摘  要： 在驗(yàn)證嵌入式實(shí)時(shí)系統(tǒng)可生存性的過(guò)程中，為了避免實(shí)驗(yàn)驗(yàn)證和數(shù)學(xué)模型假設(shè)中存在的錯(cuò)誤，保證所建模型的準(zhǔn)確性，對(duì)所建模型的每個(gè)組件進(jìn)行了可生存性分析，從而減小了模型的復(fù)雜度，進(jìn)一步提出了模型故障概率函數(shù)，并結(jié)合馬爾科夫鏈模型的特點(diǎn)建立了驗(yàn)證嵌入式實(shí)時(shí)系統(tǒng)可生存性模型。該模型能夠根據(jù)嵌入式實(shí)時(shí)系統(tǒng)故障概率密度分布函數(shù)，逐個(gè)修復(fù)或排除高發(fā)生率的故障，從而達(dá)到增強(qiáng)嵌入式實(shí)時(shí)系統(tǒng)可生存性的要求。
關(guān)鍵詞： 嵌入式實(shí)時(shí)系統(tǒng)；可生存性；故障概率；馬爾科夫鏈

    嵌入式實(shí)時(shí)系統(tǒng)的可生存性[1]是指以計(jì)算機(jī)技術(shù)為基礎(chǔ)的嵌入式系統(tǒng)在遭受網(wǎng)絡(luò)攻擊、意外事故或重大災(zāi)難等事件時(shí)，系統(tǒng)仍然能夠在規(guī)定的時(shí)間約束內(nèi)完成其基本任務(wù)能力，以及外部或內(nèi)部、同步或異步時(shí)間做出響應(yīng)的能力。由于近年來(lái)，嵌入式實(shí)時(shí)系統(tǒng)在航空、通信和國(guó)防等高科技尖端領(lǐng)域的廣泛應(yīng)用，使得研究嵌入式實(shí)時(shí)系統(tǒng)在發(fā)生故障和意外災(zāi)難等情況下的可生存能力變得尤為重要。
    目前，研究系統(tǒng)可生存性的主要成果有：Barlow和Proschan[2]以及Siewiorek和Swarz[3]在數(shù)學(xué)理論的基礎(chǔ)上，詳細(xì)討論了系統(tǒng)在相應(yīng)耗損和維護(hù)策略下的使用壽命分布(如故障率分布)，并以最小的假設(shè)建立了計(jì)算機(jī)系統(tǒng)的可生存性模型；參考文獻(xiàn)[4]中SHIN K G等建立了一個(gè)關(guān)于計(jì)算機(jī)系統(tǒng)錯(cuò)誤檢測(cè)處理的分析模型，通過(guò)該模型檢測(cè)系統(tǒng)的可生存性能力；林闖[5]從可信網(wǎng)絡(luò)概念的角度分析了網(wǎng)絡(luò)安全性、網(wǎng)絡(luò)可生存性和網(wǎng)絡(luò)可控性之間的相互關(guān)系；參考文獻(xiàn)[6]提出了利用多樣化分布式動(dòng)態(tài)備份技術(shù)和主動(dòng)漂移機(jī)制構(gòu)建系統(tǒng)的可生存性模型；王慧強(qiáng)[7]提出了開(kāi)展面向關(guān)鍵任務(wù)的分布式信息系統(tǒng)可生存性研究，建立了基于PST的分布式信息系統(tǒng)可生存性模型；參考文獻(xiàn)[8-9]介紹了關(guān)于網(wǎng)絡(luò)信息系統(tǒng)的可生存性設(shè)計(jì)的兩種主要思路：一是從設(shè)計(jì)階段開(kāi)始就引入可生存性需求，將可生存性需求作為系統(tǒng)設(shè)計(jì)的先決條件，貫穿于系統(tǒng)開(kāi)發(fā)設(shè)計(jì)的整個(gè)生命周期，最后形成全新的具有可生存能力的系統(tǒng)；二是在原有系統(tǒng)基礎(chǔ)上，加入可生存性增強(qiáng)技術(shù)(如入侵檢測(cè)、故障隔離、冗余和自適應(yīng)等技術(shù))，提高和增強(qiáng)某種系統(tǒng)的可生存性。
1 馬爾科夫鏈模型的應(yīng)用
    通過(guò)對(duì)模型故障率的分析，可以將系統(tǒng)模型表示成如圖1所示的馬爾科夫鏈的形式，其中狀態(tài)表示可用處理器的個(gè)數(shù)。圖中所示的系統(tǒng)在t時(shí)刻處在狀態(tài)i(假設(shè)嵌入式

