Polityki napraw systemu komputerowego

W modelu należy zatem co pewien odcinek czasu należy wybrać kolejny element z puli i roz-poczynać dla niego określone zdarzenie. Jakkolwiek w języku PDNZC budowa takich modeli była niemożliwa [90], dzięki rozszerzeniom GN modelowanie strumienia uszkodzeń nie jest już problemem. Na rysunkach 6.5b oraz 6.5 przedstawiono dwa sposoby opisu takiego zjawiska w GN na przykładzie uszkodzeń tramwajów opisanych szerzej w rozdziale 7.

Pierwsze podejście, cyklicznie startujące E4, opiera się na wprowadzonym do GN przejściu działającym atomowo. W momencie wyboru kolejnego tramwaju do uszkodzenia, T 1 nie tylko kończy jedno zdarzenie E1 i rozpoczyna E2, lecz również kończy zdarzenie proste E3. Stąd przejście T 1 nie odpali się aż do ponownego startu E3, które, jak wynika z rysunku, zajdzie do-piero, gdy odpali się przejście T 2. Z kolei odpalenie T 2 warunkowane jest zachodzeniem E4, czyli faktycznym uszkodzeniem tramwaju opóźnionym względem E2 o czas interwału zdefiniowany przy bramie G1.

Powszechność powyższego schematu modelowania uszkodzeń była motywacją do wprowa-dzenia w GN przedstawionej na rys. 6.5 bramy generatora. Dla i-tego uszkowprowa-dzenia opisanego zdarzeniem parametrycznym z:

occur_{P AR}(z, R₁(d) + R₂(d) + . . . + R_i(d), zk_i, i)

Dla i-tego uszkodzenia opisanego zdarzeniem prostym z:

occur_{P R}(z, R₁(d) + R₂(d) . . . + R_i(d), zk_i, count(z, R1(d) + R₂(d) . . . + R_i(d)) + 1) Jeśli zdarzenie jest na wyjściu generatora, to generator jest jedyną bramą wejściową tego zdarzenia. Opis procesu wynikającego z wielu zmiennych losowych można uzyskać łącząc bramą wiele równoległych par: zdarzenie i jej generator.

6.2 Polityki napraw systemu komputerowego

Istnieją dwa powody dla kontynuacji dyskusji nad politykami napraw rozpoczętej w roz-dziale 4. Pierwszy to chęć demonstracji nowych i rozszerzonych elementów GN na przykładzie polityki globalnej, której model zostanie przedstawiony w podrozdziale 6.2.1. Drugi wiąże się z wypełnieniem luki w opisie polityk napraw i ostatecznym zamodelowaniem odnowy opartej o określoną liczbę konserwatorów. Brakującą politykę omówiono w podrozdziale 6.2.2.

6.2.1 Zdarzenia parametryczne w modelu globalnej polityki napraw

Zdarzenia parametryczne można wykorzystać do opisu uszkodzeń i napraw komponentów systemu komputerowego. W takim rozwiązaniu wartości parametrów oznaczają identyfikatory komponentów danego typu.

W nowym modelu GN przedstawionym na rys. 6.6 potrzebne są zatem trzy gałęzie: po jednej dla każdego typu komponentu. Dla części grafu związanej z modułami pamięci i dyskami będą istniały po dwie wartości identyfikatora, a dla procesora jedna. Istnieje zatem 5 zajść zdarzeń

66 ROZDZIAŁ 6. GRAFY NIEZDATNOŚCI

początkowych oznaczających poprawne funkcjonowanie każdego komponentu:

IE_{P AR} = {hE1, 1i, hE2, 1i, hE2, 2i, hE3, 1i, hE3, 2i}

IE_{P R} = ∅

Po rozpoczęciu powyższych natychmiastowych zdarzeń parametrycznych odpalone mogą być: bramy opóźniające lub bramy negacji. Elementy CNOT zostaną omówione później.

Bramy opóźniające G4, G6 i G8 modelują czas do awarii, po upłynięciu którego rozpo-czynane są z odpowiednimi parametrami zdarzenia E4, E5 i E6 oznaczające awarie. Bramy głosujące G10 i G11 rozpoczną wyjściowe zdarzenia proste, jeśli liczba zajść zdarzeń na ich wej-ściach wyniesie przynajmniej 2, czyli kiedy pula elementów zapasowych się wyczerpała i dany typ komponentu jest już niedostępny. W systemie istnieje tylko jeden procesor, a więc w jego przypadku brama Vote nie jest potrzebna i zdarzenie E4 wchodzi bezpośrednio do G13. Brama

G13 rozpocznie zdarzenie proste E9 oznaczające hazard, które z kolei zapoczątkuje naprawę

modelowaną przez G14. Po jej upływie (E0) następuje odnowa uszkodzonych elementów, co jest realizowane bramami CAND mającymi na wejściu zdarzenie parametryczne oraz proste. Zatem jedno zdarzenie E0 jest równolegle wykorzystywane przez 3 bramy G1, G2 oraz G3 i wszystkie zajścia E4, E5 i E6. Zamknięcie cyklu uszkodzenia i naprawy dokonują bramy CNOT G5, G7 i G9 natychmiast kończące zdarzenia sygnalizujące poprzednie uszkodzenia.

