La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

Dependability I mezzi per la garanzia di funzionamento Monica Bianchini Dipartimento di Ingegneria dellInformazione Università degli Studi di Siena.

Presentazioni simili


Presentazione sul tema: "Dependability I mezzi per la garanzia di funzionamento Monica Bianchini Dipartimento di Ingegneria dellInformazione Università degli Studi di Siena."— Transcript della presentazione:

1 Dependability I mezzi per la garanzia di funzionamento Monica Bianchini Dipartimento di Ingegneria dellInformazione Università degli Studi di Siena

2 Dipendenza fra i mezzi per la dependability 1 n Nonostante la prevenzione del guasto, per mezzo di metodologie di progetto e regole di costruzione, i guasti si verificano Per garantire la dependability, i guasti devono essere eliminati. n Anche le tecniche di eliminazione dei guasti sono imperfette, così come sono imperfetti i componenti commerciali, hardware e software, del sistema, e pertanto è importante la previsione del guasto. n La nostra crescente dipendenza dai sistemi di elaborazione porta al requisito della tolleranza al guasto, che a sua volta si basa su regole di costruzione; pertanto nuovamente eliminazione del guasto, previsione del guasto, etc. n Si noti che il processo è anche più ricorsivo: gli attuali sistemi di elaborazione sono così complessi che il loro progetto richiede strumenti computerizzati. Anche questi strumenti devono essere a funzionamento garantito, etc. …guasto errore fallimento …

3 Dipendenza fra i mezzi per la dependability 2 fault avoidance n Leliminazione del guasto è strettamente associata con la prevenzione del guasto, a formare le tecniche per evitare i guasti (fault avoidance ). copertura validazione della validazione n Considerare leliminazione del guasto e la previsione del guasto come costituenti la validazione, permette la comprensione della nozione di copertura e del problema della ricorsione: la validazione della validazione, ovvero come raggiungere la confidenza nei metodi e negli strumenti usati per avere confidenza nel sistema. copertura n La copertura è una misura della rappresentatività delle situazioni a cui è sottoposto il sistema durante la validazione, in confronto alle reali condizioni operative. copertura imperfetta n Il concetto di copertura imperfetta rafforza la relazione fra eliminazione del guasto e previsione del guasto, perché la necessità di prevedere guasti deriva dalla copertura imperfetta delleliminazione del guasto.

4 Tolleranza al guasto 1 tolleranza al guastofault tolerance trattamento dellerroretrattamento del guasto n La tolleranza al guasto (fault tolerance ) è ottenuta per mezzo del trattamento dellerrore e del trattamento del guasto. trattamento dellerrore n Il trattamento dellerrore ha lo scopo di rimuovere gli errori dallo stato della computazione, preferibilmente prima del verificarsi di un fallimento. trattamento dellerrore n Il trattamento dellerrore può essere eseguito per… –Recupero dellerrore –Recupero dellerrore, con cui uno stato esente da errore viene sostituito allo stato erroneo; la sostituzione può avvenire con: Recupero indietro punto di recuperoRecupero indietro, in cui la trasformazione dello stato erroneo consiste nel riportare il sistema in uno stato precedente al verificarsi dellerrore occorre determinare un punto di recupero; Recupero in avantiRecupero in avanti, in cui la trasformazione dello stato erroneo consiste nellevolvere in un nuovo stato dal quale il sistema possa operare, eventualmente in modo degradato. –Compensazione dellerrore –Compensazione dellerrore, in cui lo stato erroneo contiene sufficiente informazione (ridondanza) per permettere la fornitura di un servizio esente da errore a partire dallo stato (interno) erroneo.

5 rilevamento dellerrore e recupero n Quando si usa il recupero dallerrore, occorre che lo stato erroneo venga identificato prima di essere trasformato: questo è lo scopo del rilevamento dellerrore, da cui il termine comunemente utilizzato di rilevamento dellerrore e recupero. autocontrollati n Componenti con incorporati meccanismi di rilevamento dellerrore sono componenti autocontrollati. aree di confinamento dellerrore rilevamento dellerrore e compensazione n Quando si esegue una compensazione dellerrore in un sistema realizzato con componenti che si autocontrollano suddivisi in classi che eseguono gli stessi compiti (aree di confinamento dellerrore ), la trasformazione di stato è una commutazione da un componente fallito ad uno operativo approccio alla tolleranza al guasto noto come rilevamento dellerrore e compensazione. mascheramento del guasto n La compensazione può essere applicata sistematicamente, anche in assenza di errori, ottenendo il mascheramento del guasto, ad esempio nella votazione a maggioranza. Tolleranza al guasto 2

6 Tolleranza al guasto 3 n Le tecniche di recupero dallerrore indietro e in avanti non sono mutuamente esclusive: può essere prima tentato un recupero indietro; se lerrore persiste, può essere tentato il recupero in avanti. valutare il danno n Nel recupero in avanti, è necessario valutare il danno, causato dallerrore rilevato, o dagli errori propagati prima del rilevamento. n Il tempo aggiuntivo necessario per il trattamento dellerrore dipende fortemente dal metodo adottato: –Nel recupero dellerrore allindietro, per esempio, è relativo alla determinazione dei punti di recupero; –Nella compensazione dellerrore, il tempo aggiuntivo è lo stesso, o quasi, sia in caso di presenza che di assenza di errore.

