Ващенко Г.В., Добронец Б.С. Надежность информационных систем

Подождите немного. Документ загружается.

Надежность информационных систем 131

данный момент действительно занят.

Когда разрабатываются меры по обнаружению ошибок, важно принять

согласованную стратегию для всей системы (т. е. применить идею концеп-

туальной целостности к обнаружению ошибок). Действия, предпринимаемые

после обнаружения ошибки в программном обеспечении (например, возврат

кода ошибки), должны быть единообразными для всех компонент системы.

Активное обнаружение ошибок

Не все ошибки можно выявить пассивными методами, поскольку эти

методы обнаруживают ошибку лишь тогда, когда ее симптомы подвергают-

ся соответствующей проверке. Можно делать и дополнительные проверки,

если спроектировать специальные программные средства для активного по-

иска признаков ошибок в системе. Такие средства называются средствами

активного обнаружения ошибок.

Активные средства обнаружения ошибок обычно объединяются в диа-

гностический монитор: параллельный процесс, который периодически ана-

лизирует состояние системы с целью обнаружения ошибки.

Диагностический монитор можно реализовать как периодически выпол-

няемую задачу (например, она планируется на каждый час) либо как задачу

с низким приоритетом, которая планируется для выполнения в то время, ко-

гда система переходит в состояние ожидания. Как и прежде, выполняемые

монитором конкретные проверки зависят от специфики системы, но некото-

рые идеи будут понятны из примеров. Монитор может обследовать основную

память, чтобы обнаружить блоки памяти, не выделенные ни одной из выпол-

няемых задач и не включенные в системный список свободной памяти. Он

может проверять также необычные ситуации: например, процесс не планиро-

вался для выполнения в течение некоторого разумного интервала времени.

Монитор может осуществлять поиск “затерявшихся” внутри системы сообще-

ний или операций ввода-вывода, которые необычно долгое время остаются

незавершенными, участков памяти на диске, которые не помечены как выде-

ленные и не включены в список свободной памяти, а также различного рода

странностей в файлах данных.

Исправление ошибок и устойчивость к ошибкам

Имея средства обнаружения ошибок в программном обеспечении, есте-

ственно предпринять следующий шаг, попробовать создать средства, наце-

ленные на исправление обнаруженных ошибок. По существу, термин “исправ-

ление ошибок” в применении к программному обеспечению означает ликвида-

цию ущерба, нанесенного ошибкой, а не исправление самой ошибки. Как мы

уже видели, исправление ошибки в аппаратуре (например, автоматическим

переключением на запасное устройство) — вполне жизнеспособный прием,

132 Контроль и диагностика

но пытаться исправить настоящую ошибку в программном обеспечении без

участия человека бесполезно. Самое большее, что можно сделать в этом слу-

чае, — свести на нет ущерб, нанесенный ошибкой. Самое большее, что можно

сделать по части устойчивости к ошибкам, — либо сделать нанесенный ущерб

незаметным, либо изолировать его лишь в рамках части системы.

Однако самым сильным доводом против исправления ошибок и обеспече-

ния устойчивости остается следующий аргумент. Поскольку все равно необ-

ходимо заранее предвидеть несколько возможных ошибок, обычно лучше при

проектировании и тестировании направлять все усилия на их устранение.

Изоляция ошибок

В большой вычислительной системе изоляция программ является ключе-

вым фактором, гарантирующим, что отказы в программе одного пользовате-

ля не приведут к отказам в программах других пользователей или к полному

выводу системы из строя. Основные правила изоляции ошибок перечислены

ниже.

1. Прикладная программа не должна иметь возможности непосредствен-

но ссылаться на другую прикладную программу или данные в другой про-

грамме и изменять их.

2. Прикладная программа не должна иметь возможности непосредствен-

но ссылаться на программы или данные операционной системы и изменять

их. Связь между двумя программами (или программой и операционной систе-

мой) может быть разрешена только при условии использования четко опре-

деленных сопряжений и только в случае, когда обе программы дают согласие

на эту связь.

3. Прикладные программы и их данные должны быть защищены от опе-

рационной системы до такой степени, чтобы ошибки в операционной системе

не могли привести к случайному изменению прикладных программ или их

данных.

4. Операционная система должна защищать все прикладные программы

и данные от случайного их изменения операторами системы или обслужива-

ющим персоналом.

5. Прикладные программы не должны иметь возможности ни остановить

систему, ни вынудить ее изменить другую прикладную программу или ее

данные.