Zaletą takiego podejścia jest nie tylko czytelniejszy model, ale także brak konieczności roz-budowy drzewa w obliczu dalszego zwiększenia poziomu redundancji w systemie. Niezbędne jest jedynie dodanie kolejnych elementów do zbioru IE_{P AR}.

6.2.2 Model polityki opartej o zasoby

Język PDNZC opisany w poprzednich rozdziałach nie wystarcza do wyrażenia polityki na-prawy systemu komputerowego z określoną liczbą konserwatorów, o dostęp do których rywalizują uszkodzone komponenty. Jeśli istnieje k konserwatorów, to maksymalnie k komponentów mo-że być naprawianych równolegle, a rozpoczęcie odnowy kolejnych elementów następuje wraz z zakończeniem poprzednich procesów i udostępnieniem konserwatorów.

Prawidłowy opis takiego schematu wymaga konstrukcji rozstrzygającej konflikt pomiędzy wieloma komponentami jednocześnie żądającymi dostępu do zasobu współdzielonego, czyli kon-serwatora. Taką funkcję pełni przejście atomowo rozpoczynające i kończące zdarzenia.

Nowością w stosunku do modelu polityki globalnej są zdarzenia E10 − E23 oraz bramy

G14 − G24 przedstawione w górnej części rysunku 6.7. Zdarzenia początkowe są następujące. IEP AR= {hE1, 1i, hE2, 1i, hE2, 2i, hE3, 1i, hE3, 2i, hE21, 1i, hE22, 1i, hE22, 2i, hE23, 1i, hE23, 2i}

IEP R = {hE7, 1i, hE7, 2i, . . . , hE7, ki}

Proces naprawy aktywowany jest bramą G14 poprzez rozpoczęcie zdarzenia prostego E10 dokładnie 10 jednostek czasu po wykryciu hazardu. Uzupełnieniem wcześniej opisanego schema-tu awarii i naprawy komponentów są zdarzenia E21-E23 wraz z przylegającymi bramami CNOT

6.2. POLITYKI NAPRAW SYSTEMU KOMPUTEROWEGO 67

Rysunek 6.6: Uproszczenie modelu polityki globalnej towarzyszące wprowadzeniu zdarzeń para-metrycznych: E1 − E6 do języka GN

G15-G17. Dzięki tym bramom, gdy komponent ulegnie uszkodzeniu i rozpoczęte zostanie

zda-rzenie E4-E6, nastąpi zablokowanie odnowy aż do momentu, gdy wszystkie komponenty będą sprawne. Brama G24 oczekuje 5 zdarzeń na wejściach i dopiero wtedy rozpocznie przy pomocy zdarzenia E0 opisaną przy polityce globalnej odnowę oraz dokona zakończenia procesu naprawy - G10. Zatem bramy G14 i G10 odpowiednio rozpoczynają i kończą naprawę całego systemu.

Wraz z awarią komponentu sygnalizowana jest potrzeba jego naprawy: G18-G20 i zdarzenia z parametrami E11-E13. Naprawy poszczególnych komponentów powinny kończyć się rozpoczę-ciem E21-E23. Omawiany model gwarantuje włączenie do procesu również tych komponentów, które uległy awarii w trakcie przeprowadzanej naprawy.

Liczba zachodzących zdarzeń prostych E20 oznacza liczbę wolnych konserwatorów. Jeśli tacy są obecni, oraz rozpoczęta została naprawa systemu E10, oraz dany komponent jest uszkodzony, to nastąpi alokacja do niego konserwatora przy pomocy przejścia T 1-T 3. Zdarzenia E14-E16 oznaczające rozpoczęcia naprawy komponentu zostaną wystartowane z parametrami

wynikają-68 ROZDZIAŁ 6. GRAFY NIEZDATNOŚCI

Rysunek 6.7: Polityka odnowy oparta o zasoby z dowolną liczbą konserwatorów wyrażoną liczbą zdarzeń E20 zachodzących w chwili początkowej [93]