7 Tolleranza al guasto 4 n La durata della compensazione dellerrore è molto più breve della durata del recupero dellerrore, a causa della maggiore quantità di ridondanza strutturale. Questa osservazione… –…condiziona la scelta della strategia di trattamento dellerrore; –…ha introdotto una relazione fra il tempo aggiuntivo e la ridondanza strutturale; un sistema ridondante ha sempre un comportamento ridondante, caratterizzato da un tempo aggiuntivo di operazione; Il tempo aggiuntivo può essere tanto breve da non essere percepibile dallutente (che ha granularità temporale meno fine); maggiore è la ridondanza strutturale minore è il tempo aggiuntivo necessarioCon una certa approssimazione, maggiore è la ridondanza strutturale minore è il tempo aggiuntivo necessario.

8 Tolleranza al guasto 5 n Il trattamento del guasto ha lo scopo di prevenire lattivazione di guasti ulteriori. diagnosi del guasto n Il primo passo nel trattamento del guasto è la diagnosi del guasto che consiste nel determinare le cause degli errori, sia in termini di locazione che di natura. disattivazione del guasto n Seguono poi le azioni tese a prevenire che il guasto sia nuovamente attivato, tendendo a renderlo passivo: disattivazione del guasto. Ciò è ottenuto… –…rimuovendo i componenti identificati come guasti da ulteriori esecuzioni. riconfigurazione n Se il sistema non è più capace di fornire lo stesso servizio di prima, allora può aver luogo una riconfigurazione.

9 Tolleranza al guasto 6 n Se si valuta che il trattamento dellerrore può rimuovere direttamente il guasto, o se la probabilità che si ripresenti è ragionevolmente bassa, la disattivazione del guasto può non essere eseguita. debolesoft fortesolidohardsolid n Finché il guasto non viene disattivato, viene considerato come guasto debole (soft ); eseguire la disattivazione del guasto implica considerarlo forte o solido (hard/solid ). Un guasto è debole quando la diagnosi del guasto non ha successo. n Le nozioni di guasto debole/forte possono apparire sinonimi delle nozioni di guasto temporaneo/permanente: –La tolleranza ai guasti temporanei non necessita del trattamento del guasto, poiché il recupero dellerrore dovrebbe rimuovere direttamente gli effetti del guasto, purché un guasto permanente non sia stato creato nel processo di propagazione.

10 Tolleranza al guasto 7 n Nel trattare sistemi tolleranti al guasto, si incontrano frequentemente situazioni che coinvolgono guasti e/o fallimenti multipli. Considerando le loro cause si possono distinguere: –Guasti indipendenti, –Guasti indipendenti, che sono attribuiti a cause differenti; –Guasti correlati fallimenti a modo comune –Guasti correlati, che sono attribuiti ad una causa comune; i guasti correlati causano in fallimenti a modo comune. n La relazione temporale fra fallimenti multipli porta a distinguere: –Fallimenti simultanei –Fallimenti simultanei, che si verificano entro una certa finestra temporale predefinita; –Fallimenti sequenziali –Fallimenti sequenziali, che non si verificano entro la stessa finestra temporale.

11 Tolleranza al guasto 8 n In un sistema tollerante al guasto, che è stato progettato per tollerare un guasto singolo alla volta, è necessario recuperare dagli effetti di un guasto prima che il sistema possa tollerare il guasto successivo. n La finestra temporale che separa i guasti simultanei da quelli sequenziali è lintervallo di tempo necessario per il trattamento dellerrore e possibilmente il trattamento del guasto, durante il quale il sistema è vulnerabile. n Un aspetto importante della coordinazione delle attività di componenti multipli consiste nellevitare che la propagazione degli errori influenzi le operazioni di componenti non falliti.

12 Tolleranza al guasto 9 accordo n Evitare effetti collaterali su componenti non falliti è particolarmente importante quando un dato componente deve comunicare qualche informazione, che lui solo possiede, ad altri componenti: i componenti operativi devono raggiungere un accordo sul come usare linformazione ottenuta in modo mutuamente consistente. sistemi distribuiti n Attenzione specifica a questo problema è stata dedicata nel campo dei sistemi distribuiti. n Sistemi tolleranti al guasto, geograficamente localizzati, possono usare soluzioni al problema dellaccordo che sarebbero giudicate troppo costose in un sistema distribuito classico, composto da componenti che comunicano tramite messaggi.

