系统的可靠性分析与设计是系统架构设计师在系统分析与设计阶段、系统集成阶段应该重点考虑的问题。内容主要为可靠性设计、系统的故障模型、系统的可靠性模型、组合模型可靠性计算、马尔柯夫模型可靠性计算,以及硬件冗余、信息校验码等方面;另外也涉及系统可靠性分析与计算、系统可靠性评估和系统配置方法等概念与理论的实际工程运用等内容。
一、可靠性概述
与可靠性相关的概念主要有:可靠度、可用度、可维度、平均无故障时间、平均故障修复时间及平均故障间隔时间等
(1) 可靠度。系统的可靠度 R(t)是指在 t=0 时系统正常的条件下,系统在时间区间[0, t]内能正常运行的概率。
(2) 可用度。系统的可用度 A(t)是指系统在时刻 t 可运行的概率。
(3) 可维度。系统的可维度 M(t)是指系统失效后,在时间间隔内被修复的概率。
(4) 平均无故障时间。可靠度为 R(t)的系统平均无故障时间(Mean Time To Failure, MTTF)定义为从 t=0 时到故障发生时系统的持续运行时间的期望值。
(5) 平均故障修复时间。可用度为 A(t)的系统平均故障修复时间(Mean Time To Repair, MTR)可以用类似于求 MTTF 的方法求得。
(6) 平均故障间隔时间。平均故障间隔时间(Mean Time Between Failure, MTBF)常常与 MTF 发生混淆。因为两次故障(失败)之间必然有修复行为,因此,MTBF 中应包含 MTR。对于可靠度服从指数分布的系统,从任一时刻 t0 到达故障的期望时间都是相等的。
二、系统故障模型
1 故障的来源以及表现
下面先介绍几个概念。
(1) 失效:硬件的物理改变。
(2) 故障:由于部件的失效、环境的物理干扰、操作错误或不正确的设计引起的硬件或软件中的错误状态。
(3) 错误(差错):故障在程序或数据结构中的具体位置。错误与故障位置之间可能出现一定距离。故障或错误有如下几种表现形式。
永久性:描述连续稳定的失效、故障或错误。在硬件中,永久性失效反映了不可恢复的物理改变。
间歇性:描述那些由于不稳定的硬件或变化着的硬件或软件状态所引起的、仅仅是偶然出现的故障或错误。
瞬时性:描述那些由于暂时的环境条件而引起的故障或错误。
个故障可能由物理失效、不适当的系统设计、环境影响或系统的操作员所引起。永久性失效会导致永久性故障。间歇性故障可能由不稳定、临界稳定或不正确的设计所引起。环境条件会造成瞬时性故障。所有这些故障都可能引起错误。不正确的设计和操作员失误会直接引起错误。由硬件的物理条件,不正确的硬件或软件设计,或不稳定但重复出现的环境条件所引起的故障可能是可检测的,并且可以通过替换或重新设计来修复;然而,由于暂时的环境条件所引起的故障是不能修复的,因为其硬件本身实际上并没有损坏。瞬时和间歇故障已经成为系统中的一个主要错误源。
2 几种常用的故障模型
故障的表现形式千差万别,可以利用故障模型对千差万别的故障表现进行抽象。故障模型可以在系统的各个级别上建立。一般说来,故障模型建立的级别越低,进行故障处理的代价也越低,但故障模型覆盖的故障也越少。如果在某一级别的故障模型不能包含故障的某些表现,则可以用更高一级别的模型来概括。下面介绍几种常用的故障模型。
1.逻辑级的故障模型
固定型故障指电路中元器件的输入或输出等线的逻辑固定为 0 或固定为 1, 如某线接地、电源短路或元件失效等都可能造成固定型故障。短路故障是指一个元件的输出线的逻辑值恒等于输入线的逻辑值;元件的开路故障是元件的输出线悬空,逻辑值可根据具体电路来决定。桥接故障指两条不应相连的线连接在一起而发生的故障。
2.数据结构级的故障
故障在数据结构上的表现称为差错。常见的差错如下。独立差错:一个故障的影响表现为使一个二进制位发生改变。
算术差错:一个故障的影响表现为使一个数据的值增加或减少 2i (=0,1,2,…)。
单向差错:一个故障的影响表现为使一个二进制向量中的某些位朝一个方向(0 或 1) 改变
3.软件故障和软件差错
软件故障是指软件设计过程造成的与设计说明的不一致的情况,软件故障在数据结构或程序输出中的表现称为软件差错。与硬件不同,软件不会因为环境压力而疲劳,也不会因为时间的推移而衰老。因此,软件故障只与设计有关。常见的软件差错有以下几种。
非法转移:程序执行了说明中不存在的转移。
误转移:程序执行了尽管说明中存在,但依据当前控制数据不应进行的转移。
