一种自修复处理器对锁步系统的可靠性建模与分析方法与流程

本发明涉及计算机可靠性分析领域，具体涉及一种锁步系统的可靠性建模与分析方法。

背景技术：

处理器锁步(lockstep)技术是指由两个处理器构成自监控对，不断地检查操作功能的正确性，并建立故障抑制区，防止故障蔓延到系统。在支持故障自修复的锁步系统中，在发生锁步故障后，还可以通过处理器状态回滚等方式修复处理器发生的瞬时故障。为了提高航空、航天计算机控制等高安全关键系统的可靠性，处理器锁步技术越来越多地被应用于上述领域。

随着锁步技术日趋成熟，应用领域日趋广泛，对锁步系统的可靠性分析成为了安全关键系统领域里一个亟待解决的问题。在中国专利：《一种嵌入式系统可靠性分析与评估方法》(公开号cn101901186a)中提出了一种自底向上的aadl(美国自动化工程师协会发布的航空标准as5506——架构分析与设计语言)转换gspn(广义随机petri网的可靠性模型)的可靠性分析方法，通过逐层向上迭代的方式计算出整个嵌入式系统的可靠性。

上述方法虽然能够获得嵌入式系统的可靠性指标，但是对于锁步系统来说，使用该方法进行可靠性分析存在着下列问题：aadl转换gspn过程繁琐，建模过程相对复杂；自底向上的迭代方式适合已经存在的系统，对于尚不存在或正在研发中的系统不够友好；适用于通用的嵌入式系统，对锁步处理器对的自监控、自修复功能没有针对性。

技术实现要素：

为了克服现有技术的不足，本发明提供一种自修复处理器对锁步系统的可靠性建模与分析方法，该方法在建立gspn可靠性模型时采用系统抽象的方式进行建模。对已经存在的系统，按照准确、完整和简洁的建模要求，详尽地描述整个系统；对于尚在研发过程中的系统，注意预留接口或者采用抽象预估值的方式，使尚未完成的部分不影响整个系统可靠性模型的建立。同时，针对自修复处理器对锁步系统的同源时钟、双核锁步、故障容忍、故障自检、故障定位以及故障自恢复等特性，在建模对象、建模事件、建模结构等方面都做出了针对性的调整，使得本发明能够很好地支持自修复处理器对锁步系统，能够有效地得到锁步系统的可靠度函数。

为达到上述目的，本发明提供一种自修复处理器对锁步系统的可靠性建模与分析方法，包括以下步骤：

步骤1：将锁步系统的整体状态以及锁步系统中自修复处理器的状态抽象成gspn可靠性模型的库所集，库所集中的每一个元素分别对应一个不同的状态；将自修复处理器瞬时故障发生及修复的动作、锁步系统中其它部件故障发生及修复的动作抽象成gspn可靠性模型的变迁集，变迁集中的每一个元素分别对应一个不同的动作；完成建模对象分析；

步骤2：由于发生了gspn可靠性模型变迁集中各元素对应的动作而使库所集中元素状态发生改变，从而形成了库所集与变迁集之间的关系，将这种关系抽象成库所集中元素和变迁集中元素之间的有向弧集和gspn可靠性模型的点火变迁规则，完成建模事件和条件分析；

步骤3：将gspn可靠性模型变迁集中表示故障发生动作的延时变迁元素的平均实施速率设置为对应的发生故障的部件的故障率，将gspn可靠性模型变迁集中表示故障修复动作的延时变迁元素的平均实施速率设置为对应的修复故障的部件的修复率，完成变迁参数设置，由此得到锁步系统的gspn可靠性模型；

步骤4：根据锁步系统中各部件的初始状态，对gspn可靠性模型进行初始化，得到初始状态集，初始化规则为：状态集中元素数量和库所集相同，各元素的值为库所集中各元素在初始状态下所包含的token数量；

步骤5：针对步骤1至步骤3建立的gspn可靠性模型，由gspn可靠性模型的初始状态集及步骤2中获取的点火变迁规则，每产生一个变迁，库所集中与该变迁相关的元素状态就会发生变化，该元素所包含的token也会产生相应地变化，从而得到锁步系统可达的所有状态，每种状态下库所集中各元素所包含的token数量用对应状态集进行记录，完成模型可达性分析；