13 Tolleranza al guasto 10 tolleranza al guasto a basso costo n La conoscenza di alcune proprietà del sistema può limitare la quantità di ridondanza necessaria tolleranza al guasto a basso costo. Esempi di queste proprietà sono le regolarità di natura strutturale: –Codici rilevatori e correttori di errore –Codici rilevatori e correttori di errore; –Strutture dati robuste –Strutture dati robuste; –Multiprocessori e reti di calcolatori –Multiprocessori e reti di calcolatori. n I guasti tollerati sono dipendenti dalle proprietà che si tengono in conto, in quanto esse intervengono direttamente nelle ipotesi di guasto. gestione delleccezione n È importante la segnalazione del fallimento di un componente ai suoi utenti gestione delleccezione. –Presente in alcuni linguaggi, costituisce un modo per implementare il recupero in avanti dellerrore di un componente software.

14 Tolleranza al guasto 11 n La tolleranza al guasto è un concetto ricorsivo: è essenziale che i meccanismi tendenti ad implementare la tolleranza al guasto siano protetti nei confronti dei guasti che li possono influenzare. Esempi: –Replicazione dei votatori; –Controllori che si autocontrallano; stabile –Memoria stabile per il recupero di dati e programmi. n La tolleranza al guasto non è limitata ai guasti accidentali. crittografia n La protezione contro le intrusioni coinvolge tradizionalmente la crittografia. n Esistono meccanismi di rilevazione di errore orientati sia ai guasti intenzionali, che accidentali (ad es., tecniche di protezione sugli accessi in memoria) e sono stati proposti schemi per la tolleranza sia alle intrusioni che ai guasti fisici, che alla logica maliziosa.

15 Crittografia crittografia n Negli attuali sistemi informativi distribuiti, e più in generale nel settore delle telecomunicazioni, la crittografia ha assunto un rilievo ed un interesse crescenti nelle infrastrutture di sicurezza. n La ragione è evidente: un numero considerevole di messaggi viaggia sui canali più disparati, dalla posta al telefono, alle comunicazioni via etere, al telex, fino alle linee di trasmissione dati. n Altrettanto enorme è lnformazione immagazzinata nelle memorie di massa dei calcolatori e nelle banche dati. n Se da un lato il progresso tecnologico agevola la manipolazione (e l'intercettazione) dei dati, dall'altro facilita anche l'applicazione della crittografia per proteggere l'informazione stessa.

16 Crittografia: Terminologia 1 crittogrammacifratura n In un sistema crittografico, il testo in chiaro viene trasformato, secondo regole, nel testo in cifra o crittogramma; tale operazione si chiama cifratura. n Il testo cifrato viene quindi trasmesso al destinatario attraverso un opportuno canale di comunicazione. Il canale non sarà completamente affidabile: lungo il percorso può trovarsi una spia che può intercettare il crittogramma e tentare di decifrarlo. cifrario decifrazione chiave del cifrario n Il destinatario legittimo decifra il crittogramma e riottiene il testo in chiaro: se il sistema di cifra, o cifrario, è ben congegnato, l'operazione di decifrazione o decifratura deve risultare semplice al destinatario legittimo, ma di complessità proibitiva alla spia possibile in quanto gli interlocutori legittimi possiedono un'informazione che deve rimanere inaccessibile alla spia, la chiave del cifrario.

17 Crittografia: Terminologia 2 n Il modello delineato è schematizzato in figura: decrittazione n Occorre notare la distinzione tra decifrazione e decrittazione: quest'ultima è l'operazione illegittima in cui non ci si può avvalere della chiave. Cifratura (C), decifrazione (D1) e decrittazione (D2)

18 Crittografia: Terminologia 3 corriere n Il problema della distribuzione delle chiavi è un punto di importanza cruciale in qualsiasi cifrario: si dice che la chiave è comunicata al destinatario tramite un corriere. n Per rendere nota la chiave segreta ci si può affidare ad un canale speciale assolutamente fidato, ma se così è, esso potrebbe essere usato per trasmettere il crittogramma o il messaggio in chiaro. n In realtà, l'uso di un canale speciale è costoso inoltre esso potrebbe essere disponibile solo per brevi intervalli di tempo e/o in determinati momenti. crittografia crittanalisi crittologia n I metodi di costruzione di un cifrario non possono essere disgiunti dallo studio degli eventuali metodi per demolirlo, ovvero non ci si può occupare di crittografia (la parte costruttiva) senza occuparsi di crittanalisi (la parte distruttiva): insieme esse costituiscono una disciplina unitaria detta crittologia. "crittografia" "crittologia". n Nell'uso corrente si usa "crittografia" là dove si dovrebbe dire "crittologia".