6. Когда прикладная программа обращается к операционной системе,

должна проверяться допустимость всех параметров. Более того, прикладная

программа не должна иметь возможности изменить эти параметры между

моментами проверки и реального их использования операционной системой.

7. Никакие системные данные, непосредственно доступные прикладным

Надежность информационных систем 133

программам, не должны влиять на функционирование операционной систе-

мы.

8. Прикладные программы не должны иметь возможности в обход опера-

ционной системы прямо использовать управляемые ею аппаратные ресурсы.

Прикладные программы не должны прямо вызывать компоненты операцион-

ной системы, предназначенные для использования только ее подсистемами.

9. Компоненты операционной системы должны быть изолированы друг

от друга так, чтобы ошибка в одной из них не привела к изменению других

компонент или их данных.

10. Если операционная система обнаруживает ошибку в себе самой, она

должна попытаться ограничить влияние этой ошибки одной прикладной про-

граммой и в крайнем случае прекратить выполнение только этой программы.

11. Операционная система должна давать прикладным программам воз-

можность по требованию исправлять обнаруженные в них ошибки, а не без-

оговорочно прекращать их выполнение.

Обработка сбоев аппаратуры

Улучшая общую надежность системы, следует заботиться не только об

ошибках в программном обеспечении (хотя надежность программного обес-

печения требует наибольшего внимания). Другая сторона, о которой необхо-

димо подумать, — это ошибки во входных данных системы (ошибки пользо-

вателя).

Наконец, еще один интересующий нас класс ошибок — сбои аппаратуры.

Во многих случаях они обрабатываются самой аппаратурой за счет использо-

вания кодов, исправляющих ошибки, исправления последствий сбоев (напри-

мер, переключением на запасные компоненты) и средств, обеспечивающих

устойчивость к ошибкам (например, голосование). Некоторые сбои, однако,

нельзя обработать только аппаратными средствами, они требуют помощи со

стороны программного обеспечения.Для полноты ниже приводится список

возможностей, которые часто бывают необходимы в программных системах

для борьбы со сбоями аппаратуры.

1. Повторное выполнение операций. Многие сбои аппаратуры не посто-

янны (например, скачки напряжения, шум в телекоммуникационных лини-

ях, колебания при механическом движении). Всегда имеет смысл попытаться

выполнить операцию, искаженную сбоем (например, команду машины или

операцию ввода-вывода), несколько раз, прежде чем принимать другие ме-

ры.

2. Восстановление памяти. Если обнаруженный случайный сбой аппа-

ратуры вызывает искажение области основной памяти и эта область содер-

жит статические данные (например, команды объектной программы), то по-

134 Контроль и диагностика

следствия сбоя можно ликвидировать, повторно загрузив эту область памяти.

3. Динамическое изменение конфигурации. Если аппаратная подсисте-

ма, такая, как ЦП, канал ввода-вывода, блок основной памяти или устрой-

ство ввода-вывода, выходит из строя, работоспособность системы можно со-

хранить, динамически исключив неисправное устройство из набора ресурсов

системы.

4. Восстановление файлов. Системы управления базами данных обыч-

но обеспечивают избыточность данных, сохраняя копию текущего состояния

базы данных на выделенных устройствах ввода-вывода, регистрируя все из-

менения базы данных или периодически автономно копируя всю базу данных.

Поэтому программы восстановления могут воссоздать базу данных в случае

катастрофического сбоя ввода-вывода.

5. Контрольная точка/рестарт. Контрольная точка — это периодиче-

ски обновляемая копия состояния прикладной программы или всей системы.

Если происходит отказ аппаратуры, такой, как ошибка ввода-вывода, сбой

памяти или питания, программа может быть запущена повторно с последней

контрольной точки.

6. Предупреждение отказов питания. Некоторые вычислительные си-

стемы, в особенности те, в которых используется энергозависимая память,

предусматривают прерывание, предупреждающее программу о предстоящем

отказе питания. Это дает возможность организовать контрольную точку или

перенести жизненно важные данные во вторичную память.

7. Регистрация ошибок. Все сбои аппаратуры, с которыми удалось спра-

виться, должны регистрироваться во внешнем файле, чтобы обслуживающий

персонал мог получать сведения о постепенном износе устройств.

Контрольные вопросы

1. В чем проявляются ошибки проектирования?

2. Чем пораждаются прграммные ошибки?

3. В чем причина возникновения ошибок в исходных данных?

4. Какие бывают средства контроля?