步骤6：根据步骤5中完成的gspn可靠性模型可达性分析，将gspn可靠性模型的可达状态作为markov链的顶点，可达状态之间的直达关系对应markov链顶点间的有向弧，可达状态之间的可达关系对应markov链顶点间的由多个有向弧组成的有向路径，构造gspn可靠性模型同构markov链；

步骤7：根据步骤6得到的gspn可靠性模型同构markov链，得到gspn可靠性模型各可达状态的状态转移矩阵，由该状态转移矩阵可得到gspn可靠性模型每个可达状态当前时刻的累计概率函数与下一时刻的累计概率函数之间的关系方程，对该方程采用拉普拉斯变换方法求解，得到锁步系统的可靠度函数，从而完成锁步系统的可靠性分析。

本发明采用的自修复处理器对锁步系统的可靠性建模与分析方法，通过自顶向下的抽象过程建立锁步系统的可靠性gspn模型，建模过程相对简单，对复杂锁步系统的支持度良好；模型分析过程有严格的数学方法支持，通过markov链的数学求解过程，可以精确地求解模型的可靠度函数；通过合理地设置抑制弧，一定程度上解决了当系统运行关系复杂时，构造markov链时产生的“状态爆炸”问题。

附图说明

图1为本发明实施例的锁步系统架构图；

图2为本发明实施例的锁步系统的gspn可靠性模型图；

图3为本发明实施例的锁步系统的gspn可靠性模型可达图；

图4为本发明实施例的锁步系统的gspn可靠性模型同构markov链图示。

具体实施方式

下面结合实施例和附图对本发明进一步说明。

如图1所示，本发明采用一种简单的自修复处理器对锁步系统作为实施例。

在该系统运行时，两处理器同时加载相同负载，并同时运行，当处理器需要访存时，锁步单元控制内总线保持，处理器将访存数据送入锁步单元进行对比。若对比无误，则锁步单元控制内总线使能，处理器访存过程继续进行；若对比有误，则说明处理器1或2出现瞬时故障，转入故障处理过程。

在系统正常运行时，处理器在固定时间将自身运行状态存入故障处理单元的缓存器中；若在检查点之前没有发生故障，则将当前状态覆盖缓存器内容；若在检查点之前发生故障，则从故障处理单元的缓存器中取出保存的运行状态，覆盖处理器的寄存器、堆栈等信息，故障修复过程完成。

如图2所示，本发明将上述锁步系统抽象成gspn可靠性模型。

按步骤1，在抽象过程中，将自修复处理器的状态及锁步系统的状态抽象成库所集p＝{p0，p1，p2，p3，p4，p5，p6}。其中，p0表示系统处理器个数，p1表示处理器1正常运行，p2表示处理器2正常运行，p3表示处理器1故障状态，p4表示处理器2故障状态，p5表示系统故障容忍状态，p6表示系统故障状态。

将自修复处理器瞬时故障发生及修复的动作、锁步系统中其它部件故障发生及修复的动作抽象成变迁集t＝{t0，t1，t2，t3，t4，t5，t6}。其中，t0表示处理器1发生瞬时故障，t1表示处理器1瞬时故障修复，t2表示处理器2发生瞬时故障，t3表示处理器2瞬时故障修复，t4，t5为瞬时变迁，负责系统非稳态的转换，t6表示系统其它串联部件(如锁步单元，故障处理单元等)发生故障。

按步骤2，将可靠性模型的库所集和变迁集的关系抽象成库所集中元素和变迁集中元素之间的有向弧集和点火变迁规则，根据点火变迁规则，该模型中所有的弧权均为1。

按步骤3，将处理器的故障率和修复率等信息抽象成可靠性模型变迁集中延时变迁元素的平均实施速率，即t0的平均实施速率为处理器1的故障率λ1，t1的平均实施速率为处理器1的修复率μ1，t2的平均实施速率为处理器2的故障率λ2，即t3的平均实施速率为处理器2的修复率μ2，t6的平均实施速率为其它等效串联部件的故障率之和λ总(2λ故障处理单元+λ锁步单元+2λ内存+...)。