19 Crittografia: Algoritmi 1 n Alcuni sistemi crittografici si affidano esclusivamente alla segretezza degli algoritmi utilizzati solo di interesse storico, inadeguati per le applicazioni reali. chiave n Tutti i moderni algoritmi utilizzano una chiave per controllare sia cifratura che decifratura; un messaggio può cioè essere letto solo se la chiave di decifrazione corrisponde in qualche modo a quella di cifratura. n Esistono due classi di algoritmi: –simmetrici –simmetrici (o a chiave segreta): utilizzano la stessa chiave per cifrare e decifrare (o la chiave di decifrazione è facilmente ottenibile a partire da quella di cifratura); –asimmetrici –asimmetrici (o a chiave pubblica): utilizzano due chiavi diverse e la chiave di decifrazione non può essere ricavata a partire dalle informazioni contenute nella chiave di cifratura.

20 Crittografia: Algoritmi 2 cifrari di flussocifrari di blocco n Gli algoritmi simmetrici possono essere suddivisi in cifrari di flusso e cifrari di blocco. I cifrari di flusso possono crittare un singolo bit del messaggio in chiaro alla volta, mentre i cifrari di blocco trasformano l'informazione a blocchi di bit (tipicamente 64 bit ). chiave pubblicachiave privata n I cifrari asimmetrici permettono che la chiave di cifratura sia resa pubblica, consentendo a chiunque di cifrare messaggi con tale chiave, mentre solo il legittimo destinatario (colui che conosce la chiave di decifrazione) può decifrare il messaggio. La chiave di cifratura è anche detta chiave pubblica e la chiave di decifrazione chiave privata o chiave segreta. n In generale gli algoritmi simmetrici sono più rapidi di quelli asimmetrici; in pratica vengono utilizzati insieme.

21 Crittografia: Algoritmi 3 n Il funzionamento di molti dei meccanismi di sicurezza per le transazioni in rete (commercio elettronico e applicazioni affini) infatti utilizzano un algoritmo a chiave pubblica per crittare una chiave di cifratura generata casualmente (detta chiave di sessione); quest'ultima è utilizzata per cifrare il vero messaggio usando un algoritmo simmetrico. n Questa soluzione offre buone garanzie di prestazioni e di sicurezza, visto che normalmente gli algoritmi simmetrici sono più rapidi e che la chiave di cifratura viene cambiata ad ogni sessione. Esempio di trasmissione sicura

22 Esempio: lalgoritmo RSA n L'algoritmo RSA (così detto dai nomi degli ideatori R. Rivest, A. Shamir, e L. Adleman) è un algoritmo a chiave pubblica e basa i meccanismi di cifratura e di generazione delle chiavi sulla aritmetica modulare. n In particolare, lalgoritmo RSA sfrutta l'elevamento a potenza in modulo per cifrare e decifrare messaggi costituiti dall'equivalente numerico di un qualsiasi messaggio testuale. 1. Vengono scelti due numeri primi R, S molto grandi; 2. Viene calcolato N=RS e la funzione di Eulero J(N) = (R-1)(S-1) dopo di che i due primi R, S vengono eliminati; 3. Si sceglie un intero P

23 Eliminazione del guasto 1 verifica diagnosicorrezione n Leliminazione del guasto è composta da tre fasi: verifica, diagnosi e correzione. verifica condizioni di verifica n La verifica è il processo di controllo di aderenza del sistema alle proprietà, dette condizioni di verifica. n Se il sistema non rispetta le condizioni di verifica occorre quindi diagnosticare i guasti che ne hanno impedito il rispetto ed eseguire le correzioni necessarie. verifica di non regressione n Dopo la correzione, il processo deve riprendere per poter controllare che leliminazione del guasto non abbia conseguenze indesiderate: verifica di non regressione. n Le condizioni di verifica possono essere… –…condizioni generali, che si applicano ad una data classe di sistemi e sono relativamente indipendenti dalla specifica (ad es., assenza di deadlock, conformità alle regole di progetto e di realizzazione); –…condizioni particolari per il sistema considerato, dedotte direttamente dalle sue specifiche.

24 Eliminazione del guasto 2 n Le tecniche di verifica possono essere classificate a seconda che esse comportino o no la messa in esercizio del sistema. statica n La verifica di un sistema senza effettiva esecuzione è statica, e può essere effettuata: –Sul sistema stesso, nella forma di Analisi staticaAnalisi statica (analisi del flusso di dati, analisi di complessità, controlli a tempo di compilazione); Prova di correttezzaProva di correttezza; analisi di comportamento –Su un modello di comportamento del sistema (ad es., reti di Petri, automi a stati finiti), per ottenere unanalisi di comportamento.

