автореферат диссертации по информатике, вычислительной технике и управлению, 05.13.15, диссертация на тему:Контролируемая замена версий программного обеспечения бортовой вычислительной системы реального времени

кандидата технических наук
Ти Хан
город
Москва
год
2008
специальность ВАК РФ
05.13.15
Диссертация по информатике, вычислительной технике и управлению на тему «Контролируемая замена версий программного обеспечения бортовой вычислительной системы реального времени»

Автореферат диссертации по теме "Контролируемая замена версий программного обеспечения бортовой вычислительной системы реального времени"

На правах рукописи

Ти Хан

КОНТРОЛИРУЕМАЯ ЗАМЕНА ВЕРСИЙ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ БОРТОВОЙ ВЫЧИСЛИТЕЛЬНОЙ СИСТЕМЫ РЕАЛЬНОГО ВРЕМЕНИ

Специальность 05.13.15 - Вычислительные машины и системы

АВТОРЕФЕРАТ

Диссертация на соискание учёной степени кандидата технических наук

12 лент

Москва 2008

003457263

Работа выполнена на кафедре «Вычислительные машины, системы и сети» Московского авиационного института (государственного технического университета)

11аучный руководитель: доктор технических наук, профессор Брехов Олег Михайлович

Официальные оппоненты: доктор технических наук, профессор Карпов Валерий Иванович

кандидат технических наук, с.н.с. Сальман Леонид Абрамович Ведущая организация: НИИВК им. М.А. Карцева

Защита состоится «25»2008 г. в 40^рчасов на заседании диссертационного совегаУ.?-12.125.01 в Московском авиационном институте (государственном техническом университете) по адресу: I25993, г. Москва, А-80, ГСП-3, Волоколамское шоссе, д. 4.

С диссертацией можно ознакомиться в библиотеке Московского авиационного института (государственного технического института)

Автореферат разеолаи «24» ноября 2008 г.

Учёный секретарь

диссертационного совета Д 212.125.01 д.т.н., профессор

Г. Ф. Хахулин

ОБЩАЯ ХАРАКТЕРИСТИКА РАБОТЫ

Актуальность темы

Бортовая вычислительная система реального времени (БВСРВ), которая эксплуатируется достаточно долго, например, на спутнике, с целью усовершенствования функциональных возможностей аппарата и повышения его надежности и производительности требует проведения замены - модификации для улучшения программного обеспечения. Замена должна быть выполнена, не прекращая выполнения задания аппарата (лучше во время не интенсивного выполнения задания, т.е. когда не требуются вся вычислительная мощность процессора/процессоров БВСРВ).

Новая версия программного обеспечения, которая должна изменить старую версию, должна быть протестирована на земле. Однако это программное обеспечение может оказаться неработоспособным на борту во-время выполнения полетного задания. В этом случае необходимо прервать замену и продолжить выполнение задания старой версии программного обеспечения. При неудачной замене новая версия программного обеспечения должна быть исправлена и заново протестирована на земле. После этого осуществляется следующая попытка замены. В публикациях А. Т. Tai, К. S. Tso, W. Н. Sanders, L. Alkalai, и S. N. Chau реализуется такой метод замены версий.

Временные затраты отката назад к старой версии и другим программам, зависящим от распространенной ошибки в новой версии, могут быть весьма ощутимыми и, кроме того, не предсказуемыми.

Для жестких и даже мягких систем реального времени такая ситуация не может приемлема.

Необходимо предложить улучшенный метод замены версий, обеспечивающий контролируемое время восстановления работоспособности системы так, чтобы возможные временные затраты при возврате от новой версии к старой версии не превышали граничного времени.

Цель диссертационной работы

Целью работы является разработка методики выполнения контролируемой замены версий для бортовой вычислительной системы в режиме реального времени ее работы.

Для достижения указанной цели в работе должны быть решены следующие научно-исследовательские и практические задачи:

1. Разработана методика выполнения контролируемой замены версий

программного обеспечения для бортовой вычислительной системы в режиме

реального времени ее работы.

2. Разработан протокол контролируемой замены версий программног обеспечения бортовой вычислительной системы реального времени, предусматривающий введение промежуточной фазы замены.

3. Разработаны аналитические модели восстановления вычислений при прекращении замены в заданном временном интервале.

4. Разработаны аналитические модели оценки времени выполнения контролируемой замены версий программного обеспечения.

5. Разработаны имитационные модели контролируемой замены версий программного обеспечения на основе системы моделирования GPSS.

6. Предложен метод реализации контролируемой замены версий программного обеспечения для бортовой вычислительной системы в режиме мягкого и жесткого реального времени.

Методы исследования

При решении поставленных задач в диссертационной работе были использованы методы теории вероятностей и математической статистики, математического и имитационного моделирования, теории графов и теории надежности информационных систем. Математические модели представлены в виде компьютерных программ на языке программирования MatLab и математических расчетов в Excel. Имитационные модели построены на основе системы моделирования GPSS.

На защиту выносятся следующие положения:

1. Разработана методика выполнения контролируемой замены версий программного обеспечения для бортовой вычислительной системы в режиме реального времени ее работы.

2. Разработан протокол контролируемой замены версий программного обеспечения бортовой вычислительной системы реального времени, предусматривающий введение промежуточной фазы замены.

3. Разработаны аналитические модели восстановления вычислений при прекращении замены в заданном временном интервале.

4. Разработаны аналитические модели оценки времени выполнения контролируемой замены версий программного обеспечения.

Научная новизна

1. Разработана методика выполнения контролируемой замены версий программного обеспечения для бортовой вычислительной системы в режиме реального времени ее работы.

2. Разработан протокол контролируемой замены версий программного обеспечения бортовой вычислительной системы реального времени, предусматривающий введение промежуточной фазы замены.

3. Разработаны аналитические модели восстановления вычислений при прекращении замены в заданном временном интервале.

4. Разработаны аналитические модели оценки времени выполнения контролируемой замены версий программного обеспечения.

5. Разработаны имитационные модели контролируемой замены версий программного обеспечения на основе системы моделирования СРББ.

Достоверность полученных в диссертационой работе результатов подтверждается:

• Корретностью использования адекаватного математического аппратата;

• Достаточной апробацией материалов диссертации;

• Сравнение результатов аналитических и имитационных моделей

Практическая ценность диссертационной работы

Предложен метод реализации контролируемой замены версий программного обеспечениядля бортовой вычислительной системы в режиме мягкого и жесткого реального времени.

Тема диссертационной работы связана с договором о сотрудничестве между Российской Федерацией и Союза Мьянмы.