5. Как различается контроль по способу организации и по объекту кон-

троля?

6. Какие существуют способы аппаратурного контроля?

7. В чем недостаток контроля дублированием?

8. Для чего предназначен алгоритмический контроль?

9. На чем основан логический контроль?

10. Приведите пример использования контроля обратным просчетом.

11. С помощью чего осуществляется тестовый контроль устройств ком-

пьютера?

Надежность информационных систем 135

12. Назовите две подгруппы обнаружения ошибок?

13. Что означает термин “иправление ошибок” по отношении к ПО?

14. Перечислите основные правила изоляции ошибок.

15. Приведите список возможностей для борьбы со сбоями аппаратуры.

Глава 9

Основные расчетные модели для оценки

показателей надежности аппаратуры

9.1. Общие зависимости. Оценки показателей

надежности

Математический аппарат теории надежности базируется на основных

положениях и теоремах теории вероятности и математической статистики,

теории случайных процессов, математической логики, комбинаторики и тео-

рии графов.

Так, для оценки состояния (или просто оценки) параметры надежности

используются в статистической трактовке (и выдаются в дискретных чис-

лах), а для прогнозирования — в вероятностной.

Рассмотрим проведенные для оценки надежности испытания или экс-

плуатацию значительного числа N элементов в течение времени t (или нара-

ботки в других единицах). Пусть к концу испытания или срока эксплуатации

останется N

работоспособных (неотказавших) элементов и n отказавших.

Тогда относительное количество отказов Q(t) = n/N.

Если испытание проводится как выборочное, то Q(t) можно рассматри-

вать как статистическую оценку вероятности отказа или, если N доста-

точно велико, как вероятность отказа.

Вероятность безотказной работы оценивается относительным количеством

работоспособных элементов:

P (t) =

= 1 −

так как безотказная работа и отказ — взаимно противоположные события и

сумма их вероятностей равна 1:

P (t) + Q(t) = 1.

При t = 0 n = 0, Q(t) = 0 и P (t) = 1.

136

Надежность информационных систем 137

При t = ∞ n = N, Q(t) = 1 и P (t) = 0.

Распределение отказов по времени характеризуется функцией плотно-

сти распределения f(t) наработки до отказа. В статистической трактовке

f(t) =

∆n

N∆t

∆Q(t)

∆t

, в вероятностной трактовке f(t) =

dQ(t)

. Здесь ∆n и ∆Q(t) —

приращения числа отказавших объектов и вероятность отказов за время ∆t

соответственно.

Вероятности отказов и безотказной работы в функции плотности f(t)

выражаются зависимостями:

Q(t) =

f(t)dt; при t = ∞ Q(t) =

∞

f(t)dt = 1;

P (t) = 1 − Q(t) = 1 −

f(t)dt =

∞

f(t)dt.

Здесь N

= NP (t), λ(t) =

∆n

N∆tP (t)

f(t)

P (t)

Интенсивность отказов λ(t) в отличие от плотности распределения от-

носится к числу объектов N

, оставшихся работоспособными, а не к общему

числу объектов. Соответственно в статистической трактовке

λ(t) =

∆n

∆t

и в вероятностной трактовке, учитывая, что N

/N = P (t),

λ(t) =

f(t)

P (t)

Получим выражение для вероятности безотказной работы в зависимости

от интенсивности отказов. Для этого в предыдущее выражение подставим

f(t) = −

dP (t)

, разделим переменные и произведем интегрирование:

dP (t)

P (t)

= −λ(t)dt; ln P (t) = −

λ(t)dt;

P (t) = e

−

λ(t)dt

. (9.1)

Это соотношение является одним из основных уравнений теории надеж-

ности.

9.2. Модель из последовательно соединенных

элементов

К числу важнейших общих зависимостей надежности относятся зависи-

мости надежности систем от надежности элементов. Рассмотрим надежность

138 Основные расчетные модели...

простейшей расчетной модели системы из последовательного соединения эле-

ментов (рис. 9.1). У такой модели отказ одного из элементов вызывает отказ

работы всей системы.

Рис. 9.1. Последовательная система

Используя теорему умножения вероятностей (вероятность произведе-

ния, т.е. совместного проявления независимых событий, равна произведе-

нию вероятностей этих событий). Следовательно, безотказность работы

системы равна произведению вероятностей безотказной работы отдельных

элементов, т. е. P

(t) = P

(t)P

(t)...P

(t), здесь n число элементов систе-

мы. Так как вероятность безотказной работы каждого элемента меньше или

равна единицы, то увеличение числа последовательных элементов уменьша-

ет вероятность безотказной работы системы. Так, если система состоит из 10

одинаковых последовательно соединенных элементов с вероятностью безот-

казной работы 0,9, то общая вероятность безотказной работы такой системы

равна 0,9

≈0,35.

