摘  要： 在驗證嵌入式實時系統可生存性的過程中，為了避免實驗驗證和數學模型假設中存在的錯誤，保證所建模型的準確性，對所建模型的每個組件進行了可生存性分析，從而減小了模型的復雜度，進一步提出了模型故障概率函數，并結合馬爾科夫鏈模型的特點建立了驗證嵌入式實時系統可生存性模型。該模型能夠根據嵌入式實時系統故障概率密度分布函數，逐個修復或排除高發生率的故障，從而達到增強嵌入式實時系統可生存性的要求。
關鍵詞： 嵌入式實時系統；可生存性；故障概率；馬爾科夫鏈

    嵌入式實時系統的可生存性[1]是指以計算機技術為基礎的嵌入式系統在遭受網絡攻擊、意外事故或重大災難等事件時，系統仍然能夠在規定的時間約束內完成其基本任務能力，以及外部或內部、同步或異步時間做出響應的能力。由于近年來，嵌入式實時系統在航空、通信和國防等高科技尖端領域的廣泛應用，使得研究嵌入式實時系統在發生故障和意外災難等情況下的可生存能力變得尤為重要。
    目前，研究系統可生存性的主要成果有：Barlow和Proschan[2]以及Siewiorek和Swarz[3]在數學理論的基礎上，詳細討論了系統在相應耗損和維護策略下的使用壽命分布(如故障率分布)，并以最小的假設建立了計算機系統的可生存性模型；參考文獻[4]中SHIN K G等建立了一個關于計算機系統錯誤檢測處理的分析模型，通過該模型檢測系統的可生存性能力；林闖[5]從可信網絡概念的角度分析了網絡安全性、網絡可生存性和網絡可控性之間的相互關系；參考文獻[6]提出了利用多樣化分布式動態備份技術和主動漂移機制構建系統的可生存性模型；王慧強[7]提出了開展面向關鍵任務的分布式信息系統可生存性研究，建立了基于PST的分布式信息系統可生存性模型；參考文獻[8-9]介紹了關于網絡信息系統的可生存性設計的兩種主要思路：一是從設計階段開始就引入可生存性需求，將可生存性需求作為系統設計的先決條件，貫穿于系統開發設計的整個生命周期，最后形成全新的具有可生存能力的系統；二是在原有系統基礎上，加入可生存性增強技術(如入侵檢測、故障隔離、冗余和自適應等技術)，提高和增強某種系統的可生存性。
1 馬爾科夫鏈模型的應用
    通過對模型故障率的分析，可以將系統模型表示成如圖1所示的馬爾科夫鏈的形式，其中狀態表示可用處理器的個數。圖中所示的系統在t時刻處在狀態i(假設嵌入式

    因此不需要區分狀態1或0，可以將狀態1和狀態0定義為故障狀態，計算t時刻進入此狀態的概率。
    單個組件故障對整個系統可生存性造成的沖擊與嵌入式實時系統的結構有關。關于給定組件發生故障的保險范圍是系統能從該故障中成功恢復的概率，現結合嵌入式實時系統使用硬件冗余，建立嵌入式實時系統可生存性模型。
2 系統三元組故障表決
    考慮一個嵌入式實時系統，將其處理器配置成多個三元組，即N=3的NMR群。當一個三元組中的一個處理器發現故障時，就將它從活動狀態移除并用備份代替它。表決過程的另一作用是檢測故障。表決每?子個單位時間發生一次，被表決過程發現的故障處理器將立即被備份替換。假設只發生持久性故障，處理器故障根據速率為?姿的泊松過程相互獨立。有兩個基于故障延遲時間的是或不是指數分布的情況。
    目前的系統建模，都假設故障延遲時間是0，即在發生故障的瞬間就產生錯誤。但實際情況并不如此，直到故障實行，故障才會產生錯誤。潛在故障的問題是此類故障不產生錯誤，所以對系統來說是無形的。當一個單元被檢測到故障，此單元就會被隔離出系統。如果不能及時檢測，可能導致潛在故障單元在嵌入式實時系統中積累起來。
    設故障延遲時間滿足均值為1/?滋的指數分布。假設備件無限，那么三元組不會因為沒有替換硬件而產生故障。只有在至少兩個處理器在同一表決期間內同時發生錯誤的情況下，三元組才會發生故障。圖2展示了這樣的一個時間序列。