Реализация результатов работы

Результаты диссертационной работы использовались в учебном процессе кафедры «Вычислительные машины, системы и сети» Московского авиационного института (государственного технического университета)

Апробация работы

Основные положения и результаты диссертационного исследования докладывались автором и обсуждались: на XVI международном научно-техническом семинаре (Алушта, 2007г.), на всероссийской конференции молодых ученых и студентов «Информационные технологии в авиационной и космической технике» (Москва, 2008г.), на XVII международном научно-техническом семинаре (Алушта, 2008г.).

Публикации

Основные материалы диссертационной работы опубликованы в 4 печатных работах. В том числе одна работа опубликована в журнале, рекомендуемом ВАК.

Структура и объем работы

Диссертационная работа состоит из введения, четыре глава, заключения и списка используемых источников. Основная часть диссертации содержит 105 страницы машинописного текста, включая 49 рисунок и 9 таблиц. Список литературы включает 50 наименований. Общий объем диссертационной работы составляет 114 страниц.

СОДЕРЖАНИЕ РАБОТЫ

Во введении обосновывается актуальность диссертационной работы, формулируются основные цели и задачи работы. Рассматриваются метод исследований, раскрывается новизна и практическая ценность работ1 Рассматриваются реализация контролируемой замены версий функциональнь задач.

В первой главе сформулирована постановка задачи и описание подхода к решению. В основе методологии КЗВФЗ лежит необходимость исключи' нарушение работоспособности встроенной (бортовой) вычислительной систем реального времени при замене версии программного обеспечения. Нарушен работоспособности системы может быть обусловлено:

- потерей функциональности системы в процессе замены;

- возможным простоем системы в период переключения версий программного обеспечения;

- сбоями, вызванными ошибками при разработке тех или иных вере программного обеспечения.

Существует методы реализации замены версии ПО, которые реализу операцию замены старой версии в две фазы:

1. Фаза проверки работоспособности новой версии

2. Фаза первичного управления системой при выполнении новой версии.

Во время фазы проверки работоспособности новой версии БВС

функционирует под управлением старой версии, однако, новая версия выполняет параллельно со старой, результаты ее решения не используются для управлен объектом, но проверяются с помощью проверочного теста ПТ или путем сравнен с результатами старой версии. На этой фазы в случае возникновения в нов версии ошибки замена прекращается. Выполняется корректировка новой версии.

Во время второй фазы новая версия используется для первичного управлен системой, а старая версия выполняется как фоновый процесс, т.е. результаты решения не используются (подавляются) для управления объектом. Контро новой версии осуществляется по-прежнему с помощью ПТ или путем сравнени результатами старой версии. В случае возникновения ошибки при выполнен новой версии замена прекращается, старая версия становится активной. Перехо старой версии осуществляется в соответствии с протоколом, используя при эт для восстановления вычислений механизм контрольных точек, что приводит временным затратам. В случае отката назад к старой версии и другим программа зависящим от распространенной ошибки новой версии, временные затраты мог быть весьма ощутимыми и, кроме того, не предсказуемыми.

Для жестких (и даже для мягких) систем реального времени такая ситуац не может приемлема.

В работе предлагается улучшенный метод с использованием дополнительной промежуточной фазы. Здесь дополнительно к предыдущим действиям на первой фазе проверки работоспособности новой версии собирается информация об интервалах между соседними контрольными точками. При успешном завершении первой фазы осуществляется переход к промежуточной фазы замены, когда во время выполнения старой версии ПО, определяются времена генерации дополнительных ПТ с тем, чтобы возможные временные затраты при переходе от новой версии к старой версии не превышали граничного времени. Во время выполнения второй фазы контроль новой версии осуществляется, если это выявлено на промежуточной фазы, более часто с помощью дополнительных ПТ.

В заключение главы на основе проведенного анализа показано, существующие методы замены версий не обеспечивают при прекращении замены версий восстановление работоспособности БВС в заданном временном интервале.

С целью обеспечения работоспособности БВС при проведении замены версий необходимо разработать:

• методику выполнения замены версий программного обеспечения для бортовой вычислительной системы в режиме реального времени ее работы.

• протокол замены версий программного обеспечения бортовой вычислительной системы реального времени, предусматривающий введение промежуточной фазы замены.

• аналитические модели восстановления вычислений при прекращении замены в заданном временном интервале.

• аналитические модели оценки времени выполнения контролируемой замены версий программного обеспечения.

• имитационные модели контролируемой замены версий программного обеспечения на основе системы моделирования СРЗБ.

• метод реализации контролируемой замены версий программного обеспечениядля бортовой вычислительной системы в режиме мягкого и жесткого реального времени.

Во второй главе приведен разработанный протокол контролируемой замены версий программного обеспечения бортовой вычислительной системы реального времени, предусматривающий введение промежуточной фазы замены:

протокол замены с дополнительными котрольными точками - ПЗД.

Интервал возможного отката обусловлен начальной точкой интервала -моментом времени поступления внутреннего сообщения в программы неизменяемой части программного обеспечения НП от новой версии НВ и конечной точкой интервала - моментом времени неуспешного выполнения последующего проверочного теста, инициируемого при посылке внешнего сообщения на ИУ от программы НП, или старой версии СВ или новой версии НВ. Внутри этого интервала могу быть дополнительные поступления внутренних сообщений от программы НП и от новой версии НВ. см. рис. 1.

НП -----+--------------------------------------------+ Контрольная точка

СВ ----------+-------------------

НП, (СВ), (НВ) ------------------------*— * Проверочный тест

Интервал +----------------------+

Интервал +-----------------+

Рис. 1 Образование интервалов возможного отката

Уменьшение интервала возможного отката, в случае его превышение заданного времени реакции системы на ее сбой (или отказ), может быть достигнут за счет выполнения более раннего выполнения проверочного теста на интервале Раннее по времени выполнение проверочного теста можно привязать к момента времени поступления дополнительных внутренних сообщений на интервале. Е^ их нет, или они не обеспечивают требуемую величину интервала, следует ввесп принудительные тестовые проверки.

Протокол выполнения фазы 1 апгрейда должен обеспечить сбор информацш об интервалах возможного отката в случае неудачной попытки апгрейда на фазе 2 Для этого на фазе Ф1 формируется архив записей интервалов возможных откатов Моменты поступления последующих внутренних сообщений также фиксируются архиве записей для каждого интервала.

При замене версии на фазе Ф1 может быть три ситуации в зависимости о обнаружения, не обнаружения ошибки или завершения фазы 1:

1. фаза 1 продолжается (Ф1-Ф1),

2. фаза 1 прекращается с переходом к фазе 2 (Ф1-ФП),

3. фаза 1 прекращается с прекращением попытки замены (Ф1- ФЗ).

Алгоритм фазы Ф1 - Ф1 приведен на Рис. 10

Здесь введены обозначения:

I - текущее время замены версий на фазе Ф1, начальное значение 1 = 0 начальные значения 1 = 0, ] = 0, к = 0,1 = 0, э = 0, г = 0.