    因此不需要區(qū)分狀態(tài)1或0，可以將狀態(tài)1和狀態(tài)0定義為故障狀態(tài)，計(jì)算t時(shí)刻進(jìn)入此狀態(tài)的概率。
    單個(gè)組件故障對(duì)整個(gè)系統(tǒng)可生存性造成的沖擊與嵌入式實(shí)時(shí)系統(tǒng)的結(jié)構(gòu)有關(guān)。關(guān)于給定組件發(fā)生故障的保險(xiǎn)范圍是系統(tǒng)能從該故障中成功恢復(fù)的概率，現(xiàn)結(jié)合嵌入式實(shí)時(shí)系統(tǒng)使用硬件冗余，建立嵌入式實(shí)時(shí)系統(tǒng)可生存性模型。
2 系統(tǒng)三元組故障表決
    考慮一個(gè)嵌入式實(shí)時(shí)系統(tǒng)，將其處理器配置成多個(gè)三元組，即N=3的NMR群。當(dāng)一個(gè)三元組中的一個(gè)處理器發(fā)現(xiàn)故障時(shí)，就將它從活動(dòng)狀態(tài)移除并用備份代替它。表決過(guò)程的另一作用是檢測(cè)故障。表決每?子個(gè)單位時(shí)間發(fā)生一次，被表決過(guò)程發(fā)現(xiàn)的故障處理器將立即被備份替換。假設(shè)只發(fā)生持久性故障，處理器故障根據(jù)速率為?姿的泊松過(guò)程相互獨(dú)立。有兩個(gè)基于故障延遲時(shí)間的是或不是指數(shù)分布的情況。
    目前的系統(tǒng)建模，都假設(shè)故障延遲時(shí)間是0，即在發(fā)生故障的瞬間就產(chǎn)生錯(cuò)誤。但實(shí)際情況并不如此，直到故障實(shí)行，故障才會(huì)產(chǎn)生錯(cuò)誤。潛在故障的問(wèn)題是此類故障不產(chǎn)生錯(cuò)誤，所以對(duì)系統(tǒng)來(lái)說(shuō)是無(wú)形的。當(dāng)一個(gè)單元被檢測(cè)到故障，此單元就會(huì)被隔離出系統(tǒng)。如果不能及時(shí)檢測(cè)，可能導(dǎo)致潛在故障單元在嵌入式實(shí)時(shí)系統(tǒng)中積累起來(lái)。
    設(shè)故障延遲時(shí)間滿足均值為1/?滋的指數(shù)分布。假設(shè)備件無(wú)限，那么三元組不會(huì)因?yàn)闆](méi)有替換硬件而產(chǎn)生故障。只有在至少兩個(gè)處理器在同一表決期間內(nèi)同時(shí)發(fā)生錯(cuò)誤的情況下，三元組才會(huì)發(fā)生故障。圖2展示了這樣的一個(gè)時(shí)間序列。

    一個(gè)三元組只有在至少兩個(gè)處理器在同一表決期內(nèi)出現(xiàn)錯(cuò)誤時(shí)才會(huì)發(fā)生故障。因此要注意每個(gè)表決瞬間的嵌入式實(shí)時(shí)系統(tǒng)狀態(tài)。
      首先構(gòu)造一個(gè)可以捕獲每個(gè)表決瞬間系統(tǒng)狀態(tài)的馬爾科夫鏈，這條鏈可將表決瞬間的系統(tǒng)狀態(tài)由上一表決瞬間的系統(tǒng)狀態(tài)的函數(shù)給出，是一個(gè)離散的“內(nèi)嵌于表決期的不完全馬爾科夫鏈”。用二元組(x，y)來(lái)定義系統(tǒng)的狀態(tài)，其中x是三元組中無(wú)故障處理器個(gè)數(shù)，y是三元組中存在潛在故障的處理器個(gè)數(shù)(即一個(gè)已經(jīng)發(fā)生故障卻沒(méi)有產(chǎn)生錯(cuò)誤的處理器)，因?yàn)槿M中處理器總數(shù)是3個(gè)，則產(chǎn)生錯(cuò)誤的處理器個(gè)數(shù)就是3-x-y。三元組發(fā)生故障的概率可用狀態(tài)的函數(shù)形式表達(dá)如下：
    