25 Eliminazione del guasto 3 dinamica esecuzione simbolica test di verifica n Verificare un sistema tramite la sua messa in esercizio, costituisce la verifica dinamica; gli ingressi forniti al sistema possono essere sia simbolici, nel caso di esecuzione simbolica, che con valori, come nel caso del test di verifica. n Il test esaustivo di un sistema rispetto a tutti i suoi possibili ingressi è, in genere, troppo costoso. Le configurazioni di test devono essere opportunamente selezionate, utilizzando criteri… –…per la scelta degli ingressi di test, –…per la generazione degli ingressi di test.

26 Eliminazione del guasto 4 n I criteri per la scelta degli ingressi di test possono essere considerati in base a: test di conformità test di individuazione –Lo scopo del test: il controllo se il sistema soddisfa le sue specifiche funzionali prende il nome di test di conformità, mentre il test teso al rilevamento dei guasti si chiama test di individuazione; test funzionaletest strutturale –Il modello del sistema: a seconda se i criteri sono relativi alla funzione o alla struttura del sistema, essi portano rispettivamente al test funzionale e al test strutturale; –Lesistenza di un modello di guasto: viene condotto il test basato sul guasto, teso a rilevare particolari classi di guasti (guasti nella produzione dellhardware, guasti fisici che influenzano il set di istruzioni di un microprocessore, guasti di progetto nel software, etc.). n La possibilità di definire un modello di guasto è strettamente correlata allo stadio del processo di sviluppo: più avanzato è lo stadio, più alta è la possibilità di definire un modello di guasto.

27 Eliminazione del guasto 5 n La generazione degli ingressi di test può essere deterministica o probabilistica: test deterministico –Nel test deterministico, le configurazioni di test sono predeterminate da una scelta selettiva secondo i criteri adottati; test casualestatistico –Nel test casuale o statistico, le configurazioni di test sono scelte in accordo con una distribuzione di probabilità definita rispetto al dominio degli ingressi. problema delloracolo n Osservare le uscite del test e decidere se soddisfano o no le condizioni di verifica è noto come problema delloracolo. n Le condizioni di verifica si possono applicare allintero insieme delle uscite o ad una funzione compatta che le rappresenti.

28 Eliminazione del guasto 6 n Poiché la verifica deve essere eseguita durante lintero sviluppo del sistema, le tecniche precedenti si applicano naturalmente alle varie forme assunte dal sistema durante il suo sviluppo: prototipo, componente, etc. non possa fare di più di ciò per cui è specificato n Verificare che il sistema non possa fare di più di ciò per cui è specificato è particolarmente importante rispetto ai guasti intenzionali. progetto per la verificabilità n Progettare un sistema in modo da facilitare la sua verifica è ciò che si definisce progetto per la verificabilità. manutenzione correttiva n Leliminazione del guasto durante la fase operativa della vita di un sistema è la manutenzione correttiva, tesa a preservare o migliorare la capacità del sistema a fornire un servizio in accordo con la specifica.

29 Eliminazione del guasto 7 n La manutenzione correttiva può assumere due forme: –Manutenzione curativa –Manutenzione curativa, tesa a rimuovere guasti che abbiano prodotto uno o più errori e che siano stati registrati; –Manutenzione preventiva –Manutenzione preventiva, tesa a rimuovere guasti prima che producano errori; i guasti possono essere… Guasti fisici, che si siano verificati dalle ultime azioni di manutenzione preventiva, Guasti di progetto, che abbiano portato ad errori in altri sistemi similari. n Queste definizioni si applicano sia a sistemi non tolleranti il guasto che a sistemi tolleranti il guasto, che possono essere manutenibili in linea (senza interrompere la fornitura del servizio) o fuori linea. n La frontiera fra manutenzione correttiva e trattamento del guasto è relativamente arbitraria; la manutenzione curativa può essere considerata come un mezzo estremo per ottenere tolleranza al guasto.

30 Previsione del guasto 1 valutazione n La previsione del guasto si effettua eseguendo una valutazione del comportamento del sistema rispetto alloccorrenza o allattivazione del guasto. n La vita di un sistema è percepita dal suo utente come unalternanza fra due stati del servizio fornito, rispetto alla specifica: –Servizio correttoè in accordo –Servizio corretto, quando il servizio fornito è in accordo con la specifica; –Servizio non correttonon è in accordo –Servizio non corretto, quando il servizio fornito non è in accordo con la specifica. n Corretto n Corretto può essere il servizio fornito dal sistema: difficilmente esistono sistemi non guasti, semplicemente possono non avere ancora fallito. ripristino n Un fallimento è una transizione da un servizio corretto ad un servizio non corretto, e la transizione da un servizio non corretto ad uno corretto è un ripristino.

