ОЦЕНКА ФУНКЦИОНАЛЬНОЙ БЕЗОПАСНОСТИ ДУБЛИРОВАННЫХ ВЫЧИСЛИТЕЛЬНЫХ СИСТЕМ
КРАТКИЕ СООБЩЕНИЯ
УДК 681.3
ОЦЕНКА ФУНКЦИОНАЛЬНОЙ БЕЗОПАСНОСТИ ДУБЛИРОВАННЫХ ВЫЧИСЛИТЕЛЬНЫХ СИСТЕМ В.А. Богатырев, С.В. Бибиков
Предложена уточненная оценка функциональной безопасности дублированной вычислительной системы с учетом периодичности контроля и возможности перехода в опасное состояние из-за необнаружения отказа одной из машин системы. Ключевые слова: безопасность, опасный отказ, защищенный отказ, дублированная система.
Задача обеспечения высокой надежности компьютерных систем, связанных с безопасностью, в том числе на транспорте, требует оценки интегральной и функциональной безопасности. Под интегральной понимается безопасность всей системы управления, а под функциональной – безопасность подсистемы, обеспечивающей безопасность [1]. В двухмашинных компьютерных системах, связанных с безопасностью, все вычисления, как правило, дублируются, при этом реализуется взаимоконтроль машин, основанный на сравнении результатов, а также на периодическом тестировании, проверке контрольных сумм и других методах [2–4]. Для дублированных систем к опасным состояниям относят состояния с отказом двух машин (с отказом процессора или памяти в каждой из них), так как при отказе одной из машин в результате взаимоконтроля этот отказ будет обнаружен и система переведена в защищенное (безопасное) состояние.
Вероятности опасного и безопасного отказа, интенсивность опасных отказов и среднее время до опасного отказа дублированной системы определяют [2] следующим образом:
Qоп (t) (1 eλt )2 λ2t2 ; PБ (t) 1 (1 eλt )2 1 λ2t2 ;
λоп (t)
PБ22 (t) PБ22 (t)
2λ(1 eλt ) 2 eλt
2λ2t
;
Tоп
PБ (t)dt
0
(2eλt
0
e2λt )dt
2 λ
1 2λ
3 2λ
,
где λ – суммарная интенсивность отказов одного компьютера (включая отказы процессора, оперативной
памяти и постоянной памяти, используемой для начальной загрузки).
Для уточнения оценки будем рассматривать в качестве опасного не только состояние с отказом
двух каналов устройства, но и с отказом одного канала при необнаружении средствами контроля соот-
ветствующего отказа. Показатели безопасности дублированной системы в этом случае определим как
Qоп (t) (1 eλt )2 2(1 eλt )eλt (1/(2m 1)) ; Tоп PБ(t)dt (1((1eλt )2 2(1eλt )eλt (1/(2m 1)))dt , 00
где 1 / (2m 1) вероятность не обнаружения ошибки при контрольном суммировании. Учитывая, что при
отсчете каждого периода контроля iτ (i = 1, 2, …) возможен переход в состояние опасного отказа или отсчет следующего (i+1)-го интервала, среднее время до опасного отказа определим как
Tоп τQоп (t) i 11 Qоп (t)i . i 1
Расчетами установлено, что при периодичности контроля τ = 15 с и λ = 0,2245·10–6; 6,209·10–6; 20,9·10–6 1/ч среднее время до опасного отказа равно соответственно Tоп = 3,18·1015; 6,11·1012; 5,46·1011 ч, что показывает высокую безопасность исследуемых систем. Дополнительно увеличить надежность и безопасность дублированных вычислительных систем при необходимости можно в результате их реконфигурации [5, 6].
Таким образом, предложена оценка функциональной безопасности дублированных вычислительных систем с учетом периодичности контроля и возможности необнаружения отказа одной из машин комплекса, что исключает требуемый переход системы в защищенное состояние.
1. ГОСТ Р МЭК 61508-1-2007. Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 1. Общие требования. – Введ. 27.12.2007. – М.: Госстандарт России. – 96 с.
2. Сапожников В.В., Сапожников В.В., Шаманов В.И. Надежность систем железнодорожной автоматики, телемеханики и связи. – М.: Маршрут, 2003. – 263 с.
3. Богатырев В.А., Башкова С.А., Беззубов В.Ф. Надежность дублированных вычислительных комплексов // Научно-технический вестник СПбГУ ИТМО. – 2011. – № 6. – С. 74–78.
4. Богатырев В.А., Богатырев С.В., Богатырев А.В. Оптимизация кластера с ограниченной доступностью кластерных групп // Научно-технический вестник СПбГУ ИТМО. – 2011. – № 1. – С. 63–67.
5. Bogatyrev V.A. Exchange of Duplicated Computing Complexes in Fault tolerant Systems // Automatic Control and Computer Sciences. – 2011. – V. 46. – № 5. – P. 268–276.
6. Богатырев В.А. Отказоустойчивость вычислительных систем с функциональной реконфигурацией // Приборы и системы. Управление, контроль, диагностика. – 2001. – № 11. – С. 51–53.