    一個三元組只有在至少兩個處理器在同一表決期內出現錯誤時才會發生故障。因此要注意每個表決瞬間的嵌入式實時系統狀態。
      首先構造一個可以捕獲每個表決瞬間系統狀態的馬爾科夫鏈，這條鏈可將表決瞬間的系統狀態由上一表決瞬間的系統狀態的函數給出，是一個離散的“內嵌于表決期的不完全馬爾科夫鏈”。用二元組(x，y)來定義系統的狀態，其中x是三元組中無故障處理器個數，y是三元組中存在潛在故障的處理器個數(即一個已經發生故障卻沒有產生錯誤的處理器)，因為三元組中處理器總數是3個，則產生錯誤的處理器個數就是3-x-y。三元組發生故障的概率可用狀態的函數形式表達如下：
    
3 系統各組件狀態的確立
    表決期可分成兩段，第一段執行所有重新配置的操作，可忽略執行時間；第二段運行應用程序，執行時間為τ，如圖3所示。

    將兩段的狀態轉移概率合并可得到整個表決期的狀態轉移概率P=P1×P2，該狀態轉移矩陣顯示了嵌入式實時系統每個組件的故障概率狀態，從而可以推出整體系統的可生存性。
    根據上述實驗結果可以看到，本文所提出的嵌入式實時系統可生存性建模方法能夠正確地反應出可生存性的關鍵屬性；系統可生存性不僅與其所受攻擊的嚴重性、攻擊強度有關，還與系統對攻擊的抵抗、檢測及恢復等可生存性能密切相關。可生存性是一個整體性的綜合評估值，反應了系統的整體性能。
    本文對嵌入式實時系統的可生存性方法中實驗驗證法和建立數學模型法進行了分析，并提出了所存在的問題，對嵌入式實時系統可生存性模型進行了改進。所建立的模型能夠通過分析模型的復雜度確立故障發生概率，因此，根據概率的大小，系統會自動移除概率大的故障，從而保證系統的可生存性。
參考文獻
[1] ELLISON R J，FISHER D A，LINGER R C，et al．Survivable network system：an emerging discipline[EB/OL]．(2007-11-20)[2013-08-30]．http：//www．cert．org/research/97tr013.pdf.
[2] BARLOW R E，PROSCHAN F.Mathematical theory of reliability[M].Siam：Society for Industrial and Applied，1996.
[3] SIEWIOREK D P，SWARZ R S.Reliable computer systems：design and evaluation[M].Massachusetts：AK Peters,1998.
[4] SHIN K G，LEE Y H.Error detection process-model,design and its impact on computer performance[J].IEEE Transaction，1984，C-33(6)：529-540.
[5] 林闖，彭雪海.可信網絡研究[J].計算機學報，2005，28(5)：751-758.
[6] 黃遵國，盧錫城，胡華平.生存能力技術及其實現案例研究[J].通信學報，2004，25(7)：137-145.
[7] Wang H Q，Liu D X.A holistic approach to survivable distributed information system for critical applications[C].In：The Proc.of ISPA'2005，Nanjing，2005：713-724.
[8] 張樂君，國林，王巍，等．網絡系統可生存性評估與增強技術研究概述[J]．計算機科學，2007，34(8)：30-33.
[9] Ma Qingkai，Xiao Liangliang，YEN I L，et al.An adaptive multiparty protocol for seccure data protection[C].Makoto T. Proc.of the Paralleland Distributed Systems.Los Alamitos： IEEE Computer Society，2005：43-49．