3. Методы обеспечения устойчивости вычислительного процесса в асу.

Под живучестью будем понимать способность АСУ выполнять заданные функции по управле­нию силами при неблагоприятных воздействиях внешней среды, не предусмотренных нормами эксплуатации.

Основными мероприятиями по обеспечению живучести комплексов средств автоматизации многоуровневых АСУ являются:

дублирование и мажорирование устройств при соответст­вующем программном обеспечении;

диагностирование (самодиагностирование) на всех уровнях и передача этой информации на верхний и нижний уровни управления;

организация альтернативных маршрутов для обхода отказавших элементов;

выдача персоналу сообщений о возникшей ошибке и ее локализация;

обеспечение восстановления элементов без потери информации;

совершенствование системы контроля - уменьшение вре­мени диагностики, автоматизация реакции на ошибки.

Современный подход к обеспечению отказоустойчивости предусматривает упреждение отказов, переход от принципа "реагировать и выправлять" к принципу "предвидеть и преду­преждать", т. е. переход на эксплуатацию по фактическому со­стоянию, основанный на методах сплошного, непрерывного контроля и краткосрочном пошаговом прогнозировании состоя­ния устройств с соответствующей реакцией по результатам кон­троля на каждом шаге.

В научной литературе такой подход к управлению в чрезвы­чайных ситуациях (ЧС) называют сценарным подходом.

Под сценарием развития чрезвычайной ситуации понимается модель процесса изменения обстановки, связанного с возникно­вением и развитием ЧС, определяемого в дискретном времен­ном пространстве с заданным временным шагом.

Основа сценарного подхода - паспорт риска, предусматри­вающий оценку последствий отклонения характеристик или вы­ход из строя отбельных элементов и устройств, и банк данных об имеющихся в распоряжении органов управления ресурсах. Сценарный подход к управлению в чрезвычайных ситуациях включает в себя ряд взаимосвязанных этапов формирования и анализа сценариев возникновения и развития чрезвычайных ситуаций, который является главным инструментом для приня­тия эффективных решений и координации ответных действий, принимаемых системой управления.

Такой подход предполагает наличие опорной информации, характеризующей исходное состояние устройства, выбор опре­деляющих параметров этого состояния и пределов их измене­ния. При этом на этапе эксплуатации прослеживается деграда­ция параметров и оценка степени их приближения к пределу либо фиксируется начало возможных "лавинообразных" про­цессов разрушения и выводятся из эксплуатации неисправные и выработавшие ресурс изделия. Для реализации такого подхода необходимо.

определить наиболее важные параметры, определяющие пригодность изделия к эксплуатации;

установить шаг прогнозирования;

вырабатывать соответствующие рекомендации на основа­ нии результатов прогноза.

Наряду с термином "устойчивость" в научной литературе ис­пользуется термин "выживание". Под "выживанием" системы понимается процесс адаптации (как разновидность управ­ления параметрами и (или) структурой) к изменениям внешней ситуации и (или) отказам внутренней структуры с сохранением целевой функции благодаря соответствующе­му изменению структуры и поведения системы.

В современных отказоустойчивых системах (АСУ) заранее предусматриваются средства обеспечения работоспособности системы при возникновении сбоев, отказов, воздействии внеш­них помех, т. е. при предсказуемых изменениях условий функ­ционирования. В большинстве случаев отказоустойчивость как сохранение работоспособности при отказах внутренних элемен­тов достигается путем введения различного рода избыточности, благодаря возможности реконфигурирования структуры и в очень редких случаях - изменением организации функциониро­вания системы.

Не следует считать, что рост числа дублирующих элементов сопровождается пропорциональным увеличением живучести. Здесь имеются особенности, связанные с насыщением, избыточностью, сниже­нием эффекта от ее внедрения в уже избыточную структуру. Для каждого конкретного случая степень избыточности опреде­ляется спецификой решения задач управления.

Особого внимания заслуживают особенности поведения АСУ в аварийных ситуациях, к которым можно отнести:

изменение целей управления, поскольку главной задачей становится сохранение целостности самой системы;

активное отклонение многих регулируемых параметров от нормальных пределов в целях самосохранения системы;

изменение структуры внешних связей (разрыв, отклонение отдельных элементов и включение других).

Еще раз отметим, что при функционировании АСУ на устой­чивость вычислительного процесса наряду со сбоями и отказами устройств влияют невыявленные ошибки в комплексе программных средств.

Циркулирующая в АСУ информация обычно характеризует­ся вероятностью искажения примерно в 10 ~^? - 10 "⁵ на бит и требует проведения контроля и предварительной обработки. В процессе отладки основная часть ошибок в комплексе программ обнаруживается и устраняется, однако всегда есть риск прояв­ления какой-то ошибки при некотором ранее не испытанном со­четании правильных исходных данных. Такая ошибка при сво­ем проявлении может приводить пли к некоторым изменениям результатов, или к прекращению работы системы, эквивалент­ному отказу. Вероятность искажения результатов из-за ошибок

в сложных программах можно оценить величиной 10 "⁷ - 10 "⁸ на одну исполненную команду.