3 系統(tǒng)各組件狀態(tài)的確立
    表決期可分成兩段，第一段執(zhí)行所有重新配置的操作，可忽略執(zhí)行時(shí)間；第二段運(yùn)行應(yīng)用程序，執(zhí)行時(shí)間為τ，如圖3所示。

    將兩段的狀態(tài)轉(zhuǎn)移概率合并可得到整個(gè)表決期的狀態(tài)轉(zhuǎn)移概率P=P1×P2，該狀態(tài)轉(zhuǎn)移矩陣顯示了嵌入式實(shí)時(shí)系統(tǒng)每個(gè)組件的故障概率狀態(tài)，從而可以推出整體系統(tǒng)的可生存性。
    根據(jù)上述實(shí)驗(yàn)結(jié)果可以看到，本文所提出的嵌入式實(shí)時(shí)系統(tǒng)可生存性建模方法能夠正確地反應(yīng)出可生存性的關(guān)鍵屬性；系統(tǒng)可生存性不僅與其所受攻擊的嚴(yán)重性、攻擊強(qiáng)度有關(guān)，還與系統(tǒng)對(duì)攻擊的抵抗、檢測(cè)及恢復(fù)等可生存性能密切相關(guān)?？缮嫘允且粋€(gè)整體性的綜合評(píng)估值，反應(yīng)了系統(tǒng)的整體性能。
    本文對(duì)嵌入式實(shí)時(shí)系統(tǒng)的可生存性方法中實(shí)驗(yàn)驗(yàn)證法和建立數(shù)學(xué)模型法進(jìn)行了分析，并提出了所存在的問(wèn)題，對(duì)嵌入式實(shí)時(shí)系統(tǒng)可生存性模型進(jìn)行了改進(jìn)。所建立的模型能夠通過(guò)分析模型的復(fù)雜度確立故障發(fā)生概率，因此，根據(jù)概率的大小，系統(tǒng)會(huì)自動(dòng)移除概率大的故障，從而保證系統(tǒng)的可生存性。
參考文獻(xiàn)
[1] ELLISON R J，F(xiàn)ISHER D A，LINGER R C，et al．Survivable network system：an emerging discipline[EB/OL]．(2007-11-20)[2013-08-30]．http：//www．cert．org/research/97tr013.pdf.
[2] BARLOW R E，PROSCHAN F.Mathematical theory of reliability[M].Siam：Society for Industrial and Applied，1996.
[3] SIEWIOREK D P，SWARZ R S.Reliable computer systems：design and evaluation[M].Massachusetts：AK Peters,1998.
[4] SHIN K G，LEE Y H.Error detection process-model,design and its impact on computer performance[J].IEEE Transaction，1984，C-33(6)：529-540.
[5] 林闖，彭雪海.可信網(wǎng)絡(luò)研究[J].計(jì)算機(jī)學(xué)報(bào)，2005，28(5)：751-758.
[6] 黃遵國(guó)，盧錫城，胡華平.生存能力技術(shù)及其實(shí)現(xiàn)案例研究[J].通信學(xué)報(bào)，2004，25(7)：137-145.
[7] Wang H Q，Liu D X.A holistic approach to survivable distributed information system for critical applications[C].In：The Proc.of ISPA'2005，Nanjing，2005：713-724.
[8] 張樂(lè)君，國(guó)林，王巍，等．網(wǎng)絡(luò)系統(tǒng)可生存性評(píng)估與增強(qiáng)技術(shù)研究概述[J]．計(jì)算機(jī)科學(xué)，2007，34(8)：30-33.
[9] Ma Qingkai，Xiao Liangliang，YEN I L，et al.An adaptive multiparty protocol for seccure data protection[C].Makoto T. Proc.of the Paralleland Distributed Systems.Los Alamitos： IEEE Computer Society，2005：43-49．