31 Previsione del guasto 2 n Quantificare lalternanza fra servizio fornito corretto e non corretto permette di definire laffidabilità e la disponibilità come misure della dependability: –Affidabilità tempo al –Affidabilità: una misura della fornitura continua di servizio corretto o, analogamente, del tempo al fallimento; –Disponibilità rispetto allalternanza –Disponibilità: una misura della fornitura di servizio corretto rispetto allalternanza fra servizio corretto e non corretto. manutenibilità n Una terza misura, la manutenibilità, viene di solito considerata, ed è definita come una misura del tempo al ripristino dallultimo fallimento o, analogamente, della fornitura continua di servizio non corretto. stato di funzionamento sicuro n Lo stato del servizio corretto e lo stato del servizio conseguente a fallimenti benigni costituiscono lo stato di funzionamento sicuro (esente da danni catastrofici, non dal pericolo).

32 Previsione del guasto 3 sicurezza di funzionamento, safety n La sicurezza (di funzionamento, safety ) è una misura della sicurezza di funzionamento continuo o, analogamente, del tempo al fallimento catastrofico può considerarsi come laffidabilità rispetto ai fallimenti catastrofici. n Una estensione diretta della disponibilità, non fornirebbe una misura significativa: quando un fallimento catastrofico si è verificato, le conseguenze sono talmente importanti che il ripristino del servizio non è di primaria importanza, perché… –…è secondario rispetto alla riparazione delle conseguenze catastrofiche; –…il lungo periodo prima di permettere la ripresa delle operazioni condurrebbe a valori numerici insignificanti.

33 Previsione del guasto 4 n Una misura ibrida affidabilità–disponibilità può comunque essere definita: una misura della fornitura del servizio corretto rispetto allalternanza del servizio corretto e del servizio non corretto dopo fallimenti benigni. prima n Fornisce una quantificazione della disponibilità del sistema prima del verificarsi di un fallimento catastrofico, e permette di quantificare il compromesso affidabilità/ disponibilità e sicurezza di funzionamento. prestazione/ affidabilità congiunteperformability n Nel caso di sistemi ad operazioni multiple, possono essere distinti diversi modi di fornitura del servizio, dalla piena operatività alla completa inoperatività: misure di dependability per tali sistemi sono misure di prestazione/ affidabilità congiunte (performability ).

34 Previsione del guasto 5 modellamento test n Gli approcci principali alla previsione del guasto sono di natura probabilistica, tesi cioè a derivare stime quantitative della dependability, e sono il modellamento ed il test (di valutazione). n I due approcci sono complementari, poiché il modellamento necessita di dati relativi ai processi base modellati (processo di fallimento, processo di manutenzione, processo di attivazione del sistema, etc.), che possono essere ottenuti per mezzo del test. n Nel caso del modellamento, si distinguono: –Affidabilità stabile –Affidabilità stabile: la capacità del sistema di fornire servizio corretto è preservata (identità stocastica dei tempi al fallimento successivi); –Crescita di affidabilità –Crescita di affidabilità: la capacità del sistema di fornire servizio corretto è aumentata (incremento stocastico dei tempi al fallimento successivi).

35 Previsione del guasto 6 n ESEMPI –Affidabilità stabile –Affidabilità stabile: ad un dato ripristino il sistema è identico a quello precedente il ripristino. Corrisponde alle seguenti situazioni: Nel caso di un fallimento hardware, il componente fallito viene sostituito da un componente operativo identico; Nel caso di fallimento software, il sistema viene riavviato con una configurazione di ingresso differente da quella che ha portato al fallimento. –Crescita di affidabilità –Crescita di affidabilità: il guasto la cui attivazione ha portato al fallimento è diagnosticato come guasto di progetto (dellhardware o del software) ed è rimosso.

36 Previsione del guasto 7 n La valutazione della dependability dei sistemi in affidabilità stabile è composta da due fasi principali: –Costruzione del modello del sistema a partire dai processi stocastici elementari che modellano il comportamento dei componenti del sistema e le loro interazioni; –Elaborazione del modello per poter ottenere le espressioni ed i valori delle misure di dependability del sistema. n La dependability di un sistema è fortemente dipendente dal suo ambiente, nel senso più ampio del termine, o, più specificamente, dal suo carico. iniezione del guasto n Quando si valutano sistemi dependable, la copertura dei meccanismi di trattamento dellerrore e del guasto ha una influenza molto significativa; la valutazione può essere effettuata o tramite modellamento o tramite test, chiamato allora iniezione del guasto.

37 Gli attributi della dependability 1 n Gli attributi della dependability sono stati definiti in accordo a proprietà differenti, che assumono diversi significati in dipendenza della particolare applicazione del sistema di elaborazione: –La disponibilità è sempre richiesta, sebbene ad un livello che dipende dallapplicazione; –Laffidabilità, la sicurezza e la protezione possono o no essere richieste a seconda dellapplicazione. integrità n Una proprietà addizionale, che è un prerequisito per lottenimento delle altre proprietà, è lintegrità, cioè la condizione del sistema di non essere deteriorato, sia per dati che programmi, rispetto a guasti accidentali o intenzionali.