死循环:程序执行时间超过了规定界限。
空间溢出:程序使用的空间超过了规定的界限。
数据执行:指令计数器指向数据单元。
无理数据:程序输出的数据不合理
4.系统级的故障模型故障在系统级上的表现为功能错误,即系统输出与系统设计说明的不一致。如果系统输出无故障保护机构,则故障在系统级上的表现就会造成系统失效。
三、系统配置方法
容错技术是保证系统在某些组成部分出现故障或差错时仍能正常工作的技术。通常根据不同的系统配置方法而采用相应容错技术:单机容错技术、双机热备份技术和服务器集群技术
1 单机容错技术
容错技术是保证系统在某些组成部分出现故障或差错时仍能正常工作的技术。系统的故障可分为两类:一类是“致命的”,不可能自行修复,例如系统的主要部件全部损坏;另类是局部的,可能被修复,例如部分元件失效、线路故障、偶然干扰引起的差错等。容错技术正是用于构造一种能够自动排除非致命性故障的系统,即容错系统。
在单机容错技术中,提高系统工作可靠性的方法主要有自检技术和冗余技术。容错又有多种形式,如硬件容错、软件容错、整机容错等。
1.自检技术
自检指系统在发生非致命性故障时能自动发现故障和确定故障的性质、部位,并自动采取措施更换和隔离产生故障的部件。自检需采用诊断技术,常用专门程序实现,属于程序设计的范围。容错系统的实现要求系统必须具有重复部件或备份部件,或具有不止一个完成某种功能的通道。因此自检技术常配合冗余技术使用。计算机的容错系统一般都需要应用自检技术。
2.冗余技术
冗余可分为硬件冗余(增加硬件)、软件冗余(增加程序,如同时采用不同算法或不同人编制的程序)、时间冗余(如指令重复执行、程序重复执行)、信息冗余(如增加数据位)等。冗余技术中最常用的两种方法是重复线路和备份线路。重复线路指用多个相同品种和规格的元件或构件并联起来,当作一个元件或构件使用,只要有一个不出故障,系统就能够正常工作。在并联工作时每一个构件的可靠性概率是互相独立的。备份线路与重复线路的差别是参加备份的构件并不接入系统,只有在处于工作状态的构件发生故障后才把输入和输出接到备份构件上来,同时切断故障构件的输入、输出。
容错技术已获得广泛应用,常用于对可靠性要求高的系统,特别是用于危及人身安全的关键部位。在这些部位大多采用双重冗余,也有采用三重、四重甚至五重冗余的。现代的大型复杂系统常常是容错能力很强的系统。容错技术在计算机中应用得最早、最广泛。
2 双机热备份技术
双机热备份技术是一种软硬件结合的较高容错应用方案。该方案是由两台服务器系统和个外接共享磁盘阵列柜和相应的双机热备份软件组成。其中的外接共享磁盘阵列柜也可以没有,而是在各自的服务器中采取 RAID (Redundant Array of Independent Disk,独立冗余磁盘阵列)卡。
在这个容错方案中,操作系统和应用程序安装在两台服务器的本地系统盘上,整个网络系统的数据是通过磁盘阵列集中管理和数据备份的。数据集中管理是通过双机热备份系统,将所有站点的数据直接从中央存储设备读取和存储,并由专业人员进行管理,极大地保护了数据的安全性和保密性。用户的数据存放在外接共享磁盘阵列中,在一台服务器出现故障时,备机主动替代主机工作,保证网络服务不间断。
双机热备份系统采用“心跳”方法保证主系统与备用系统的联系。所谓“心跳”,指的是主、从系统之间相互按照一定的时间间隔发送通信信号,表明各自系统当前的运行状态。旦“心跳”信号表明主机系统发生故障,或者备用系统无法收到主机系统的“心跳”信号,则系统的高可用性管理软件认为主机系统发生故障,立即将系统资源转移到备用系统上,备用系统替代主机工作,以保证系统正常运行和网络服务不间断。
双机热备份方案中,根据两台服务器的工作方式可以有三种不同的工作模式,即:双机热备模式、双机互备模式和双机双工模式。
双机热备模式即目前通常所说的 active/ standby 方式,active 服务器处于工作状态;而 standby 服务器处于监控准备状态,服务器数据包括数据库数据同时往两台或多台服务器写入(通常各服务器采用 RAD 磁盘阵列卡),保证数据的即时同步。当 active 服务器出现故障时,通过软件诊测或手工方式将 standby 机器激活,保证应用在短时间内完全恢复正常使用。典型应用有证券资金服务器或行情服务器。这是目前用较多的一种模式,但由于另外一台服务器长期处于后备的状态,所以浪费了一部分计算资源。
