1、系統可靠性基本概念北京郵電大學計算機科學與技術學院姚文斌結構n故障的表現及分布n計算機系統可靠性概念n計算機系統可靠性分析基本概念n失效failuren失效是指硬件物理特性的異變n故障faultn故障是硬件或軟件的錯誤狀態，是失效在邏輯上的等效n錯誤errorn錯誤是指程序或數據結構中的故障表現形式，是故障和失效造成的后果故障來源n元器件失效早期失效 中期失效晚期失效tZ(t)電子元件失效率曲線環境因素n溫度、濕度、沖擊、振動、電磁場、核輻射、鹽霧、霉菌等都會對系統可靠性產生影響n為減少環境因素產生的故障，要對元器件進行環境應力篩選，即進行溫度循環、熱沖擊、機械沖擊和離心加速度實驗，淘汰失效或

2、惡化器件，同時進行環境防護設計，如熱設計、機械應力防護設計、化學防護設計、電磁兼容性設計等設計故障n硬件、軟件設計故障n尤其是隨著軟件規模的擴大，設計故障發生的概率顯著上升故障表現n故障的表現千差萬別，可以利用故障模型對故障表現進行抽象n故障模型的優劣n廣泛性，即故障模型概括了多少故障n易處理性，即在這種故障模型下，易于進行故障處理（檢測、診斷或容忍等）的程度n廣泛的模型往往復雜、難于處理，而簡單、易于處理的模型又往往不能廣泛地反映實際的故障表現邏輯級的故障模型n固定型故障n電路中元器件的輸入或輸出等線的邏輯值固定為0或為1。如線接地、電源短路或元件失效等。n短路或開路故障n元件短路是指元件的

3、輸出線邏輯值恒等于輸入線的邏輯值；元件開路是指元件的輸出線懸空，邏輯之可根據具體電路來決定n橋接故障n兩條（相鄰）不應相連的線連接在一起發生的故障數據結構級的故障n故障在數據結構上的表現稱為差錯n獨立差錯：一個故障的影響表現為一個二進制位發生改變n算數差錯：一個故障的影響使一個數據的值增加或減少2in單項差錯：一個故障的影響使一個二進制向量中某些位朝一個方向（0或1）改變軟件故障和軟件差錯n軟件故障是指軟件設計過程中造成的與設計說明的不一致，軟件故障在數據結構或程序輸出的表現稱為軟件差錯n非法轉移n誤轉移n死循環n空間溢出n數據執行n無理數據系統級的故障模型n故障在系統級上的表現為功能錯誤，即

4、系統輸出與系統設計說明的不一致。如果系統輸出無故障保護機構，則故障在系統級上的表現就會造成系統失敗n從延續時間來考慮，可以把故障或錯誤分為永久性的、間歇性的和瞬時性的三種n永久性是描述連續穩定的失效、故障或錯誤n間歇性是描述那些由不穩定的硬件或變化著的硬件或軟件狀態所引起的、僅僅是偶然出現的n瞬時性是由暫時的環境條件引起的概念區分nAlgirdas Avizienis, Jean-Claude Laprie, Brian Randell, Carl Landwehr. Basic Concepts and Taxonomy of Dependable and Secure Computing,

5、 IEEE Transaction on Dependable and Secure Computing, 2004, 1(1): 11-33IEEE刊物n1954年Trans. of the IRE Professional Group on Reliability and Quality Control, 1955-1962年改名為IEEE Trans. on Reliability and Quality Control,1963年改名為IEEE Trans. on Reliability(三月刊) n2001年創刊IEEE Trans. on Device and Materials

6、Reliability(三月刊)n2003年創刊IEEE Security & Privacy(雙月刊)n2004年創刊IEEE Trans. on Dependable and Secure Computing(三月刊)n2006年創刊IEEE Trans. on Information Forensics(信息鑒別) and Security(三月刊)n2007年創刊IET(the Institution of Engineering and Technology) Information Security(三月刊)ACM刊物nACM 創立于1947年，是全球歷史最悠久和最大的計算

7、機教育和科研機構。 n1998年創刊ACM Trans. on Information and System Security(三月刊)n2009年創刊Journal of Data and Information Quality可信定義nDependability: the ability to deliver service that can justifiably be trustednThe dependability of a system is the ability to avoid service failures that are more frequent and more

8、 severe than is acceptablel Confidentiality: the absence of unauthorized disclosure of information結構n故障的表現及分布n計算機系統可靠性概念n計算機系統可靠性分析系統可靠性分析n可靠性的平均壽命可維修系統MTBFn平均系統失效間隔時間不可維修系統MTTFn平均無故障運行時間n例：n有一個系統由4000個元件組成，元件的失效率為每1000小時0.02%，則每小時的平均失效數為8*10-4個/小時。所以系統的MTBF為1/（8*10-4）小時，即1250小時。單位要統一10dteMTBFtn可改寫可

9、靠度公式n當t=MTBF，則R(t)=36.8%MTBFtteetR/)(MTBFn當 很小時，t)(111)(tRtMTBFMTBFtttRn在大量的場合里，要求計算機短時間內具備較高的可靠性n例如：一臺計算機由10000個元件組成，每個元件的失效率為0.05%每1000小時，對應于99%可靠度的系統運行時間是小時則小時為系統失效率210501. 0/10510510N)(01. 001. 099. 013374tMTBFttMTBFsss系統可靠性的數學模型n一個計算機系統是由許多個子系統組成的，而一個子系統則由大量的元、器件所組成。為了定量的得出系統的可靠度，一般從元器件的可靠度到子系統

10、的可靠度，進而到整個系統的可靠度。因此根據系統與系統內部的各子系統的相互關系建立可靠度的數學模型十分必要的。n可靠性框圖與邏輯框圖n一、串聯可靠性系統的可靠性模型niistRtR1)()()()(tRtRisniis1niisMTBF111 可見，串聯系統平均無故障運行時間小于子系統的平均無故障運行時間n考慮一種特殊情況)()()(.)()(021tRtRtRtRtRninMTBFnMTBFnetRtRsstnns00001)()(0n二、并聯可靠性系統可靠性模型niiStRtR1)(1 1)()()(tRtRiSn考慮一種特殊情況tnietRtRtRtRtR0)()()(.)()(021nt

11、nsetRtR)1 (1)(11)(0001100)1(1)(MTBFiidttRMTBFniniSSn假設一個系統由兩個子系統組成，即n=2nMTBF提高了1.5倍00123)1(MTBFiMTBFniSn三、串、并聯混合系統可靠性模型可分為三種形式n串-并聯可靠性系統n并-串聯可靠性系統n復雜的可靠性系統n1、串-并聯可靠性系統minjijStRtR11)(11)(n若各模塊可靠度相等mnSijtRtRtRtR)(11)()()(00n2、并-串聯可靠性系統njmiijStRtR11)(11)(l若各模塊可靠度相等nmSijtRtRtRtR)(11)()()(00n串并聯與并串聯系統的可靠

12、度比較nn=m=2Ra0.70.80.90.95串串-并聯并聯Rs0.7390.8700.9630.991并并-串聯串聯Rs0.8280.9210.980.995Fault Detection&IsolationFault Detection&IsolationFault Detection&IsolationFault Detection&IsolationRedundantI/ORedundantCPU/Memoryn3、復雜的可靠性系統nStratus nftserver 2300n可靠性框圖2)1 (1IOCMRRRn邏輯結構Fault Detection&IsolationFault Detection&IsolationFault Detection&Iso