按步骤4，在系统初运行时，锁步处理器、锁步单元、故障处理单元等设备均完好，初始库所p1、p2、p5含有1个token，其他库所均为空，即模型的初始状态m0＝(0，1，1，0，0，1，0)。

以上工作将锁步系统抽象成gspn可靠性模型，下面是进行模型分析。

按步骤5，并参考图2，已知：模型的初始状态m0、库所集中元素和变迁集中元素之间的有向弧集、点火变迁规则、模型的使能变迁t0、t2、t6，对模型进行可达性分析。

考虑变迁t0，即处理器1发生瞬时故障，库所p1、p5中token消失，p3、p0中产生token，模型状态变为ma＝(1，0，1，1，0，0，0)。该状态下瞬时变迁t4使能，即该状态不是稳态，t4变迁点火后，模型状态变为m1＝(1，0，1，1，0，0，1)，表示系统由于处理器1发生瞬时故障而失效。

在状态m1下，变迁t1使能，在t1点火后，库所p3、p0中token消失，p1、p5中产生token，模型状态变为mb＝(0，1，1，0，0，1，1)。该状态下瞬时变迁t5使能，即该状态不是稳态，t5变迁点火后，模型状态变为m0＝(0，1，1，0，0，1，0)，表示系统由于处理器1瞬时故障修复而正常运行。

考虑变迁t2，即处理器2发生瞬时故障，库所p2、p5中token消失，p4、p0中产生token，模型状态变为mc＝(1，1，0，0，1，0，0)。该状态下瞬时变迁t4使能，即该状态不是稳态，t4变迁点火后，模型状态变为m2＝(1，1，0，0，1，0，1)，表示系统由于处理器2发生瞬时故障而失效。

在状态m2下，变迁t3使能，在t3点火后，库所p4、p0中token消失，p2、p5中产生token，模型状态变为mb＝(0，1，1，0，0，1，1)。该状态下瞬时变迁t5使能，即该状态不是稳态，t5变迁点火后，模型状态变为m0＝(0，1，1，0，0，1，0)，表示系统由于处理器2瞬时故障修复而正常运行。

考虑变迁t6，即系统中其他串联同构部件发生故障，库所p5中token消失，p0中产生token，模型状态变为md＝(1，1，1，0，0，0，0)。该状态下瞬时变迁t4使能，即该状态不是稳态，t4变迁点火后，模型状态变为m3＝(1，1，1，0，0，0，1)，表示系统由于其他串联同构部件发生故障而失效。

如图3所示，将上述模型状态与模型状态改变所点火的变迁相连，即为模型的可达图，该图中包含四个稳定状态m0，m1，m2，m3和四个非稳态ma，mb，mc，md。状态之间的有向弧为模型转换所需要的变迁。

按步骤6，如图4所示，将模型可达图中的非稳态去除，在图中的有向弧上加上模型的平均实施速率，即为模型的同构markov链。

其中，变迁t0表示处理器1发生瞬时故障过程，平均实施速率为处理器1的故障率λ1，变迁t1表示处理器1故障自修复过程，平均实施速率为处理器1的修复率μ1，变迁t2表示处理器2发生瞬时故障过程，平均实施速率为处理器2的故障率λ2，变迁t3表示处理器2故障自修复过程，平均实施速率为处理器2的修复率μ2，变迁t6为其它等效串联部件发生故障过程，平均实施速率为各元件故障率之和λ总。

按步骤7，设p0(t)、p1(t)、p2(t)、p3(t)分别对应状态m0、m1、m2、m3的累计概率函数。

根据公式

其中：pi(t)即为第i个状态的累计概率函数，i＝0,1,…,n；

t为时间；

δt为时间增量；

p为系统的状态转移矩阵。

参考图4，系统的状态转移矩阵为

根据公式(1)，(2)可列方程组

对方程组(3)进行拉普拉斯变换，解得状态m0的累计概率函数，所得p0(t)即为锁步系统的可靠度函数，从而完成锁步系统的可靠性分析。