При абсолютно надежном функционировании аппаратуры искажение результатов, частичный или полный отказ выполне­ния функций комплексом программ может являться следствием непредусмотренного или искаженного взаимодействия про­грамм и исходных данных. Искажения результатов и отказы вследствие ошибок программ зависят от степени отлаженности программ и уменьшаются в процессе их разработки и совер­шенствования. Этот период по своим характеристикам (но не по физической сущности) похож на период «приработки» техниче­ских средств (рис. 1.).

Рис. 1. Зависимость устойчивости функционирования комплекса программ от длительности его использования

Суть изображенной на рис. 1 зависимости заключается в следующем:

• если в процессе отладки были учтены типовые (в том чис­ле и критические) условия эксплуатации и состав посту­пающей информации, то при переходе к нормальной экс­плуатации интенсивность проявления искажений обычно убывает;

• если в период эксплуатации в аппаратуру АСУ не вносятся изменения, интенсивность проявления искажений может считаться постоян­ной;

• по мере эксплуатации системы возрастает доверие к комплексу программ, увеличивается количество подобных функционирующих систем, что приводит к расширению вариантов (условий) исполнения программ; вследствие этого выявляются функциональные недостатки комплекса программ и начинаются попытки модифицировать его к новым более широким условиям; это приводит к появлению новых (вторичных) ошибок и после нескольких доработок комплекс программ морально устаревает и подлежит полной замене. Возможность возникновения описанных выше ситуаций обуславливает необходимость ввода средств оперативного обнаружения искажений вычислительного процесса (ВП) и принятия мер для снижения их влияния на эффективность функционирования АСУ.

Рис. 2. Граф состояний АСУ со средствами функциональ­ного контроля и восстановления

Функционирование АСУ со средствами функционального контроля и восстановления можно описать с помощью следую­щих возможных состояний (рис. 2):

- нормальное функционирование при отсутствии искаже­ний;

- режим контроля и обнаружения ошибок;

- функционирование при наличии ошибки, не обнаружен­ной системой контроля;

- восстановление после действительного искажения;

- восстановление после ложной тревоги.

Процесс периодического контроля и оперативного обнаруже­ния ошибок и искажений информации можно охарактеризовать следующими показателями:

- потерями в эффективности функционирования системы управления из-за запаздывания в результате соответствую­щей реакции при обнаружении ошибки;

- длительностью проведения одной процедуры контроля;

- вероятностью обнаружения искажения при одной процеду­ре контроля;

- вероятностью ложного обнаружения ошибки, когда ее в действительности нет.

Методы восстановления нормального процесса функциони­рования АСУ можно оценивать следующими показателями:

- вероятностью восстановления нормального процесса управления;

- длительностью и затратами ресурсов на восстановление;

- длительностью стабилизации и установления нормального процесса управления после восстановления.

Одной из причин снижения устойчивости вычислительного процесса является иска­жение информации. Для большинства систем управления, работающих в реаль­ном масштабе времени, требуется достаточно высокая досто­верность, оперативность и непрерывность выработки управ­ляющих воздействий и недопустимы значительные перерывы и искажения в сборе данных обстановки и выдаче команд управления.

Последствия искажений могут проявляться в следующем ви­де:

- зацикливание, т. е последовательно повторяющаяся реали­зация определенной группы команд, не прекращающаяся без внешнего вмешательства:

• останов и прекращение решения функциональных задач;

• искажение процессов взаимного прерывания программ, приводящее к блокировке возможности некоторых типов прерываний;

• прекращение или снижение темпа выполнения некоторых задач вследствие перегрузки ЭВМ по пропускной способности;

• искажение или потеря накопленной информации о текущем состоянии управляемого процесса;

• пропуск отдельных программ или существенных частей программ;

• выход на непредусмотренные алгоритмом подпрограммы;

- обработка ложных или искаженных сообщений.

В зависимости от причин и степени проявления обнаружен­ных искажений возможны следующие оперативные меры для обеспечения устойчивости вычислительного процесса:

игнорирование обнаруженного искажения (из-за слабого влияния на ВП и выходные результаты);

повторение функционального алгоритма отдельной под­программы при тех же исходных данных;

исключение сообщения вследствие его искаженности или трудности восстановления вычислительного процесса;

кратковременное прекращение решения задач до обновления исходных данных;

перестройка режима выполнения алгоритма в связи с перегрузкой системы или потерей информации в ходе вычислений;

переход на резервный вычислительный комплекс с накоп­ленной информацией о ходе вычислительного процесса или восстановление информации за счет ее дублирования;

перезапуск ЭВМ и ряд других.

Указанные меры оперативной защиты вычислительного процесса должны преду­сматривать возможность индикации и регистрации возникаю­щих искажений для анализа их операторами.