38 Gli attributi della dependability 2 n Le variazioni sullenfasi da porre sugli attributi della dependability hanno influenza diretta sul giusto bilanciamento delle tecniche da usare perché il sistema risultante sia dependable. n Questo è un problema difficile: alcuni degli attributi sono antitetici (ad es., disponibilità e sicurezza, disponibilità e protezione), necessitando di compromessi per essere attuati. n La manutenibilità, inoltre, può essere considerata come un ulteriore attributo della dependability, relativo alla facilità con cui possono essere eseguite le azioni di manutenzione.

39 Gli attributi della dependability 3 n La definizione di protezione prevenzione dagli accessi non autorizzati e/o gestione non autorizzata della informazione la caratterizza come la combinazione di… –confidenzialità –confidenzialità (prevenzione dalla divulgazione non autorizzata di informazione), –integrità –integrità (prevenzione da cancellazione o variazione non autorizzata di informazione), –disponibilità –disponibilità (prevenzione dalla allocazione non autorizzata di informazione). n Si noti che: –Un accesso o gestione di informazione non autorizzato può derivare sia da guasto accidentale che intenzionale e alcuni meccanismi per proteggere contro gli accessi non autorizzati sono comuni ad entrambi i tipi di guasto; –Rispetto ai guasti intenzionali, la nozione di autorizzazione deve essere intesa in senso lato: una persona autorizzata che abusa della propria autorità, viola, eseguendo azioni illegittime, lautorizzazione che le era stata concessa.

40 Gli attributi della dependability 4 attendibilitàtrustability n Lattendibilità (trustability ) è la capacità dei sistemi fault– tolerant (dovuta alla presenza di procedure di rilevamento dellerrore) di fornire agli utenti informazione di correttezza sul servizio fornito. n La valutazione della dependability va oltre le tecniche di validazione descritte, per almeno tre motivi (limitazioni): –Controllare con certezza la copertura del progetto o le ipotesi di validazione rispetto alla realtà, implicherebbe una conoscenza ed un dominio della tecnologia usata, delluso effettivo del sistema, etc., che vanno ben oltre ciò che è normalmente ottenibile. –Eseguire la valutazione di un sistema secondo alcuni attributi di dependability rispetto a qualche classe di guasto è attualmente considerato non possibile o non significativo: le basi teoriche probabilistiche non esistono/non sono largamente accettate; –Le specifiche contro le quali viene eseguita la validazione non sono esenti da guasti (come qualsiasi altro sistema).

41 Gli attributi della dependability 5 n Fra le conseguenze di questo stato di cose, si citano… –Lenfasi posta sul processo di sviluppo e di produzione quando si valuti un sistema: metodi e tecniche utilizzati e modalità di utilizzo; in alcuni casi viene assegnato un voto al sistema secondo… …la natura dei metodi e delle tecniche usati, …una valutazione della loro utilizzazione. –La presenza, in aggiunta ai requisiti probabilistici in termini di misura di dependability, del numero di guasti che devono essere tollerati; tale specifica non sarebbe necessaria se le limitazioni menzionate potessero essere superate. n ESEMPI n ESEMPI: –Per la sicurezza in avionica: i sistemi sono classificati da A1 (progetto verificato) a D (protezione minima); i software per aerei per trasporto civile sono classificati come Livello 1, 2 o 3 in base alla criticità delle funzioni che devono essere espletate (critiche, essenziali, o non essenziali). –Per le applicazioni aerospaziali: viene specificato il numero max di guasti tollerati, sotto la forma di requisiti di fallimento operativo o fallimento non pericoloso.

42 Modelli per valutare laffidabilità di un sistema: Guasti indipendenti 1 n Nel caso in cui i guasti dei componenti di un sistema sono indipendenti, possono essere usati modelli combinatori. n Tecniche di calcolo Questi modelli associano ad ogni componente i del sistema una funzione del tempo R i (t). Lo scopo è quello di derivare la funzione R sistema (t) che denota la distribuzione di affidabilità del sistema in funzione del tempo. I modelli possono essere applicati sotto le seguenti condizioni: I fallimenti dei moduli sono indipendenti; Una volta che il modulo è fallito, si assume che produca sempre risultati scorretti; Il sistema è considerato guasto se non soddisfa le condizioni di funzionamento di un numero minimo di moduli; Se il sistema è fallito, successivi fallimenti non riportano mai il sistema in uno stato corretto. I modelli combinatori più usati sono per sistemi serie/parallelo e sistemi k–of–n.