Массивы записей времени поступления внутренних сообщений выполнения проверочных тестов:

СВ [1, 0], СВ П , 1],........., СВ [1, п,] - интервалов для версии СВ

НВ ^ , 0], НВ [1, 1],........., НВ [1, п,] - интервалов для версии НВ

ПС[к, 0], ПС[к, 1],............. ПС[к, пг] - интервалов для программ НП

ПН[1, 0], ПН[1, 0],..........., ПН[1, - интервалов для программ НП

служат для определения интервалов возможных откатов.

Записи СВ [1 , 0] и СВ [1 , П;] задают соответственно первый (первое внутреннее сообщение) и последний элемент (проверочный тест) 1 -й записи, 1 = 0,

Записи НВ , 0], и НВ [1 , п^ задают соответственно первый (первое внутреннее сообщение) и последний элемент (проверочный тест) 1 -й записи, \ = 0,

Записи ПС[к, 0], и ПС[к, пг] задают соответственно первый (первое внутреннее сообщение) и последний элемент (проверочный тест) к -й записи, к = 0, 1,-

Записи ПН[1, 0], и ПН[1, п,] задают соответственно первый (первое внутреннее сообщение) и последний элемент (проверочный тест) 1 -й записи, 1 = 0, 1,-

5 р

ы М

¿3

о к о 8

ш с

5

ё I

©

Запись в Журнал

архивной

Источшп— П

Тишзнутреннее

Номер сообщения:

Передачи*3

выполнено

СВГц]=£

НВГчН

Сообщения™

Запись а архивяой

Журнал

Источник П

Тип:внеп1нее

Номер сообщения:

Передачи3

выполнено

свуи нвгиИ

Сообщения3

1=1—1

И-1

J=0

Запись в Журнал Источник™ СВ Тип:внутреннее Номер сооощешш: Пер ел ачи= выполнено НП[кД]=г Сообщения™

Запись в ¿л'рш.: Источник'СВ Тип: внутреннее Номер сообщения. Передачи» выполнено Сообщения™

Запись в архигной

Журнал

ИсмчнясСВ

ТгипЕнешнее

Номер сообщения:

Передача: выполнено

НПрсД]=1

Сообщения:

Запись г архивной

Журнал

Источнж:НВ

ТипгЕзутренее

Номер сообщения:

Передачи

выполнено

НЩ5,1]=Г

Сообщения

Запись к архивной

Журнал

ИсючшнсНВ

Тип:внешнее

Номер сообщения:

Пергдачзгподавлгно

НП[5.Г]=1

Сообщения:

к=кН

Запись в Журнал

ИсточншгСВ

Тип: внешнее

Номер сообщения:

Передача

выполнено

Сообщения3

Запись г Журнал Источник НВ Тип: внутренее Номер сообщения: Передачи™ выполнено Сообщения™

Запись ^Журнал Ис"счл:и- НВ Тип: ЕЯепшее Номер сообщения: Передачи3 выполнено Сообщения3

Уничтожить гагшси з хурнале с одинаковы: га номерами вне и гнут сообщения СВ иНВ

5=5-1.1=0;

Не аверщено

Алгоритм фазы Ф1 - ФЗ в случае не удачной попытки замещения версий протокола ПЗП приведен на Рис.3.

Рис. 3 Ситуация Ф1- ФЗ (Не успешное завершение замены)

Алгоритм перехода от фазы Ф1к промежуточной фазе ФП приведен на Рис. 4.

Рис. 4 Переход от фаза Ф1 к фазе ФП Алгоритм перехода от промежуточной фазы ФП к фазе Ф2 приведен на Рис. 5.

Имеются записи версииСВ

Рис. 5 Переход от фазы ФП к фазе Ф2

Имеются записи версии НВ

Алгоритм протокола фазы Ф2 развивается в зависимости от обнаружения или не обнаружения ошибки:

1. фаза 2 продолжается (Ф2 - Ф2),

2. фаза 2 прекращается в связи с неудачной попыткой замены (Ф2 - ФЗ)

3. фаза 2 прекращается в связи с удачным завершением замены (Ф2 - ФО).

Алгоритм фазы Ф2 - ФЗ, Ф2 - ФО и Ф2 - Ф2 приведены в главе 2

работы.

Алгоритм выполнения промежуточной фазе ФП базируется на основе способов обеспечения восстановления и оценки их эффективности.

В работе предлагаются четыре способа восстановления на интервале отката:

а) - использование контроля в конце интервала и отката в начало интервала. Контрольные точки сохраняются в соответствии с базовым алгоритмом протокола. Если старая версия СВ или новая версия НВ, или программа НП не проходит проверочный тест ПТ, то происходит откат назад; если проверочный тест ГТГ проходит, то система функционирует, используя новую версию НВ, см. рис.6 а.

б) - использование контроля в конце подинтервала и отката в начало подинтервала. Интервал вычислительного процесса (от времени образования контрольной точки до времени выполнения проверочного теста ПТ) делится на подинтервалы. В конце каждого подинтервала выполняется сравнение полученных для программы НП внутренних сообщений от новой НП и старой СВ версий или проводится искусственный проверочный тест ИПТ, время наступления которых определяется на основе информации, полученной на первой фазы успешной замены. Если сравнение или искусственный проверочный тест ИПТ не проходит, то происходит откат назад в начало подинтервала; если сравнение или проверочный тест ИПТ проходит, то образуется новая контрольная точка для этого момента времени и подтверждается достоверность выполняемых процессов, см. рис.6 б.

в) - использование контроля в конце интервала и отката в начало подинтервала. Интервал вычислительного процесса (от времени образования контрольной точки до времени выполнения проверочного теста ПТ) делится на подинтервалы в соответствии с формированием внутренних сообщений и на основе информации, полученной на первой фазы успешной замены. Контрольные точки сохраняются в начале каждого подинтервала. В конце интервала для нового процесса НВ (или функционального процесса НП) выполняется проверочный тест ПТ. Если процесс не проходит проверочный тест ПТ, то происходит откат назад в начало того подинтервала, где процесс является достоверным, см. рис.6 в.

г) использование контроля в конце подинтервала и отката на интервал. Интервал вычислительного процесса (от времени образования контрольной точки до времени выполнения проверочного теста ПТ) делится на поинтервалы. В конце каждого подинтервала выполняется сравнение полученных для программы НП внутренних сообщений от новой НП и старой СВ версий или проводится искусственный проверочный тест ИПТ, время наступления которых определяется на основе информации, полученной на первой фазы успешной замены. Если процесс не проходит сравнение или проверочный тест ИПТ, то происходит откат назад в начало интервала; если сравнение или проверочный тест ИПТ проходит, то новая контрольная точка не образуется, см. рис.6 г. На рис.6 неправилное выполнение программ из-за ошибки в новой версии НВ обнаружено в конце подинтервала 3.