用户可以根据系统的重要性及终端用户对服务中断的容忍程度决定是否使用双机热备份。例如,网络中的用户最多能容忍多长时间恢复服务,如果服务不能很快恢复会造成什么样的后果作为是否采用双机热备份的根据。对于承担企业关键业务应用的服务器需要极高的稳定性和可用性,并需要提供每周 7(天)×24(小时)不间断服务的应用,推荐使用双机热备份。
双机互备模式,是两个相对独立的应用在两台机器同时运行,但彼此均设为备机,当某台服务器出现故障时,另一台服务器可以在短时间内将故障服务器的应用接管过来,从而保证了应用的持续性,但对服务器的性能要求比较高。
双机双工模式是集群的一种形式,两台服务器均处于活动状态,同时运行相同的应用,以保证整体系统的性能,也实现了负载均衡和互为备份,通常使用磁盘柜存储技术。Web 服务器或 FTP 服务器等用此种方式比较多。
3 服务器集群技术
集群技术指一组相互独立的服务器在网络中组合成为单一的系统工作,并以单一系统的模式加以管理。此单一系统为客户工作站提供高可靠性的服务。大多数情況下,集群中所有的计算机拥有一个共同的名称,集群内任一系统上运行的服务可被所有的网络客户使用
集群必须可以协调管理各分离的构件出现的错误和故障,并可透明地向集群中加入构件。一个集群包含多台(至少二台)共享数据存储空间的服务器。其中任何一台服务器运行应用时,应用数据被存储在共享的数据空间内。每台服务器的操作系统和应用程序文件存储在其各自的本地储存空间上。
集群内各节点服务器通过一个内部局域网相互通信,当一台节点服务器发生故障时,这台服务器上所运行的应用程序将在另一节点服务器上被自动接管。当一个应用服务发生故障时,应用服务将被重新启动或被另一台服务器接管。当以上的任一故障发生时,客户都将能很快连接到其他应用服务器上。
四、系统可靠性模型
1 时间模型
最著名的时间模型是由 Shooman 提出的可靠性增长模型,这个模型基于这样一个假设:个软件中的故障数目在 t=0 时是常数,随着故障被纠正,故障数目逐渐减少。
2 故障植入模型
故障植入模型是一个面向错误数的数学模型,其目的是以程序的错误数作为衡量可靠性的标准,模型的原型是 1972 年由 Mills 提出的。
Mills 提出的故障植入模型的基本假设如下
(1) 程序中的固有错误数是一个未知的常数。
(2) 程序中的人为错误数按均匀分布随机植入。
(3) 程序中的固有错误数和人为错误被检测到的概率相同。
(4) 检测到的错误立即改正
3 数据模型
在数据模型下,对于一个预先确定的输入环境,软件的可靠度定义为在 n 次连续运行中软件完成指定任务的概率
五、系统可靠性分析和可靠度计算
1 组合模型
组合模型是计算机容错系统可靠性最常用的方法。一个系统只要满足以下条件,就可以用组合模型来计算其可靠性。作如下假设。
(1) 系统只有两种状态:运行状态和失效状态。
(2) 系统可以划分成若干个不重叠的部件,每个部件也只有两种状态:运行状态和失效状态。
(3) 部件的失效是独立的。
(4) 系统失效当且仅当系统中的剩余资源不满足系统运行的最低资源要求(系统的状态只依赖于部件的状态)时。
(5) 已知每个部件的可靠性,可靠性指可用度或可靠度等概率参数。组合模型的目标就是根据各部件的可靠性 Ri (t)来计算系统的可靠度 Rsys (t),组合模型的基本思想如下。
1.枚举所有系统状态
2.计算每个系统状态的概率系统状态的概率是指系统处于该状态的概率。
3.计算直接计算一个复杂系统的可靠性是很困难的,通常的方法是把整个系统分解为简单的子系统,通过子系统的组合来计算整个系统的可靠性。
系统分为 串联系统、并联系统、串并联系统。
2 马尔柯夫模型
马尔柯夫模型的两个核心概念是状态和状态转移。系统的状态表示了在任何瞬间用以描述该系统所必须知道的一切。对于可靠性分析,马尔柯夫模型的每个状态表示了有效和失效模块的不同组合。如果每个模块都是处于有效和失效两种情况之一,则一个 n 模块系统的完整模型有 2n 个状态。
状态转移是指随着时间的流逝,因模块的失效和修复,系统发生的状态变化。
作为马尔柯夫模型基础的基本假设是:给定状态的转移概率仅取决于当前的状态。系统从一个状态转移到另一个状态的转移率定义为单位时间内从状态ⅰ转移到状态 j 的概率。对于一个模块来说,从运行状态到失效状态的转移率就是模块的失效率,从失效状态到运行状态的转移率就是模块的修复率。
