ESTIMATION OF FUNCTIONAL SAFETY FOR THE DUPLICATED COMPUTING SYSTEMS
КРАТКИЕ СООБЩЕНИЯ
УДК 681.3
ОЦЕНКА ФУНКЦИОНАЛЬНОЙ БЕЗОПАСНОСТИ ДУБЛИРОВАННЫХ ВЫЧИСЛИТЕЛЬНЫХ СИСТЕМ В.А. Богатырев, С.В. Бибиков
Предложена уточненная оценка функциональной безопасности дублированной вычислительной системы с учетом периодичности контроля и возможности перехода в опасное состояние из-за необнаружения отказа одной из машин системы. Ключевые слова: безопасность, опасный отказ, защищенный отказ, дублированная система.
Задача обеспечения высокой надежности компьютерных систем, связанных с безопасностью, в том числе на транспорте, требует оценки интегральной и функциональной безопасности. Под интегральной понимается безопасность всей системы управления, а под функциональной – безопасность подсистемы, обеспечивающей безопасность [1]. В двухмашинных компьютерных системах, связанных с безопасностью, все вычисления, как правило, дублируются, при этом реализуется взаимоконтроль машин, основанный на сравнении результатов, а также на периодическом тестировании, проверке контрольных сумм и других методах [2–4]. Для дублированных систем к опасным состояниям относят состояния с отказом двух машин (с отказом процессора или памяти в каждой из них), так как при отказе одной из машин в результате взаимоконтроля этот отказ будет обнаружен и система переведена в защищенное (безопасное) состояние.
Вероятности опасного и безопасного отказа, интенсивность опасных отказов и среднее время до опасного отказа дублированной системы определяют [2] следующим образом:
Qоп (t) (1 eλt )2 λ2t2 ; PБ (t) 1 (1 eλt )2 1 λ2t2 ;
λоп (t)
PБ22 (t) PБ22 (t)
2λ(1 eλt ) 2 eλt
2λ2t
;
Tоп
PБ (t)dt
0
(2eλt
0
e2λt )dt
2 λ
1 2λ
3 2λ
,
где λ – суммарная интенсивность отказов одного компьютера (включая отказы процессора, оперативной
памяти и постоянной памяти, используемой для начальной загрузки).
Для уточнения оценки будем рассматривать в качестве опасного не только состояние с отказом
двух каналов устройства, но и с отказом одного канала при необнаружении средствами контроля соот-
ветствующего отказа. Показатели безопасности дублированной системы в этом случае определим как
Qоп (t) (1 eλt )2 2(1 eλt )eλt (1/(2m 1)) ; Tоп PБ(t)dt (1((1eλt )2 2(1eλt )eλt (1/(2m 1)))dt , 00
где 1 / (2m 1) вероятность не обнаружения ошибки при контрольном суммировании. Учитывая, что при
отсчете каждого периода контроля iτ (i = 1, 2, …) возможен переход в состояние опасного отказа или отсчет следующего (i+1)-го интервала, среднее время до опасного отказа определим как
Tоп τQоп (t) i 11 Qоп (t)i . i 1
Расчетами установлено, что при периодичности контроля τ = 15 с и λ = 0,2245·10–6; 6,209·10–6; 20,9·10–6 1/ч среднее время до опасного отказа равно соответственно Tоп = 3,18·1015; 6,11·1012; 5,46·1011 ч, что показывает высокую безопасность исследуемых систем. Дополнительно увеличить надежность и безопасность дублированных вычислительных систем при необходимости можно в результате их реконфигурации [5, 6].
Таким образом, предложена оценка функциональной безопасности дублированных вычислительных систем с учетом периодичности контроля и возможности необнаружения отказа одной из машин комплекса, что исключает требуемый переход системы в защищенное состояние.
1. ГОСТ Р МЭК 61508-1-2007. Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 1. Общие требования. – Введ. 27.12.2007. – М.: Госстандарт России. – 96 с.
2. Сапожников В.В., Сапожников В.В., Шаманов В.И. Надежность систем железнодорожной автоматики, телемеханики и связи. – М.: Маршрут, 2003. – 263 с.
3. Богатырев В.А., Башкова С.А., Беззубов В.Ф. Надежность дублированных вычислительных комплексов // Научно-технический вестник СПбГУ ИТМО. – 2011. – № 6. – С. 74–78.
4. Богатырев В.А., Богатырев С.В., Богатырев А.В. Оптимизация кластера с ограниченной доступностью кластерных групп // Научно-технический вестник СПбГУ ИТМО. – 2011. – № 1. – С. 63–67.
5. Bogatyrev V.A. Exchange of Duplicated Computing Complexes in Fault tolerant Systems // Automatic Control and Computer Sciences. – 2011. – V. 46. – № 5. – P. 268–276.
6. Богатырев В.А. Отказоустойчивость вычислительных систем с функциональной реконфигурацией // Приборы и системы. Управление, контроль, диагностика. – 2001. – № 11. – С. 51–53.