Точка отката назад

Обнаружение обшибки

Время востановления

*

Точка отката назад Обнаружение обшибки Время востан >вления

1

Точка отката назад

Обнаружение обшибки

Время воостановления

1

в)

Точка отката назад земя востановления

Обнаружение обшибки

1

| Время, требуемое для образования контрольгой точки

Время, требуемое для выполнения сравнения внутренних сообщений или теста ИКТ Ц Время, требуемое для образования дополнительной контрольгой точки

| Время, требуемое для выполнения теста ГГГ X ошибка

Рис. 6 Четыре способа обеспечения восстановления

Для количественной оценки эффективности схем восстановления естественно использовать 1).время накладных расходов при выполнении задания и 2).время потери управления объектом при прекращении замены (на второй фазы) из-за сбоя в новой программной версии (и возврате к старой версии).

В работе проведена оценка качества схем восстановления для всех четырех схем восстановления.

Ниже приведена оценка для четвертой (г) схемы восстановления имеем. Пусть:

I / к - время выполнения вычислительного процесса на одном подинтервале,

к-число подинтервалов выполнения вычислительного процесса, п - число интервалов выполнения вычислительного процесса, я (1 / к) - вероятность возникновения сбоя в процессе за время I / к выполнения вычислительного процесса,

I кг — время, необходимое для образования контрольной точки , I ср - время выполнения сравнения соответствующих внутренних сообщений или искусственного проверочного теста ИКТ,

I отк _ время, необходимое для обеспечения отката назад - возврат к старой

версии.

Время накладных расходов при выполнении вычислительного процесса на одном интервале равно:

1 * £сР + ^ + и™ с вероятностью я 1-1 (1 / к) (1- я 0 / к)) при 1 = 1, к-1 к * I ср +1 +10ТК с вероятностью як (1 / к).

Тогда среднее время накладных' расходов при выполнении вычислительного процесса для п интервалов равно:

Полагая, что функция распределения вероятностей появления сбоя подчиняется экспоненциальному распределению:

имеем среднее время накладных расходов:

Время потери управления объектом при прекращении замены на одном интервале равно:

1 * I + 1ср + 1отк с вероятностью я1-1 (1 / к) (1- я 0 / к)) при 1 = 1, к-1. Время потери управления объектом при прекращении замены:

г и У,

тт = Чотк +1ср\1-л{ук})+(-1~тг(у)- "

Полагая, что функция распределения вероятностей появления сбоя подчиняется экспоненциальному распределению, время потери управления объектом при прекращении замены равно:

Т Л +/ Ь-е^Уг1'^

Если время отката не превышает заданного времени восстановления работоспсобности системы реального сремени, то следует воспользоваться схемой (а).

В противном случае для жестких систем реального сремени следует воспользоваться схемой (б), где длительность интервала отката всегда не превышает времени восстановления. Для мягких систем реального сремени, где длительность интервала отката с некоторой вероятностью не превышает времемени восстановления, следует воспользоваться схемой (в) или (г) в зависимости от времени необходимого для формирования контрольной точки.

Особенностью методики выполнения контролируемой замены версий для бортовой вычислительной системы в режиме реального времени ее работы с использованием дополнительной промежуточной фазы является:

1 .На первой фазы проверки работоспособности новой версии собирается информация об интервалах между соседними контрольными точками.

2.При успешном завершении первой фазы осуществляется переход к промежуточной фазе замены, когда во время выполнения старой версии ПО, определяются времена генерации дополнительных проверок с тем, чтобы возможные временные затраты при переходе от новой версии к старой версии не превышали граничного времени.

3.Во время выполнения второй фазы контроль новой версии осуществляется, если это выявлено на промежуточной фазы, более часто с помощью дополнительных ПТ.

В третьей главе проведены аналитическая модель оценки времени проведения замены. Аналитические модели оценки времени проведения замены рассматриваются как экспоненциальные системы массового обслуживания. Время выполнения первой, промежуточной и второй стадий замены предполагаются

случайными с экспоненциальными функциями распределения с соответствующими показателями X, у и р. Вероятности обнаружения ошибки на фазе 1 и на фазе 2 равны, соответственно 9 и V. Предполагая отсутствие ошибок на промежуточной фазе и, считая время выполнения проиежуточной фазы значительно меньше времени выполнения замены на фазах 1 и 2, будем учитывать только фазы 1 и 2. При этом мы рассмотрим множество моделей: идеальная, когда новая версия работает без ошибок, и три модели различной детальности процессов замены.

При решении этих моделей получены вероятности р3 (1) завершения замены версий за время I.

Для идеальной модели М1 имеем

Модель М2 является оптимистической моделью, когда возможно безошибочное выполнение новой версии.

р3(0 = 1-е-я'--— (е-* -е-Лр<) -при^р

р3(г) = 1 - е~м - Хге~х' приХ= р

е

1-я стадия

2-я стадия

завершение замены версий

Рис. 7 Модель М2

Сотояние Ф1 соответствует первой фазе. При возникновении ошибки, новая версия исправляется на земле. Поэтому с вероятностью 1-0 - переход из состояния Ф1 в состояние К. если Состояние К - состояние, при котором новая версия исправится и тестируется на земле. После коррекции новой версии осуществляется новая попытка замены версии, для этого новая версия ПО отправляется на борт. Если новая версия ещё имеет ошибку, то переход из состояния Ф1 в состояние К.

Переход из состояния Ф1 в состояние Ф2 соответствует безошибочному выполнению новой версии ПО на фазе Ф1 и переходу к выполнению новой версии ПО на фазе Ф2. При возникновении ошибки в новой версии ПО на фазе Ф2, происходит переход из состояния Ф2 в состояние К. Если нет ошибок, то замена завершается - переход из состояния Ф2 в состояние 3.

В этом случае введено дополнительное состояние - К, связанное с проведением работ по коррекции Новой версии ПО в резидентном месте и вероятность рк пребывания системы в этом состоянии К. Время выполнения работ по коррекции предполагается случайным с экспоненциальной функцией распределения с показателем ц.

Решение системы может быть получено посредством нахождения обратного преобразования Лапласа:

р,(0 = ¿-П-^ + ^-^.

[35,. + 25,(Я + ц + р) + (рЯ + рц + ЯцО)\ где б - корни характеристического уравнения

.у3 + (Л + /л + р) + я{рХ + р/л + Хцв) - X ур/лв = 0.

