в первом (втором) канале на интервалах [0, т] и [т,2т]. Диаграмма возможных событий приведена на рис. 10.
М
Рис. 10. Диаграмма возможных кратных и парных событий в системах (парные события обозначены более плотной штриховкой)
По оси ординат приведено число возможных кратных и парных событий в системе М . Величины чисел М формируются исходя из анализа моделей множеств возможных кратных и парных событий в структурах различной версионности, учитывая, что в компонентах АС возможны сбои и отказы, а в компонентах ПС возможны проявления относительных, групповых и абсолютных дефектов.
Результаты вычислений частных детерминированных показателей [2] приведены в таблице.
Частные детерминированные показатели Варианты структур
А А А А А Б Б А А Б В А А Б В Г
Т А ^кр. 1 1 1 1
Т А ^пар . 1 1 1 1
Т А,П Ткр. 1 1 1 1
Т А,П Тпар. 1 1 1 1
Т П ^кр. 1 1 1 1
Т П ^пар. 0 1 1 1
0кр.А 0,125 0 0 0
А Опар. 0 0 0 0
Окр.^ 0 0 0 0
ОпЯр А’П 0 0 0 0
ОкрП - 0 0 0
°пар. 0 0 0 0
d^ 0,125 1 1 1
Йпар. 1 1 0,5 0,5
d А,П dm 0 0,66 0,66 0,142
Йпар.^ 0 0,5 0,36 0,2
dкp.П - 0,25 0,5 0,07
d П Чпар. 0 0,66 0,06 0
68
В таблице указаны следующие частные детермини-
А А
рованные показатели: LКр , Ьтр — полнота контроля несвязанных кратных и парных дефектов, соответственно, аппаратной компоненты; LmjP , ^КрП — полнота контроля связанных парных и кратных дефектов, соответственно, аппаратной и программной компоненты; Ь'Лар , Ь^р — полнота контроля несвязанных парных и кратных дефектов, соответственно, программной компоненты; q пар ,
—глубина диагностирования несвязанных парных и кратных дефектов, соответственно, аппаратной компоненты; q щр1, q КрП — глубина диагностирования связанных парных и кратных дефектов, соответственно, аппаратной и программной компоненты; q пар , q Кр — глубина диагностирования несвязанных парных и кратных дефектов, соответственно, программной компоненты; d пар , d кр — уровень дефектоустойчивости несвязанных парных и кратных дефектов, соответственно, аппаратной компоненты; d Пар, d КрП — уровень дефектоустойчивости связанных парных и кратных дефектов, соответственно, аппаратной и программной компоненты; d Пар , d Кр — уровень дефектоустойчивости несвязанных парных и кратных дефектов, соответственно, программной компоненты.
Оценка детерминированных показателей проведена путем сопоставления всех возможных кратных и парных событий в выбранных системах, при которых отказы и сбои, обусловленные дефектами аппаратных и программных средств, обнаруживаются, локализуются, парируются. Результаты вычислений и их сравнительный анализ приведен на рис. 11 в зависимости от варианта возникновения дефектов.
ЬкрЩкрД
1-.
0,8-
0,6-
0,4
0,2-
0-
■ЗУ
А А
А А
А Б
Б А
А Б
В А
1а
А Б
В Г
LnapjQnaps dn
а
£Э С. ^:
“1 ZI л а
А А і К Б 1 К Б А Б
А А Б А В А В Г
б
Рис.11. Диаграмма полноты контроля, глубины диагностирования, уровня дефектоустойчивости при кратных (а) и парных (б) дефектах
РИ, 2003, № 1
4. Анализ результатов
Анализ полученных моделей диаграмм различных показателей позволяет сделать обобщенные выводы о свойствах систем с комбинированной избыточностью:
— при кратных и парных дефектах полнота контроля во всех выбранных структурах максимальна. Это обусловлено тем, что разные дефекты программных и аппаратных средств каналов приводят к различным результатам выполнения функций;
— во всех выбранных структурах при кратных и парных дефектах глубина диагностирования мала ввиду того, что кратные и парные дефекты одновременно охватывают две версии. Обеспечить более высокую глубину диагностирования возможно, применяя тройной просчёт;
—уровень дефектоустойчивости увеличивается при переходе к двух- и трехверсионным структурам.
5. Выводы
Особенность исследованных структур - отсутствие встроенных средств контроля и возможность автоматической локализации неисправностей, которая достигается применением комбинированной (струк-турно-версионно-временной) избыточности в разных вариантах построения структур. Вследствие этого время поиска работоспособной конфигурации незначительно, что соответствует требованиям для систем, работающих в реальном масштабе времени. Поэтому для необслуживаемых систем с высокими требованиями безопасности и надёжности рекомендуется применять трех- и четырёхвер-сионные ДСКИ.
Для обслуживаемых систем, где важно зафиксировать факт неисправности и принять правильное решение для ее устранения, рекомендуется применять двух- и трехверсионные ДСКИ. Глубина диагностирования таких структур может быть увеличена применением модифицированного дуального программирования, где наряду с достаточно точной, но сложной основной программой используется менее точная, но простая резервная программа.
Таким образом, данный подход позволяет на этапах проектирования проводить анализ безопасности специальных архитектурных решений с применением многоверсионного программирования и тем самым управлять достижением требуемой надежности и безопасности информационно-управляю-щих систем.
Литература: 1. Ястребенецкий М.А., Розен Ю.В., Виноградская С.В., Гольдрин В.М., Спектор Л.И., Васильченко В.Н. Нормирование и оценка безопасности информационных и управляющих систем АЭС: регулирующие требования к ИУ С // Ядерная и радиационная безопас -ность. 2001. № 3. С. 3-11. 2. Харченко В. С., Ястребенецкий М.А., Васильченко В.Н. Нормирование и оценка безопасности информационных и управляющих систем АЭС: требования к программному обеспечению ИУС // Ядерная и радиационная безопасность. 2002. № 1. С.14-29. 3. Харченко В.С., Ильина О.В. Выбор архитектур дефектоустойчивых вычислительных систем с последовательно-параллельным выполнением задач // Электронное моделирование. 1998.№2. С.77-90. 4. ВоликБ.Г. О концепциях техногенной безопасности // Автоматика и телемеханика. 1998. №2. С. 165-170. 5. Харченко В.С. Шурыгин О.В. Детерминированная оценка показателей отказоустойчивости дублированных структур с временной и версионной избыточностью // Электронное моделирование. 2000. Т.22, №3. С.41-52. 6. Харченко В. С. Теоретические основы дефектоустойчивых цифровых систем с версионной избыточностью. Харьковский военный университет, 1996. 503с.
Поступила в редколлегию 03.11.2002
Рецензент: д-р техн. наук, проф. Кривуля Г.Ф.
Харченко Вячеслав Сергеевич, Заслуженный изобретатель Украины, д-р техн. наук, профессор, заведующий кафедрой компьютерных систем летательных аппаратов Национального Аэрокосмического университета им. Н.Е. Жуковского “ХАИ”. Научные интересы: надежность, живучесть и безопасность критических компьютерных систем и технологий. Адрес: Украина, 61070, Харьков, ул. Чкалова, 17, тел (0572) 44-25-14, 4423-56.
Шурыгин Олег Викторович, старший научный сотрудник лаборатории Научного метрологического центра (военных эталонов). Научные интересы: методы и средства обеспечения отказоустойчивости информационных систем управления, надежность воспроизведения и передачи физических величин. Адрес: Украина, 61000, Харьков, ул.Полтавский Шлях, 186, тел (057) 772-80-63
РИ, 2003, № 1
69
