分布式任务关键实时系统的防危（Safety）技术研究

随着实时计算的功能日益强大,应用成本的逐渐降低,实时计算技术广泛应用于航空航天、交通运输、核电能源和医疗卫生等诸多任务关键实时系统。这些实时系统之所以称为任务关键,是因为它们的功能一旦失效,将会引起生命财产的重大损失以及环境可能遭到严重破坏。为减少或防止任务关键实时系统发生灾难性事故,研究相关的防危(Safety)技术是必要的。目前,实时系统硬件的可靠性已大大提高,实时软件的设计缺陷已经成为导致任务关键实时系统失效的主要根源。防危技术是保障分布式任务关键实时系统正常运行,防止其发生灾难性事故的主要手段,已成为实时系统研究的热点课题。 论文对任务关键实时系统现有的防危技术进行了系统、全面的分析,认为当前其所面临的主要问题是:1)没有体现防危性(Safety)的本质含义,认为防危等同于可靠(Reliability)、安全(Security);2)无系统防危的观念:现有的防危机制通常只局限在应用级、操作系统级或网络级中的某个层次,且各层防危机制联系非常松散、一致性差。针对上述问题,通过对比分析防危性与可靠性、防危性与安全性之间异同的方式,阐述了防危性的本质所在。并以多级防危机制为核心,对分布式任务关键实时系统的防危技术进行了系统、深入地理论研究和实验,主要的贡献与创新之处包括: 在分析现有应用级防危机制不足之处的基础上,基于多级关键度划分的思想,提出了集成式的多级防危机制,其中重点研究了支持该机制的多级关键度访问控制规则,其目的是防止低关键度子系统中的设计缺陷破坏高关键度子系统的防危性,同时研究了基于反射技术的规则执行。 为设计高可信的任务关键实时操作系统,探索了基于时间隔离与空间隔离保护机制构建高可信任务关键实时操作系统的新思想,其目的是把设计缺陷所导致的失效影响控制在一个较小的时空范围内,使实时操作系统在其支撑范围内提供尽可能强的可信防范机制,在用户应用程序与系统资源之间进行符合防危策略的调度,防止发生灾难性事故。本论文基于两级调度模型及硬通货内存分配机制,分别实现了时间隔离保护与空间隔离保护,并通过理论分析及原型实验证明了时空隔离保护机制的正确性、有效性。 为有效支持集成式的多级防危机制,基于窗口限制的思想——规定时间范围内任务的时限满足情况,定量地描述了任务的关键度,提出了最短紧急距离优先的多级关键任务调度算法,设计出了可支持多级关键度任 务的任务关键实时操作系统。 基于事件触发与时间触发设计出了任务关键实时通信协议E&TTE,实现了同步实时消息、异步实时消息及非实时消息的混合传输。E&TTE协议位于MAC层之上,是一种集中控制但分散仲裁的协议。既能保证各从节内部调度的灵活性,又可保证整个网络的实时性、防危性,同时具有较高的网络带宽利用率。 为有效测评任务关键软件,在研究相关防危性评估指标的基础上,探索了一种适合于任务关键软件防危性测评的增量记忆型测评方法,该方法可根据软件失效时间的早晚及次数来动态确定所需要测试用例数的增量,便于对失效后的软件进行更严格的测试,以防止任务关键软件侥幸通过防危性测试。 除上述工作外,本论文还对防危性实时调度、任务堆栈空间的优化、实时操作系统的防危性扩展和分布式任务关键实时系统的一体化可信性评估模型进行了研究和探讨,并做出了有益的贡献。