Пессимистическая модель МЗ по крайней мере с одной ошибкой на фазе 1

4

е 1

-л I е о

Ф2

Р2

1-я фаза

2-я фаза завершение замены версий Рис. 8 Модель МЗ

Состояние ф11- выполняется замена на 1-й фазе, при этом новая версия имеет ошибку. Поэтому новая версия программного обеспечения должна быть исправлена и заново протестирована- переход из состояния ф11 в состояние К. В состоянии Ф10 новая версия работает без ошибок на первой фазе.

Пессимистическая модель, когда новая версия содержит ровно п ошибок

В данной модели мы предполагаем обнаружение на фазе 1 ровно п ошибок. Поэтому для фазы 1 по сравнению с моделью М2 вводится п +1 состояние.

Состояния Ф13, Ф12, Ф11-соответствуют наличию трех, двух и одной ошибам в новой версии, которые проявляются на фазе 1 замены версий. При возникновении ошибки, новая версия корректируется на земле.

Состояние Ф10 соответствует новой версии, при выполнении которой ошибки не определяются. С вероятностью 1 осуществляется переход из состояния Ф10 в состоянию Ф2 (выполнение второй фазы). При безошибочном выполнении новой версии на фазе 2 замена версий завершается - переход из состояния Ф2 в состояние Н.

Решение для моделей МЗ и М4 получено посредством нахождения обратного преобразования Лапласа.

В главе 3 работы приведены экспериментальные результаты решения для моделей.

Из экспериментальных результатов, в частности, следует, что при качестве ПО с вероятностью ошибок на фазах 1 и 2 6 = V = 0.98 при среднем значении времени корректировки 0.1 от времени выполнения фаз 1 и 2 время завершения апгрейда увеличивается на 5%, но при вероятности ошибок на фазах 1 и 2 0 = V = 0.95 и одинаковом времени выполнения фаз и корректировки время завершения апгрейда увеличивается на 25%.

В четвертой главе проведено имитационные моделирование замены версий посредством использовании системы моделирования ОРББ.

Основные научные и практические результаты диссертационной работы

1. Разработана методика выполнения контролируемой замены версий программного обеспечения для бортовой вычислительной системы в режиме реального времени ее работы. Особенностью методики замены версий программного обеспечения для бортовой вычислительной системы в режиме реального времени ее работы с использованием дополнительной промежуточной фазы состоит в следующем. На первой фазы проверки работоспособности новой версии собирается информация об интервалах между соседними контрольными точками. При успешном завершении первой фазы осуществляется переход к промежуточной фазе замены, когда во время выполнения старой версии ПО, определяются времена генерации дополнительных проверок с тем, чтобы возможные временные затраты при переходе от новой версии к старой версии не превышали граничного времени. При выполнении второй фазы контроль новой версии осуществляется, если это выявлено на промежуточной фазе, более часто с помощью дополнительных проверок посредством внутренних сообщений и внешних сообщений на исполнительные устройства объекта управления.

2. Разработан протокол трехфазной контролируемой замены версий программного обеспечения бортовой вычислительной системы реального времени, предусматривающий введение промежуточной фазы замены так, чтобы возможные временные затраты при возврате от новой версии к старой версии не превышали граничного времени

3. Разработаны аналитические модели оценки эффективности схем восстановления вычислений при прекращении замены в заданном временном интервале, использующие контроль в конце интервала и откат в начало интервала, контроль в конце подинтервала и откат в начало подинтервала, контроль в конце интервала и откат в начало подинтервала, контроль в конце подинтервала и откат на интервал. Если время отката не

превышает заданного времени восстановления работоспсобности системы реального времени, то следует воспользоваться схемой (а). В противном случае для жестких систем реального времени следует воспользоваться схемой (б), где длительность интервала отката всегда не превышает времени восстановления. Для мягких систем реального сремени, где длительность интервала отката с некоторой вероятностью не превышает времемени восстановления, следует воспользоваться схемой (в) или (г) в зависимости от времени необходимого для формирования контрольной точки.

4. Разработаны аналитические модели оценки времени выполнения контролируемой замены версий программного обеспечения. Идеальная модель, когда новая версия работает без ошибок, и три модели различной детальности процессов замены. Оптимистическая модель, когда возможно безошибочное выполнение новой версии. Пессимистическая модель, когда новая версия содержит по крайней мере одну ошибку на фазе 1 и Пессимистическая модель, когда новая версия содержит ровно п ошибок

5. Разработаны имитационные модели контролируемой замены версий программного обеспечения на основе системы моделирования ОРББ, обеспечивающие оценку аналитического моделирования.

Публикации по теме диссертации

1. Брехов О. М., Ти Хан. Улучшенный метод контролируемого апгрейда программного обеспечения.// Труды XVI международного научно-технического семинара. Сентябрь 2007г., Алушта. - Тула:Изд-во ТулГУ, 2007, с. 221.

2. Ти Хан. Оценка времени выполнения апгрейда программного обеспечения БВСРВ.//Всероссийская конференция молодых ученых и студентов «Информационные технологии в авиационной и космической технике-2008». 21-24 апреля 2008г.Москва. Тезисы докладов.-М.:Изд-во МАИ-ПРИНТ, 2008. - 124 с.

3. Брехов О. М., Ти Хан. Времея выполнения апгрейда программног обеспечения БВСРВ.// Труды XVII международного научно-техническог семинара. Сентябрь 2008г., Алушта. - Редакционно-издательский цент ГУАП, с. 189-190.

4. Брехов О. М., Ти Хан. Аналитическая модель базовой оценки времен проведения апгрейда программного обеспечения удаленно" вычислительной системы реального времени// Журнал «Вестник» 2008г Т.(15),№(3), с. 147-153.

Тираж 100 экз Отпечатано в Московском авиационном институте

(государственном техническом университете)

г. Москва, А-80, ГСП-3, Волоколамское шоссе, д. 4.

http://www.mai.ru/

Оглавление автор диссертации — кандидата технических наук Ти Хан

Введение.

1. Контролируемая замена версий программного обеспечения бортовой вычислительной системы.

1.1 Замена версий программного обеспечения.

1.2 Проверка работоспособности новой версии и переключение версий

1.3 Первичное управление, системой при выполнении новой версии.

1.4 Реализация механизма контрольных точек.

1.4.1 Основы.

1.4.2 Сдерживание ошибки.

1.5 Выводы по первой главе.

2. Контролируемая замена версий программного обеспечения бортовой вычислительной системы в режиме реального времени ее работы.

2.1 Протокол контролируемой замены версий программного обеспечения бортовой вычислительной системы реального времени.

2.1.1 Протокол ПЗП. a.) Выполнение фазы 1.

• Ситуация Ф1-Ф1.

• Ситуация Ф1-Ф2.

• Ситуация Ф1- ФЗ. b.) Выполнение фазы 2.

• Ситуация Ф2 - Ф2.

• Ситуация Ф2 - ФЗ.

