容错计算第2章

1、系统可靠性基本概念北京邮电大学计算机科学与技术学院姚文斌结构n故障的表现及分布n计算机系统可靠性概念n计算机系统可靠性分析基本概念n失效failuren失效是指硬件物理特性的异变n故障faultn故障是硬件或软件的错误状态，是失效在逻辑上的等效n错误errorn错误是指程序或数据结构中的故障表现形式，是故障和失效造成的后果故障来源n元器件失效早期失效 中期失效晚期失效tZ(t)电子元件失效率曲线环境因素n温度、湿度、冲击、振动、电磁场、核辐射、盐雾、霉菌等都会对系统可靠性产生影响n为减少环境因素产生的故障，要对元器件进行环境应力筛选，即进行温度循环、热冲击、机械冲击和离心加速度实验，淘汰失效或

2、恶化器件，同时进行环境防护设计，如热设计、机械应力防护设计、化学防护设计、电磁兼容性设计等设计故障n硬件、软件设计故障n尤其是随着软件规模的扩大，设计故障发生的概率显著上升故障表现n故障的表现千差万别，可以利用故障模型对故障表现进行抽象n故障模型的优劣n广泛性，即故障模型概括了多少故障n易处理性，即在这种故障模型下，易于进行故障处理（检测、诊断或容忍等）的程度n广泛的模型往往复杂、难于处理，而简单、易于处理的模型又往往不能广泛地反映实际的故障表现逻辑级的故障模型n固定型故障n电路中元器件的输入或输出等线的逻辑值固定为0或为1。如线接地、电源短路或元件失效等。n短路或开路故障n元件短路是指元件的

3、输出线逻辑值恒等于输入线的逻辑值；元件开路是指元件的输出线悬空，逻辑之可根据具体电路来决定n桥接故障n两条（相邻）不应相连的线连接在一起发生的故障数据结构级的故障n故障在数据结构上的表现称为差错n独立差错：一个故障的影响表现为一个二进制位发生改变n算数差错：一个故障的影响使一个数据的值增加或减少2in单项差错：一个故障的影响使一个二进制向量中某些位朝一个方向（0或1）改变软件故障和软件差错n软件故障是指软件设计过程中造成的与设计说明的不一致，软件故障在数据结构或程序输出的表现称为软件差错n非法转移n误转移n死循环n空间溢出n数据执行n无理数据系统级的故障模型n故障在系统级上的表现为功能错误，即

4、系统输出与系统设计说明的不一致。如果系统输出无故障保护机构，则故障在系统级上的表现就会造成系统失败n从延续时间来考虑，可以把故障或错误分为永久性的、间歇性的和瞬时性的三种n永久性是描述连续稳定的失效、故障或错误n间歇性是描述那些由不稳定的硬件或变化着的硬件或软件状态所引起的、仅仅是偶然出现的n瞬时性是由暂时的环境条件引起的概念区分nAlgirdas Avizienis, Jean-Claude Laprie, Brian Randell, Carl Landwehr. Basic Concepts and Taxonomy of Dependable and Secure Computing,

5、 IEEE Transaction on Dependable and Secure Computing, 2004, 1(1): 11-33IEEE刊物n1954年Trans. of the IRE Professional Group on Reliability and Quality Control, 1955-1962年改名为IEEE Trans. on Reliability and Quality Control,1963年改名为IEEE Trans. on Reliability(三月刊) n2001年创刊IEEE Trans. on Device and Materials

6、Reliability(三月刊)n2003年创刊IEEE Security & Privacy(双月刊)n2004年创刊IEEE Trans. on Dependable and Secure Computing(三月刊)n2006年创刊IEEE Trans. on Information Forensics(信息鉴别) and Security(三月刊)n2007年创刊IET(the Institution of Engineering and Technology) Information Security(三月刊)ACM刊物nACM 创立于1947年，是全球历史最悠久和最大的计算机教育和

7、科研机构。 n1998年创刊ACM Trans. on Information and System Security(三月刊)n2009年创刊Journal of Data and Information Quality可信定义nDependability: the ability to deliver service that can justifiably be trustednThe dependability of a system is the ability to avoid service failures that are more frequent and more sev

8、ere than is acceptablel Confidentiality: the absence of unauthorized disclosure of information结构n故障的表现及分布n计算机系统可靠性概念n计算机系统可靠性分析系统可靠性分析n可靠性的平均寿命可维修系统MTBFn平均系统失效间隔时间不可维修系统MTTFn平均无故障运行时间n例：n有一个系统由4000个元件组成，元件的失效率为每1000小时0.02%，则每小时的平均失效数为8*10-4个/小时。所以系统的MTBF为1/（8*10-4）小时，即1250小时。单位要统一10dteMTBFtn可改写可靠度公式

9、n当t=MTBF，则R(t)=36.8%MTBFtteetR/)(MTBFn当 很小时，t)(111)(tRtMTBFMTBFtttRn在大量的场合里，要求计算机短时间内具备较高的可靠性n例如：一台计算机由10000个元件组成，每个元件的失效率为0.05%每1000小时，对应于99%可靠度的系统运行时间是小时则小时为系统失效率210501. 0/10510510N)(01. 001. 099. 013374tMTBFttMTBFsss系统可靠性的数学模型n一个计算机系统是由许多个子系统组成的，而一个子系统则由大量的元、器件所组成。为了定量的得出系统的可靠度，一般从元器件的可靠度到子系统的可靠度

10、，进而到整个系统的可靠度。因此根据系统与系统内部的各子系统的相互关系建立可靠度的数学模型十分必要的。n可靠性框图与逻辑框图n一、串联可靠性系统的可靠性模型niistRtR1)()()()(tRtRisniis1niisMTBF111 可见，串联系统平均无故障运行时间小于子系统的平均无故障运行时间n考虑一种特殊情况)()()(.)()(021tRtRtRtRtRninMTBFnMTBFnetRtRsstnns00001)()(0n二、并联可靠性系统可靠性模型niiStRtR1)(1 1)()()(tRtRiSn考虑一种特殊情况tnietRtRtRtRtR0)()()(.)()(021ntnset

11、RtR)1 (1)(11)(0001100)1(1)(MTBFiidttRMTBFniniSSn假设一个系统由两个子系统组成，即n=2nMTBF提高了1.5倍00123)1(MTBFiMTBFniSn三、串、并联混合系统可靠性模型可分为三种形式n串-并联可靠性系统n并-串联可靠性系统n复杂的可靠性系统n1、串-并联可靠性系统minjijStRtR11)(11)(n若各模块可靠度相等mnSijtRtRtRtR)(11)()()(00n2、并-串联可靠性系统njmiijStRtR11)(11)(l若各模块可靠度相等nmSijtRtRtRtR)(11)()()(00n串并联与并串联系统的可靠度比较n

12、n=m=2Ra0.70.80.90.95串串-并联并联Rs0.7390.8700.9630.991并并-串联串联Rs0.8280.9210.980.995Fault Detection&IsolationFault Detection&IsolationFault Detection&IsolationFault Detection&IsolationRedundantI/ORedundantCPU/Memoryn3、复杂的可靠性系统nStratus nftserver 2300n可靠性框图2)1 (1IOCMRRRn逻辑结构Fault Detection&IsolationFault Detection&IsolationFault Detection&I