43 Modelli per valutare laffidabilità di un sistema: Guasti indipendenti 2 n Modelli per descrivere sistemi n Il sistema con componenti in serie funziona correttamente solo se tutti i componenti operano correttamente. Se R i (t) è laffidabilità di ogni singolo componente i, R 1 (t)R n-1 (t)R n (t) Modello con componenti in serie R serie (t) = i = 1,n R i (t) dove indica il prodotto. Inoltre la distribuzione di fallimento F, per un sistema in serie, è: F serie (t) = 1-R serie (t) = 1- i = 1,n R i (t) = 1- i = 1,n [ 1-F i (t) ]

44 Modelli per valutare laffidabilità di un sistema: Guasti indipendenti 3 n Il sistema con componenti in parallelo funziona correttamente se almeno uno dei componenti funziona correttamente. La distri- buzione di fallimento è: R 2 (t) R n-1 (t) R n (t) R 1 (t) Modello con componenti in parallelo Laffidabilità del sistema è: R parallelo (t) = 1-F parallelo (t) = 1- i = 1,n F i (t) = 1- i = 1,n [ 1-R i (t) ] F parallelo (t) = i = 1,n F i (t)

45 Modelli per valutare laffidabilità di un sistema: Guasti indipendenti 4 k–of–n n I modelli chiamati k–of–n servono per descrivere situazioni in cui il sistema è guasto se k degli n componenti si guastano, e dove i componenti sono indipendenti ed hanno la stessa distribuzione di fallimento. n La figura: mostra una connessione di componenti sia in serie che in parallelo. a c b t2t2 d t1t1

46 Modelli per valutare laffidabilità di un sistema: Guasti indipendenti 5 1–of–2 n Supponiamo che la configurazione funzioni correttamente se almeno uno fra i componenti a e c e b e d, rispettivamente in parallelo, funziona correttamente si ha una relazione 1–of–2, sia per il primo che per il secondo gruppo di componenti. n Supponiamo tutti i componenti identici, indipendenti e con la stessa R i (t). Lespressione per la distribuzione di fallimento è: i = k,n ( k n ) k F sys = F i (1-F i ) n-k

47 Modelli per valutare laffidabilità di un sistema: Guasti indipendenti 6 n Supponiamo di avere componenti indipendenti, ma diversi fra loro, ad esempio p processori e m memorie condivise. Se il sistema funziona correttamente, nel caso in cui almeno una memoria ed un processore sono funzionanti si ha: n Nellesempio precedente, se a e c sono processori e b e d sono memorie: dove F m è la distribuzione di fallimento delle memorie e F p è la distribuzione di fallimento dei processori. F sys = 1-F m F p = 1-(1- i = 1,p R i (t)) (1- j = 1,m R j (t)) F sys = 1-(1-R p ) (1-R m ) = R p + R m – R p R m

48 Modelli per valutare laffidabilità di un sistema: Guasti correlati 1 catene di MarkovMarkov chains n Nel caso in cui esiste una relazione fra loccorrenza dei guasti nei singoli componenti, occorre usare modelli basati sulle catene di Markov (Markov chains ). n Tecniche di calcolo Una catena di Markov è un processo stocastico in cui il futuro dipende solo dal presente e non dal passato. Definizione Un processo stocastico X= { X n : n } è una catena di Markov, se P { X n+1 =j | X 0,…,X n } = P { X n+1 =j | X n }, j,n.

49 Modelli per valutare laffidabilità di un sistema: Guasti correlati 2 n Modelli Marcoviani assorbenti Ogni stato della catena è una coppia (i,j ), dove i indica il numero di memorie funzio- nanti e j indica il numero di processori funzionanti. Nello stato (3,2), tutti i compo- nenti sono funzionanti, mentre nello stato (2,2) una delle tre memorie si è guastata. La catena ha 10 stati. La condizione di fun- zionamento del sistema è che esista almeno una memoria ed un processore funzionan- te. Questo è modellato nella catena di Markov tramite gli stati (0,1), (0,2), (1,0), (2,0) e (3,0) che sono stati assorbenti, cioè corrispon- denti a fallimento. proc mem proc mem Catene di Markov per il sistema con memorie condivise Reliability Block Diagram

50 La dependability n Sempre di più, individui ed organizzazioni stanno sviluppando o acquistando sofisticati sistemi di elaborazione, sui cui servizi devono riporre assoluta fiducia, per… –…servire distributori automatici di denaro, –…calcolare orbite di satelliti, –…controllare un aereo o un impianto nucleare, –…mantenere la confidenzialità di una base di dati riservata. n In circostanze differenti, lattenzione viene posta su proprietà diverse dei servizi forniti: il tempo medio di risposta, la probabilità di produrre i risultati richiesti, la capacità di evitare fallimenti catastrofici per lambiente del sistema, la capacità di prevenire intrusioni. n La nozione di dependability fornisce un mezzo molto conveniente per circoscrivere le varie richieste in un quadro concettuale unico, includendo, quali casi particolari, proprietà come laffidabilità, la disponibilità, la sicurezza e la protezione.


Scaricare ppt "Dependability I mezzi per la garanzia di funzionamento Monica Bianchini Dipartimento di Ingegneria dellInformazione Università degli Studi di Siena."

Presentazioni simili


Annunci Google