КРАТКИЕ СООБЩЕНИЯ
УДК 681.3
ОЦЕНКА ФУНКЦИОНАЛЬНОЙ БЕЗОПАСНОСТИ ДУБЛИРОВАННЫХ ВЫЧИСЛИТЕЛЬНЫХ СИСТЕМ В.А. Богатырев, С.В. Бибиков
Предложена уточненная оценка функциональной безопасности дублированной вычислительной системы с учетом периодичности контроля и возможности перехода в опасное состояние из-за необнаружения отказа одной из машин системы. Ключевые слова: безопасность, опасный отказ, защищенный отказ, дублированная система.
Задача обеспечения высокой надежности компьютерных систем, связанных с безопасностью, в том числе на транспорте, требует оценки интегральной и функциональной безопасности. Под интегральной понимается безопасность всей системы управления, а под функциональной - безопасность подсистемы, обеспечивающей безопасность [1]. В двухмашинных компьютерных системах, связанных с безопасностью, все вычисления, как правило, дублируются, при этом реализуется взаимоконтроль машин, основанный на сравнении результатов, а также на периодическом тестировании, проверке контрольных сумм и других методах [2-4]. Для дублированных систем к опасным состояниям относят состояния с отказом двух машин (с отказом процессора или памяти в каждой из них), так как при отказе одной из машин в результате взаимоконтроля этот отказ будет обнаружен и система переведена в защищенное (безопасное) состояние.
Вероятности опасного и безопасного отказа, интенсивность опасных отказов и среднее время до опасного отказа дублированной системы определяют [2] следующим образом: Qou (t) = (1 - e-Xt )2 « X2t2; PB (t) = 1 - (1 - e-Xt )2 = 1 - X2t2 ;
X (t) = -рБ2^ = 2X(1 -= 2X2t ; Топ = fРБ(t)dt =f(2e-Xt -e-2Xt)dt = 2- — = —, о Wt) 2-e-Xt оп 0 Б 0 X 2X 2X
где X - суммарная интенсивность отказов одного компьютера (включая отказы процессора, оперативной памяти и постоянной памяти, используемой для начальной загрузки).
Для уточнения оценки будем рассматривать в качестве опасного не только состояние с отказом двух каналов устройства, но и с отказом одного канала при необнаружении средствами контроля соответствующего отказа. Показатели безопасности дублированной системы в этом случае определим как
да да
Qоп (t) = (1 - e-Xt)2 + 2(1 - e-Xt )e-Xt (1/(2™ -1)) ; Топ = JРб(t)dt = J(1 -((1-e-Xt)2 + 2(1 -e-Xt)e-Xt(1/(2m -1)))dt,
0 0
где 1/ (2m -1) вероятность не обнаружения ошибки при контрольном суммировании. Учитывая, что при
отсчете каждого периода контроля /т (i = 1, 2, ...) возможен переход в состояние опасного отказа или отсчет следующего (/+1)-го интервала, среднее время до опасного отказа определим как
да
Топ = тQоп (t )Ê(i + 1)(1 - Qоп (t ) )i .
i= 1
Расчетами установлено, что при периодичности контроля т = 15 с и X = 0,2245-10-6; 6,209-10-6; 20,9-Ш-6 1/ч среднее время до опасного отказа равно соответственно Топ = 3,18-1015; 6,11-1012; 5,46-Ш11 ч, что показывает высокую безопасность исследуемых систем. Дополнительно увеличить надежность и безопасность дублированных вычислительных систем при необходимости можно в результате их реконфигурации [5, 6].
Таким образом, предложена оценка функциональной безопасности дублированных вычислительных систем с учетом периодичности контроля и возможности необнаружения отказа одной из машин комплекса, что исключает требуемый переход системы в защищенное состояние.
1. ГОСТ Р МЭК 61508-1-2007. Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 1. Общие требования. - Введ. 27.12.2007. - М.: Госстандарт России. - 96 с.
2. Сапожников В.В., Сапожников В.В., Шаманов В.И. Надежность систем железнодорожной автоматики, телемеханики и связи. - М.: Маршрут, 2003. - 263 с.
3. Богатырев В.А., Башкова С.А., Беззубов В.Ф. Надежность дублированных вычислительных комплексов // Научно-технический вестник СПбГУ ИТМО. - 2011. - № 6. - С. 74-78.
4. Богатырев В.А., Богатырев С.В., Богатырев А.В. Оптимизация кластера с ограниченной доступностью кластерных групп // Научно-технический вестник СПбГУ ИТМО. - 2011. - № 1. - С. 63-67.
5. Bogatyrev V.A. Exchange of Duplicated Computing Complexes in Fault tolérant Systems // Automatic Control and Computer Sciences. - 2011. - V. 46. - № 5. - P. 268-276.
6. Богатырев В.А. Отказоустойчивость вычислительных систем с функциональной реконфигурацией // Приборы и системы. Управление, контроль, диагностика. - 2001. - № 11. - С. 51-53.
Богатырев Владимир Анатольевич - Санкт-Петербургский национальный исследовательский университет информационных технологий, механики и оптики, доктор технических наук, профессор, [email protected] Бибиков Сергей Викторович - ООО "Центр речевых технологий", зам. техн. директора, [email protected]
Научно-технический вестник информационных технологий, механики и оптики,
2012, № 2 (78)