• Ситуация Ф2 - Ф0.

2.1.2 Протокол ПЗД. a.) Выполнение фазы 1.

• Ситуация Ф1-Ф1.

• Ситуация Ф1-ФЗ.

• Ситуация Ф1 - ФП.

• Ситуация ФП - Ф2. b.) Выполнение фазы 2.

• Ситуации Ф2 - ФЗ и Ф2 - Ф0.

• Ситуация Ф2-Ф2.

2.2 Модели восстановления вычислений при прекращении замены версий в заданном временном интервале.

2.2.1 Способы обеспечения восстановления. а) использование контроля в конце интервала и отката в начало интервала. б) использование контроля в конце подинтервала и отката в начало подинтервала. в) использование контроля в конце интервала и отката в начало подинтервала. г) использование контроля в конце подинтервала и отката на интервал.

2.2.2 Оценка схем восстановления.

2.3 Методика выполнения контролируемой замены версий программного обеспечения для бортовой вычислительной системы в режиме реального времени ее работы.

2.4 Выводы по второй главе.

3. Аналитическая модель базовой оценки времени проведения замены.

3.1 Идеальная модель М1.

3.2 Оптимистическая модель М2.

3.3 Пессимистическая модель МЗ.

3.4 Пессимистическая модель М4 с п ошибками на фазе 1.

3.4 Экспериментальные результаты решения для моделей М1 и М2.

3.5 Выводы по третьей главе.

4. Имитационное моделирование базовой оценки времени проведения замены.

4.1 Имитационная Модель М2.

4.1.1 Таблица определений.

4.1.2 Блок-схема.

4.1.3 Распечатка программы.

4.1.4 Выходные данные.

4.1.5 Результаты моделирования.

4.2. Имитационная Модель МЗ.

4.2.1. Таблица определений.

4.2.2. Блок-схема.

4.2.3. Распечатка программы.

4.2.4. Выходные данные.

4.3. Имитационная Модель М4.

4.3.1. Таблица определений.

4.3.2. Блок-схема.

4.3.3. Распечатка программы.

4.3.4. Выходные данные.

4.4. Сравнение результатов аналитических и имитационных моделейЮЗ

4.4.1. Сравнение результатов аналитической и имитационной второй модели М

4.4.2. Сравнение результатов аналитической и имитационной модели МЗ

4.4.3. Сравнение результатов аналитической и имитационной модели М

4.5 Выводы по четвертой главе.

Введение 2008 год, диссертация по информатике, вычислительной технике и управлению, Ти Хан

Актуальность темы

Бортовая вычислительная система реального времени (БВСРВ), которая эксплуатируется на удаленном объекте, например, на спутнике, с целью усовершенствования функциональных возможностей объекта может потребовать проведения модификации (замены версий) программного обеспечения.

Замена версий должна быть выполнена, не прекращая выполнения задания объекта (лучше во время не интенсивного выполнения задания, т.е. когда не требуются вся вычислительная мощность процессора/процессоров БВСРВ).

Новая версия программного обеспечения (ПО), которая должна изменить старую версию, должна быть протестирована в резидентном месте. Однако это ПО может оказаться неработоспособным на объекте во время выполнения задания. В этом случае необходимо прервать апгрейд и продолжить выполнение задания, используя старую версию ПО. При этом новая версия ПО должна быть исправлена и заново протестирована в резидентном месте. После этош может быть осуществлена следующая попытка замены версий

В [1] предложен метод реализации замены версий ПО, названный контролируемой заменой, когда операция замены старой версии осуществляется в две фазы:

1. Фаза проверки работоспособности новой версии

2. Фаза первичного управления системой при выполнении новой версии.

Во время фазы проверки работоспособности новой версии БВСРВ функционирует под управлением старой версии, однако, новая версия выполняется параллельно со старой, результаты ее решения не используются для управления объектом, но проверяются с помощью Проверочного Теста (ПТ) или путем сравнения с результатами старой версии. На этой стадии в случае возникновения в новой версии ошибки замена версий прекращается. Выполняется корректировка новой версии.

Во время второй фазы новая версия используется для первичного управления системой, а старая версия выполняется как фоновый процесс, т.е. результаты ее решения не используются (подавляются) для управления объектом. Контроль новой версии осуществляется по-прежнему с помощью ПТ или путем сравнения с результатами старой версии. В случае возникновения ошибки при выполнении новой версии замена версий прекращается, старая версия становится активной. Переход к старой версии осуществляется в соответствии с протоколом, используя при этом для восстановления вычислений механизм контрольных точек, что приводит к временным затратам. В случае отката назад к старой версии и другим программам, зависящим от распространенной ошибки новой версии, временные затраты могут быть весьма ощутимыми и, кроме того, не предсказуемыми.

Для жестких систем реального времени такая ситуация не может приемлема.

Временные затраты отката назад к старой версии и другим программам, зависящим от распространенной ошибки в новой версии, могут быть весьма ощутимыми и, кроме того, не предсказуемыми.

Для жестких и даже мягких систем реального времени такая ситуация не может приемлема.

Необходимо предложить улучшенный метод замены версий, обеспечивающий контролируемое время восстановления работоспособности системы так, чтобы возможные временные затраты при возврате от новой версии к старой версии не превышали граничного времени.

Цель диссертационной работы

Целью работы является разработка методики выполнения контролируемой замены версий для бортовой вычислительной системы в режиме реального времени ее работы.

Для достижения указанной цели в работе решены следующие научно-исследовательские и практические задачи:

1. Разработана методика выполнения контролируемой замены версий программного обеспечения для бортовой вычислительной системы в режиме реального времени ее работы.

2. Разработан протокол контролируемой замены версий программного обеспечения бортовой вычислительной системы реального времени, предусматривающий введение промежуточной фазы замены.

3. Разработаны аналитические модели восстановления вычислений при г прекращении замены в заданном временном интервале.

4. Разработаны аналитические модели оценки времени выполнения контролируемой замены версий программного обеспечения.

5. Разработаны имитационные модели контролируемой замены версий программного обеспечения на основе системы моделирования GPSS.

6.Предложен метод реализации контролируемой замены версий программного обеспечения для бортовой вычислительной системы в режиме мягкого и жесткого реального времени.

Методы исследования

При решении поставленных задач в диссертационной работе были использованы методы теории вероятностей и математической статистики, математического и имитационного моделирования, теории графов и теории надежности информационных систем. Математические модели представлены в виде компьютерных программ на языке программирования MatLab и математических расчетов в Excel. Имитационные модели построены на основе системы моделирования GPSS.

На защиту выносятся следующие положения:

1. Разработана методика выполнения контролируемой замены версий программного обеспечения для бортовой вычислительной системы в режиме реального времени ее работы.