Однако вероятность безотказной работы элементов системы достаточ-

но высокая, поэтому, выразив вероятности элементов через соответствующие

функции отказов и пользуясь теорией приближенных вычислений (считая

<< 1) для полной вероятности системы из одинаковых, последовательно

соединенных элементов, получаем:

(t) = (1 − Q

(t))(1 − Q

(t))...(1 − Q

(t)) ≈

≈ 1 − (Q

(t) + Q

(t) + ... + Q

(t)),

или, так как элементы одинаковые и Q

<< 1, то

(t) ≈ 1 − nQ

(t).

Пример 9.1.

Найти вероятность безотказной работы системы из шести одинаковых

последовательных элементов P

(t) = 0, 99.

Для вычисления вероятности используем обе полученные формулы:

(t) = 0, 99

= 0, 9414;

(t) = 1 − 6 · 0, 01 = 0, 9400.

Надежность информационных систем 139

Как видите, и в том и в другом случае вероятности совпадают с точно-

стью до 0,01.

Для любого промежутка времени вероятность безотказной работы со-

гласно теореме умножения вероятностей равна

P (T + t) = P (T )P (t) или P (t) =

P (T + t)

P (T )

P (t) — вероятность безотказной работы за время t при условии (в предпо-

ложении), что изделие не имело отказов до начала интервала времени или

наработки.

9.3. Надежность в период нормальной эксплуатации

В этот период постепенные отказы еще не проявляются и надежность

характеризуется внезапными отказами. Эти отказы вызываются неблагопри-

ятными стечениями многих обстоятельств и поэтому имеют постоянную ин-

тенсивность, которая не зависит от возраста изделия:

λ(t) = λ = const,

где λ = 1/m

; m

— средняя наработка до отказа (обычно в часах). Тогда λ

выражается числом отказов в час и, как правило, составляет малую дробь.

Вероятность безотказной работы

P (t) = e

−

λdt

= e

−λt

. (9.2)

Она подчиняется экспоненциальному закону распределения времени без-

отказной работы и одинакова за любой одинаковый промежуток времени в

период нормальной эксплуатации.

Экспоненциальным законом можно аппроксимировать время безотказ-

ной работы широкого круга объектов (изделий): особо ответственных машин,

эксплуатируемых в период после окончания приработки и до существенного

проявления постепенных отказов: элементов радиоэлектронной аппаратуры;

сложных объектов, состоящих из многих элементов (при этом время безот-

казной работы каждого может не быть распределено по экспоненциальному

закону, нужно только, чтобы отказы одного элемента, не подчиняющегося

этому закону, не доминировали над другими).

На практике чаще всего выполняется условие λt ≤ 0, 1, тогда форму-

ла (9.2) упрощается в результате разложения в ряд и отбрасывания малых

членов:

140 Основные расчетные модели...

P (t) = 1 − λt +

(λt)

−

(λt)

+ ... ≈ 1 − λt. (9.3)

Плотность распределения (в общем случае)

f(t) = −

dP (t)

= λe

−λt

. (9.4)

Пример 9.2.

Рассмотрим значения вероятности безотказной работы в зависимости от

λ(t)t ≈ t/m

λ(t)t 1 0,1 0,01 0,001 0,0001

P (t) 0,368 0,9 0,99 0,999 0,9999

Так как при t/m

= 1 вероятность P (t) ≈ 0, 37, то 63% отказов возникает

за время t < m

и только 37% позднее. Из приведенных значений следует, что

для обеспечения требуемой вероятности работы 0,9 или 0,99 можно использо-

вать только малую долю среднего срока службы (0,1 и 0,01 соответственно).

Если работа изделия происходит при разных режимах, а следовательно,

и интенсивностях отказов λ

(за время t

) и λ

(за время t

), то

P (t) = e

−(λ

+λ

)

Эта зависимость следует из теоремы умножения вероятностей.

Рис. 9.2. Графическое определение вероятности безотказной работы по результатам

экспериментов. Функция вероятности P (t) безотказной работы, плотности вероятности

f(t) интенсивности λ(t) отказов экспоненциального распределения

Для определения на основании опытов интенсивности отказов оценивают

среднюю наработку до отказа