Богатырев Владимир Анатольевич – Санкт-Петербургский национальный исследовательский университет информационных технологий, механики и оптики, доктор технических наук, профессор, Vladimir.bogatyrev@gmail.com Бибиков Сергей Викторович – ООО "Центр речевых технологий", зам. техн. директора, bibikov@speechpro.com
146
Научно-технический вестник информационных технологий, механики и оптики, 2012, № 2 (78)
УДК 681.3
ОЦЕНКА ФУНКЦИОНАЛЬНОЙ БЕЗОПАСНОСТИ ДУБЛИРОВАННЫХ ВЫЧИСЛИТЕЛЬНЫХ СИСТЕМ В.А. Богатырев, С.В. Бибиков
Предложена уточненная оценка функциональной безопасности дублированной вычислительной системы с учетом периодичности контроля и возможности перехода в опасное состояние из-за необнаружения отказа одной из машин системы. Ключевые слова: безопасность, опасный отказ, защищенный отказ, дублированная система.
Задача обеспечения высокой надежности компьютерных систем, связанных с безопасностью, в том числе на транспорте, требует оценки интегральной и функциональной безопасности. Под интегральной понимается безопасность всей системы управления, а под функциональной – безопасность подсистемы, обеспечивающей безопасность [1]. В двухмашинных компьютерных системах, связанных с безопасностью, все вычисления, как правило, дублируются, при этом реализуется взаимоконтроль машин, основанный на сравнении результатов, а также на периодическом тестировании, проверке контрольных сумм и других методах [2–4]. Для дублированных систем к опасным состояниям относят состояния с отказом двух машин (с отказом процессора или памяти в каждой из них), так как при отказе одной из машин в результате взаимоконтроля этот отказ будет обнаружен и система переведена в защищенное (безопасное) состояние.
Вероятности опасного и безопасного отказа, интенсивность опасных отказов и среднее время до опасного отказа дублированной системы определяют [2] следующим образом:
Qоп (t) (1 eλt )2 λ2t2 ; PБ (t) 1 (1 eλt )2 1 λ2t2 ;
λоп (t)
PБ22 (t) PБ22 (t)
2λ(1 eλt ) 2 eλt
2λ2t
;
Tоп
PБ (t)dt
0
(2eλt
0
e2λt )dt
2 λ
1 2λ
3 2λ
,
где λ – суммарная интенсивность отказов одного компьютера (включая отказы процессора, оперативной
памяти и постоянной памяти, используемой для начальной загрузки).
Для уточнения оценки будем рассматривать в качестве опасного не только состояние с отказом
двух каналов устройства, но и с отказом одного канала при необнаружении средствами контроля соот-
ветствующего отказа. Показатели безопасности дублированной системы в этом случае определим как
Qоп (t) (1 eλt )2 2(1 eλt )eλt (1/(2m 1)) ; Tоп PБ(t)dt (1((1eλt )2 2(1eλt )eλt (1/(2m 1)))dt , 00
где 1 / (2m 1) вероятность не обнаружения ошибки при контрольном суммировании. Учитывая, что при
отсчете каждого периода контроля iτ (i = 1, 2, …) возможен переход в состояние опасного отказа или отсчет следующего (i+1)-го интервала, среднее время до опасного отказа определим как
Tоп τQоп (t) i 11 Qоп (t)i . i 1
Расчетами установлено, что при периодичности контроля τ = 15 с и λ = 0,2245·10–6; 6,209·10–6; 20,9·10–6 1/ч среднее время до опасного отказа равно соответственно Tоп = 3,18·1015; 6,11·1012; 5,46·1011 ч, что показывает высокую безопасность исследуемых систем. Дополнительно увеличить надежность и безопасность дублированных вычислительных систем при необходимости можно в результате их реконфигурации [5, 6].
Таким образом, предложена оценка функциональной безопасности дублированных вычислительных систем с учетом периодичности контроля и возможности необнаружения отказа одной из машин комплекса, что исключает требуемый переход системы в защищенное состояние.
1. ГОСТ Р МЭК 61508-1-2007. Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 1. Общие требования. – Введ. 27.12.2007. – М.: Госстандарт России. – 96 с.
2. Сапожников В.В., Сапожников В.В., Шаманов В.И. Надежность систем железнодорожной автоматики, телемеханики и связи. – М.: Маршрут, 2003. – 263 с.
3. Богатырев В.А., Башкова С.А., Беззубов В.Ф. Надежность дублированных вычислительных комплексов // Научно-технический вестник СПбГУ ИТМО. – 2011. – № 6. – С. 74–78.
4. Богатырев В.А., Богатырев С.В., Богатырев А.В. Оптимизация кластера с ограниченной доступностью кластерных групп // Научно-технический вестник СПбГУ ИТМО. – 2011. – № 1. – С. 63–67.
5. Bogatyrev V.A. Exchange of Duplicated Computing Complexes in Fault tolerant Systems // Automatic Control and Computer Sciences. – 2011. – V. 46. – № 5. – P. 268–276.
6. Богатырев В.А. Отказоустойчивость вычислительных систем с функциональной реконфигурацией // Приборы и системы. Управление, контроль, диагностика. – 2001. – № 11. – С. 51–53.
Богатырев Владимир Анатольевич – Санкт-Петербургский национальный исследовательский университет информационных технологий, механики и оптики, доктор технических наук, профессор, Vladimir.bogatyrev@gmail.com Бибиков Сергей Викторович – ООО "Центр речевых технологий", зам. техн. директора, bibikov@speechpro.com
146
Научно-технический вестник информационных технологий, механики и оптики, 2012, № 2 (78)