2. Разработан протокол контролируемой замены версий программного обеспечения бортовой вычислительной системы реального времени, предусматривающий введение промежуточной фазы замены.

3. Разработаны аналитические модели восстановления вычислений при прекращении замены в заданном временном интервале.

4. Разработаны аналитические модели оценки времени выполнения контролируемой замены версий программного обеспечения.

Научная новизна

1. Разработана методика выполнения контролируемой замены версий программного обеспечения для бортовой вычислительной системы в режиме реального времени ее работы.

2. Разработан протокол контролируемой замены версий программного обеспечения бортовой вычислительной системы реального времени, предусматривающий введение промежуточной фазы замены.

3. Разработаны аналитические модели восстановления вычислений при прекращении замены в заданном временном интервале.

4. Разработаны аналитические модели оценки времени выполнения контролируемой замены версий программного обеспечения.

5. Разработаны имитационные модели контролируемой замены версий программного обеспечения на основе системы моделирования ОРББ.

Достоверность полученных в диссертационой работе результатов подтверждается: ' 1

• Корретностью использования адекаватного математического аппратата;

• Апробацией материалов диссертации;

• Сравнением результатов аналитических и имитационных моделей

Практическая ценность диссертационной работы

Предложен метод реализации контролируемой замены версий программного обеспечениядля бортовой вычислительной системы в режиме мягкого и жесткого реального времени.

Тема диссертационной работы связана с договором о сотрудничестве между Российской Федерацией и Союза Мьянмы.

Реализация результатов работы

Результаты диссертационной работы использовались в учебном процессе кафедры «Вычислительные машины, системы и сети» Московского авиационного института (государственного технического университета).

Апробация работы

Основные положения и результаты диссертационного исследования докладывались автором и обсуждались: на XVI международном научно-техническом семинаре (Алушта, 2007г.), на всероссийской конференции молодых ученых и студентов «Информационные технологии в авиационной и космической технике» (Москва, 2008г.), на XVII международном научно-техническом семинаре (Алушта, 2008г.).

Публикации

Основные материалы диссертационной работы опубликованы в 4 печатных работах.

Структура и объем работы

Диссертационная работа состоит из введения, четыре глава, заключения и списка используемых источников. Основная часть диссертации содержит 103 страницы машинописного текста, включая 43 рисунок и 10 таблиц. Список литературы включает 50 наименований. Общий объем диссертационной работы составляет 114 страниц.

Заключение диссертация на тему "Контролируемая замена версий программного обеспечения бортовой вычислительной системы реального времени"

4.5 Выводы по четвертой главе

1 .Предложены имитационные модели на основе системы моделирования

2.Сравнение результатов аналитического и имитационного моделирования показало ошибку в пределах 5%

Заключение

1. Разработана методика выполнения контролируемой замены версий программного обеспечения для бортовой вычислительной системы в режиме реального времени ее работы. Особенностью методики замены версий программного обеспечения для бортовой вычислительной системы в режиме реального времени ее работы с использованием дополнительной промежуточной фазы состоит в следующем. На первой фазы проверки работоспособности новой версии собирается информация об интервалах между соседними контрольными точками. При успешном завершении первой фазы осуществляется переход к промежуточной фазе замены, когда во время выполнения старой версии ПО, определяются времена генерации дополнительных проверок с тем, чтобы возможные временные затраты при переходе от новой версии к старой версии не превышали граничного времени. При выполнении второй фазы контроль новой версии осуществляется, если это выявлено на промежуточной фазе, более часто с помощью дополнительных проверок посредством внутренних сообщений и внешних сообщений на исполнительные устройства объекта управления.

2. Разработан протокол трехфазной контролируемой замены версий программного обеспечения бортовой вычислительной системы реального времени, предусматривающий введение промежуточной фазы замены так, чтобы возможные временные затраты при возврате от новой версии к старой версии не превышали граничного времени

3. Разработаны аналитические модели оценки эффективности схем восстановления вычислений при прекращении замены в заданном временном интервале, использующие контроль в конце интервала и откат в начало интервала, контроль в конце подинтервала и откат в начало подинтервала, контроль в конце интервала и откат в начало подинтервала, контроль в конце подинтервала и откат на интервал. Если время отката не превышает заданного времени восстановления работоспсобности системы реального времени, то следует воспользоваться схемой (а). В противном случае для жестких систем реального времени следует воспользоваться схемой (б), где длительность интервала отката всегда не превышает времени восстановления. Для мягких систем реального сремени, где длительность интервала отката с некоторой вероятностью не превышает времемени восстановления, следует воспользоваться схемой (в) или (г) в зависимости от времени необходимого для формирования контрольной точки.

4. Разработаны аналитические модели оценки времени выполнения контролируемой замены версий программного обеспечения. Идеальная модель, когда новая версия работает без ошибок, и три модели различной детальности процессов замены. Оптимистическая модель, когда возможно безошибочное выполнение новой версии. Пессимистическая модель, когда новая версия содержит по крайней мере одну ошибку на фазе 1 и Пессимистическая модель, когда новая версия содержит ровно п ошибок

5. Разработаны имитационные модели контролируемой замены версий программного обеспечения на основе системы моделирования ОР88, обеспечивающие оценку аналитического моделирования.

Библиография Ти Хан, диссертация по теме Вычислительные машины и системы

1. А. Т. Tai, К. S. Tso, W. Н. Sanders, L. Alkalai, and S. N. Chau, "On-Board Guarded Software Upgrading for Space Missions," in Proceedings of the 18th Digital Avionics Systems Conference , St.Louis, MO, October 24-29, 1999.

2. L. Alkalai and A. T. Tai, "Long-life deep-space applications," IEEE Computer, vol. 31, pp. 37-38, Apr. 1998.

3. D. Powell et al., "GUARDS: A generic upgradable architecture for real-time dependable systems," IEEE Trans. Parallel and Distributed Systems, vol. 10, pp. 580-599, June 1999.

4. Брехов O.M. Архитектура современных ЭВМ. Применяемых на JLA-Москва.:МАИ.1984.-79с.

5. Брехов О.М. Принципы Построения Процессоров для авиационных Комплексов-Москва.:МАИ. 1984.

6. A. T. Tai, K. S. Tso, L. Alkalai, S. N. Chau, andW. H.Sanders, "On the effectiveness of a message-driven confidence-driven protocol for guarded software upgrading," Performance Evaluation, vol. 44, pp. 211- 236, Apr. 2001

7. Котов В.Е.,Сети Петри.-Москва:Наука.Главная редакция физико-математической литературы, 1984.160с.

8. Брехов О.М.,Слуцкин А.И. Имитационное моделирование иреархической память МВС// Автоматика и вычислительная техника.1986.№1.48-с.