Богатырев Владимир Анатольевич – Санкт-Петербургский национальный исследовательский университет информационных технологий, механики и оптики, доктор технических наук, профессор, Vladimir.bogatyrev@gmail.com Бибиков Сергей Викторович – ООО "Центр речевых технологий", зам. техн. директора, bibikov@speechpro.com
146
Научно-технический вестник информационных технологий, механики и оптики, 2012, № 2 (78)
УДК 681.3
ОЦЕНКА ФУНКЦИОНАЛЬНОЙ БЕЗОПАСНОСТИ ДУБЛИРОВАННЫХ ВЫЧИСЛИТЕЛЬНЫХ СИСТЕМ В.А. Богатырев, С.В. Бибиков
Предложена уточненная оценка функциональной безопасности дублированной вычислительной системы с учетом периодичности контроля и возможности перехода в опасное состояние из-за необнаружения отказа одной из машин системы. Ключевые слова: безопасность, опасный отказ, защищенный отказ, дублированная система.
Задача обеспечения высокой надежности компьютерных систем, связанных с безопасностью, в том числе на транспорте, требует оценки интегральной и функциональной безопасности. Под интегральной понимается безопасность всей системы управления, а под функциональной – безопасность подсистемы, обеспечивающей безопасность [1]. В двухмашинных компьютерных системах, связанных с безопасностью, все вычисления, как правило, дублируются, при этом реализуется взаимоконтроль машин, основанный на сравнении результатов, а также на периодическом тестировании, проверке контрольных сумм и других методах [2–4]. Для дублированных систем к опасным состояниям относят состояния с отказом двух машин (с отказом процессора или памяти в каждой из них), так как при отказе одной из машин в результате взаимоконтроля этот отказ будет обнаружен и система переведена в защищенное (безопасное) состояние.
Вероятности опасного и безопасного отказа, интенсивность опасных отказов и среднее время до опасного отказа дублированной системы определяют [2] следующим образом:
Qоп (t) (1 eλt )2 λ2t2 ; PБ (t) 1 (1 eλt )2 1 λ2t2 ;
λоп (t)
PБ22 (t) PБ22 (t)
2λ(1 eλt ) 2 eλt
2λ2t
;
Tоп
PБ (t)dt
0
(2eλt
0
e2λt )dt
2 λ
1 2λ
3 2λ
,
где λ – суммарная интенсивность отказов одного компьютера (включая отказы процессора, оперативной
памяти и постоянной памяти, используемой для начальной загрузки).
Для уточнения оценки будем рассматривать в качестве опасного не только состояние с отказом
двух каналов устройства, но и с отказом одного канала при необнаружении средствами контроля соот-
ветствующего отказа. Показатели безопасности дублированной системы в этом случае определим как
Qоп (t) (1 eλt )2 2(1 eλt )eλt (1/(2m 1)) ; Tоп PБ(t)dt (1((1eλt )2 2(1eλt )eλt (1/(2m 1)))dt , 00
где 1 / (2m 1) вероятность не обнаружения ошибки при контрольном суммировании. Учитывая, что при
отсчете каждого периода контроля iτ (i = 1, 2, …) возможен переход в состояние опасного отказа или отсчет следующего (i+1)-го интервала, среднее время до опасного отказа определим как
Tоп τQоп (t) i 11 Qоп (t)i . i 1
Расчетами установлено, что при периодичности контроля τ = 15 с и λ = 0,2245·10–6; 6,209·10–6; 20,9·10–6 1/ч среднее время до опасного отказа равно соответственно Tоп = 3,18·1015; 6,11·1012; 5,46·1011 ч, что показывает высокую безопасность исследуемых систем. Дополнительно увеличить надежность и безопасность дублированных вычислительных систем при необходимости можно в результате их реконфигурации [5, 6].
Таким образом, предложена оценка функциональной безопасности дублированных вычислительных систем с учетом периодичности контроля и возможности необнаружения отказа одной из машин комплекса, что исключает требуемый переход системы в защищенное состояние.
1. ГОСТ Р МЭК 61508-1-2007. Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 1. Общие требования. – Введ. 27.12.2007. – М.: Госстандарт России. – 96 с.
2. Сапожников В.В., Сапожников В.В., Шаманов В.И. Надежность систем железнодорожной автоматики, телемеханики и связи. – М.: Маршрут, 2003. – 263 с.
3. Богатырев В.А., Башкова С.А., Беззубов В.Ф. Надежность дублированных вычислительных комплексов // Научно-технический вестник СПбГУ ИТМО. – 2011. – № 6. – С. 74–78.
4. Богатырев В.А., Богатырев С.В., Богатырев А.В. Оптимизация кластера с ограниченной доступностью кластерных групп // Научно-технический вестник СПбГУ ИТМО. – 2011. – № 1. – С. 63–67.
5. Bogatyrev V.A. Exchange of Duplicated Computing Complexes in Fault tolerant Systems // Automatic Control and Computer Sciences. – 2011. – V. 46. – № 5. – P. 268–276.
6. Богатырев В.А. Отказоустойчивость вычислительных систем с функциональной реконфигурацией // Приборы и системы. Управление, контроль, диагностика. – 2001. – № 11. – С. 51–53.
Богатырев Владимир Анатольевич – Санкт-Петербургский национальный исследовательский университет информационных технологий, механики и оптики, доктор технических наук, профессор, Vladimir.bogatyrev@gmail.com Бибиков Сергей Викторович – ООО "Центр речевых технологий", зам. техн. директора, bibikov@speechpro.com
146
Научно-технический вестник информационных технологий, механики и оптики, 2012, № 2 (78)