对于由 n 个模块构成的系统,共有 2n 个状态。从理论上说,任意两个状态之间都存在转移的可能性。但因失效是独立的,在很短的时间内发生多个失效的可能性远小于发生个失效的可能性。因此,只考虑任一时刻只有一个模块失效的转移;同样,也只考虑任意时刻只有一个模块修复的转移。系统的状态图也可以表示为层次图。第一层只有一个状态,对应于所有模块都运行的情况;第二层有 n 个状态,对应于一个模块失效的各种情况第+1 层有 Gi 个状态,对应于 n 个模块中有个失效的各种情况:第 n+1 层也只有一个状态,对应于全部模块都失效的情况。
六、提高系统可靠性的措施
防止故障造成系统失效的两种技术是故障掩蔽技术和系统重组技术,故障掩蔽技术是指防止故障造成差错的各种技术,系统重组技术是防止差错导致系统失效的各种技术。故障掩蔽技术和系统重组技术是达到容错的两种基本途径。而它们又是建立在资源冗余的基础上的。资源冗余有硬件冗余、信息冗余、时间冗余和软件冗余 4 种形式。
1 硬件冗余
硬件冗余最常用的是三模冗余(Triple Modular Redundancy, TMR),三个相同的模块接收三个相同的输入,产生的三个结果送至多数表决器。表决器的输出取决于三个输入的多数,若有一个故障模块,则另两个正常模块的输出可将故障模块的输出掩蔽,从而不在表决器输出产生差错。
2 信息冗余
信息冗余是指通过在数据中附加冗余的信息以达到故障检测、故障掩蔽或容错的目的。应用最广泛的是海明校验码、奇偶校验码。
1.海明校验码
海明校验码是由 Richard Hamming 于 1950 年提出,目前仍然被广泛采用的一种很有效的校验方法,是只要增加少数几个校验位,就能检测出二位同时出错,亦能检测出一位出错并能自动恢复该出错位的正确值的有效手段,后者称为自动纠错。它的实现原理,是在 k 个数据位之外加上 r 个校验位,从而形成一个 k+r 位的新的码字,使新的码字的码距比较均匀地拉大。把数据的每一个二进制位分配在几个不同的偶校验位的组合中,当某一位出错后,就会引起相关的几个校验位的值发生变化,不但可以发现出错,还能指出是哪一位出错,为进一步自动纠错提供了依据。
基本的海明纠错码能纠正一位错。它的原理是基于重叠奇偶校验的概念:将原始数据位分成若干个重叠的组,每组设一位奇偶校验位。由于组间有重叠,因此每位原始数据从属于多于一个组。而且每位原始数据的从属关系是不一样的,纠错时,根据哪些组的奇偶校验位出错,就可以唯一地确定是哪一位数据出错。将该位取反就完成了纠错。
2.循环冗余校验码
循环冗余校验码(Cyclic Redundancy Chec, CRC)也广泛应用于移动通信和磁盘数据存储中。CRC 也是给信息码加上几位校验码,以增加整个编码系统的码距和错纠错能力。
七、备份与恢复
在计算机系统中,硬件故障、系统软件和应用软件的故障、操作员的失误,甚至病毒、人为破坏总是不可避免的,为了保证故障发生后,系统能尽快从错误状态恢复到某种逻辑一致的状态,系统就必须有备份与恢复的机制。
系统的数据备份就是在系统其他地方创建数据与程序的电子复制,为重建系统中被破坏的或不正确的数据提供条件,备份最常用的技术是数据转储和建立日志文件。可以结合这两种技术为系统提供比较好的备份手段
数据转储可分为静态转储和动态转储。静态转储是指在系统中无事务时进行的转储操作,动态转储是指转储操作与用户事务并发进行,而且转储工作不会影响事务的运行,但它不能保证副本中的数据正确有效。
建立日志文件是指把所有事务对系统的修改活动都登记下来。若发生了故障,对于静态转储,可以在重装后备副本之后,利用日志文件进行恢复,避免重新运行事务;对于动态转储,可以把转储得到的副本和转储期间的日志文件结合起来进行故障恢复,使系统恢复正常工作状态。
备份通常分为联机备份和脱机备份两种方式
脱机备份也叫冷备份,是一种静态转储技术,备份系统所有的物理文件(控制文件、数据文件、重做日志和归档日志)和初始化文件。这种方式的优点是在恢复过程中步骤最少,它比热备份快并且出错机会少,定期的脱机备份加上一组好的重做日志可以把系统的数据恢复到任何一个时间点上。
联机备份也叫热备份,是一种动态转储技术,由于只备份所需的文件,因而被看作是部分备份。它在系统运行时执行。这种方式的优点是可以实现完全的时间点恢复,同时由于数据库一直处于打开状态,减少了系统对物理资源的要求,改善了数据的执行;但联机备份比较复杂,需要对系统的核心有比较深刻的认识,对备份策略进行反复的测试,才能最终确定它的正确性和可用性。