9. Матов В.И., Артамонов Г.Т., Брехов О.М.,Голубков Ю.А., Иыуду К.А., Ткачев О.А., Чугаев Б.Н., Шаповалов Ю.В. Теория проектирования вычислительных машин, систем и сетей.- Москва. ¡Издательство МАИ, 1999.-460с.

10. К. S. Tso, А. Т. Tai, L. Alkalai, S. N. Chau, andW. H.Sanders, "GSU middleware architecture design," in Proceedings of the 5th IEEE International Symposium on High Assurance Systems Engineering, (Albuquerque, NM), pp. 212-215, Nov. 2000.

11. D. k. Pradham and N. H. Vaidya, "Roll-Forward Checkpointing Scheme: A Novel Fault-Tolerant Architecture," IEEE Trans.Computers,vol.43, №10, October 1994.

12. A. T. Tai, K. S. Tso, L. Alkalai, S. N. Chau, andW. H.Sanders, "Low-cost error containment and recovery for onboard guarded software upgrading and beyond," IEEE Trans. Computers, vol 51 Feb.2002.

13. A. T. Tai and K. S. Tso, "On-board maintenance for affordable, evolvable and dependable spaceborne systems," Phase-I Final Technical Report for Contract NAS8-98179, IA Tech, Inc., Los Angeles, CA, Oct. 1998.

14. A. T. Tai and W. H. Sanders, "Product-in-Process Performability Modeling for Guarded Software Upgrading," 2001.

15. A. T. Tai and K. S. Tso, "Verification and validation of the algorithms for guarded software upgrading," Phase-II Interim Technical Progress Report for Contract NAS3-99125, IA Tech, Inc., Los Angeles, CA, Sept. 1999.

16. A. T. Tai and K. S. Tso, "On-board maintenance for affordable, evolvable and dependable spaceborne systems," SBIR Phase-II Final Technical Report for Contract NAS3-99125, IA Tech, Inc., Los Angeles, CA, Mar. 2002.

17. A. T. Tai, and W. H. Sanders, "Performability Modeling of Coordinated Software and Hardware Fault Tolerance," in Proceedings of the First IEEE International Workshop on Sensor Network Protocols and Applications (SNPA 2003), (Anchorage, AK), May 2003.

18. S. Mitra, N. R.Saxena, and E. J.McCluskey, "A Design Diversity Metric and Analysis of Redundant Systems," IEEE Trans. Computers, vol 51,No.5,May.2002.

19. Артамонов Г.Т., Брехов O.M. Аналитические вероятности модели функционирования ЭВМ.- Москва.: Энергия,1978.

20. Артамонов Г.Т., Брехов О.М. Оценка производительности ВС аналитико-статисти-ческими моделями.- Москва.: Энергоатомиздат, 1993.

21. Брехов О. М., Ти Хан. Улучшенный метод контролируемого апгрейда программного обеспечения.// Труды XVI международного научно-технического семинара. Сентябрь 2007г., Алушта. Тула:Изд-во ТулГУ,2007, с. 221.

22. Ти Хан Оценка времени выполнения апгрейда программного обеспечения БВСРВ// Всероссийская конференция молодых ученых и студентов «Информационные технологии в авиационной и космической технике». Апрель 2008г., Москва. М.: Изд-во МАИ-ПРИНТ, 2008, с.54.

23. Брехов О. М., Ти Хан. Время выполнения апгрейда программного обеспечения БВСРВ.// Труды XVII международного научно-технического семинара. Сентябрь 2008г., Алушта. Редакционно-издательский центр ГУАП,2008, с. 189-190.

24. М. Е. Segal and О. Frieder, "On-the-fly program modification: Systems for dynamic updating," IEEE Software, vol. 10, pp. 53-65, Mar. 1993.

25. В. Randell, "System structure for software fault tolerance," IEEE Trans. Software Engineering, vol. SE-1, pp. 220-232, June 1975.

26. E. N. Elnozahy, D. B. Johnson, and Y.-M. Wang, "A survey of rollback-recovery protocols in message-passing systems," Technical Report CMU-CS-96-181, School of Computer Science, Carnegie Mellon University, Pittsburgh, PA, Oct. 1996.

27. N. Neves and W. K. Fuchs, "Coordinated checkpointing without direct coordination," in Proceedings of the 3rd IEEE International Computer Performance and Dependability Symposium, (Durham, NC), pp. 23—31, Sept. 1998.

28. D. B. Stewart, R. A. Volpe, and P. K. Khosla, "Design of dynamically reconfigurable real-time software using portbased objects," IEEE Trans. Software Engineering, vol. SE- 23, pp. 759-776, Dec. 1997.

29. Y. M. Wang et al., "Checkpointing and its applications," in Digest of the 25th Annual International Symposium on Fault- Tolerant Computing, (Pasadena, CA), pp. 22-31, June 1995.

30. E. N. Elnozahy, D. B. Johnson, and Y.-M. Wang, "A survey of rollback-recovery protocols in message-passing systems," Technical Report CMU-CS-96-181, School of Computer Science, Carnegie Mellon University, Pittsburgh, PA, Oct. 1996.

31. C. T. Baker, "Effects of field service on software reliability," IEEE Trans. Software Engineering, vol. 14, pp. 254- 258, Feb. 1988.

32. A. Avivzienis, "The N-Version approach to fault-tolerant software," IEEE Trans. Software Engineering, vol. SE-ll,pp. 1491-1501, Dec. 1985.

33. B. Randell, "System structure for software fault tolerance," IEEE Trans. Software Engineering, vol. SE-1, pp. 220-232, June 1975.

34. R. Baalke, Office of the Flight Operations Manager, "Mars Pathfinder update," Mars Pathfinder Weekly Status Report, Jet Propulsion Laboratory, California Institute of Technology, Pasadena, CA, June 1997.

35. К. S. Tso and A. Avivzienis, "Community error recovery in N-version software: A design study with experimentation," in Digest of the 17th Annual International Symposium on Fault-Tolerant Computing, (Pittsburgh, PA), pp. 127-133, July 1987.

36. Шрайбер Т. Дж. Моделирование на GPSS / Пер. с англ. М.: Машиностроение, 1980. - 592 с.

37. Шенон Р. Имитационное моделирование искусство и наука.: Пер. с англ. -М.: Мир, 1978.

38. Разработка САПР. В 10 кн. Кн. 9. Имитационное моделирова- ние: Практ. пособие / В.М.Черненький; М.: Высш. шк., 1990.

39. Бусленко М.П. Математическое моделирование производствен- ных процессов на цифровых вычислительных машинах. М.: Наука, 1964. - 364 с.

40. Моделирование сложных дискретных систем на ЭВМ третьего поколения: (Опыт применения GPSS) / Голованов О.В., Дуванов С.Г.,Смирнов В.Н. -М.:Энергия, 1978. 160 с.