（计算机科学与技术专业论文）web服务容错关键技术研究.pdf

国防科学技术大学研究生院博士学位论文 摘要 w e b 服务在电子商务、应用集成、业务流程管理等领域有广阔的应用前景， 得到了工业界和学术界的广泛关注。近年来，许多研究机构、组织和公司纷纷投 入到w e b 服务的研究和应用当中。工业界主要注重w e b 服务规范和协议的标准化 问题，学术界主要关注w e b 服务的核心支撑技术研究。目前，w e b 服务研究仍有 许多关键问题尚待解决。其中的一个非常重要的问题是w e b 服务的可用性问题。 容错是增强w e b 服务可用性的核心技术。本文针对w e b 服务的特点，对w e b 服 务容错关键技术展开研究，旨在为容错w e b 服务的开发和管理提供平台支持。 本文在分析现有研究成果的基础上，在计算模型、动态容错算法、层次式自 适应失效检测器及容错管理等方面展开深入研究，主要工作有： 1 w e b 服务容错计算模型的研究系统模型是容错关键技术的核心。在分析 了三种典型计算模型的基础上，结合服务模型和反射模型，提出了适合w e b 服务 特点的f t w s c m 计算模型。该模型一方面能适合w e b 服务的特点，另一方面又 使得容错机制透明易用易定制，容错属性灵活配置，并且还能最大限度的减轻应 用开发者的负担。 2 容错算法性能改善的研究。复制算法决定着副本的冗余方式，在很大程度 上影响着服务的性能，是容错领域研究的一个主要问题。针对主动复制算法中的 不足，本文提出了r r r 算法，它在不改变可用性的前提下提高了算法的性能。它 基于下述设计思想：每个冗余副本都接收请求消息，但应答只由处理速度最快的 副本返回。与主动复制算法相比，其主要优点是：应答由处理速度最快的副本返 回，响应时间短；算法不需要对结果协调；算法基于主动复制，但避免了重复嵌 套呼叫问题，不需要引入过滤机制。此外，我们还针对主动复制带来的重复嵌套 呼叫问题，提出了一种新的过滤方法，能很好的解决多级重复嵌套呼叫问题。 3 层次式自适应失效检测器的研究。失效检测是容错计算非常关键的问题， 是一个容错系统必须首先解决的问题。目前许多失效检测器的实现往往都基于一 个假设，即被检测实体和失效检测器之间可靠通讯，没有考虑到消息丢失、通道 失效等问题。本文基于自适应失效检测器，提出了层次式自适应失效检测器，它 可扩展性好，能识别实体失效、通道失效、消息失效这三种不同类型的失效。 4 容错管理技术的研究。为了在发生部分失效时继续正常工作。系统实现容 错的手段主要有冗余配置，失效检测和恢复等。容错系统必须解决复制管理、日 志和恢复管理等容错管理问题。本文研究的容错管理技术主要包括： 1 ) 复制管理：冗余副本的管理是复制管理研究的主要问题。我们借鉴已有的 面向对象分布计算平台上的对象组管理方式，设计了一个复制管理框架，实现服 第i 页 国防科学技术大学研究生院博士学位论文 务组的维护以及服务组的属性管理等功能。 2 ) 日志和恢复管理：日志和恢复管理是实现失效恢复的主要手段。本文针对 w e b 服务的特点，提出了日志和恢复管理框架，该框架既对用户透明，又不破坏 w e b 服务自身的特点。 5 w e b 服务容错支撑平台的设计与实现。在对构造w e b 服务容错系统的上 述关键技术作了深入研究的基础上，基于国防科技大学研制的基于w e bs e r v i c e s 分布应用支撑平台s t a r w e b s e r v i e e ，设计实现了一个w e b 服务容错支撑平台原型 系统s f t w s ，为容错服务的开发和管理提供有效的支持。 综上所述，本文的工作针对目前w e b 服务容错技术中亟待解决的几个关键问 题提出了相应的解决方案，对于推进w e b 服务的可用性研究具有一定的理论价值 和实际应用价值。 主题词：w e b 服务容错可用性系统模型容错支撑平台 第i i 页 国防科学技术大学研究生院博士学位论文 a b s t p a c t w e bs e r v i c e sg a i 璐e x t e n s i v ec o n c e r nf r o mi n d u s t r i a lc o m m u n i t yt oa c a d e m i c c o m m u n i t yb e c a u s ei th a sw i d ef o r e g r o u n di nt h ed o m a i no fe - b u s i n e s s , a p p l i c a t i o n i n t e g r a t i o n a n db u s i n e s sf l o wm a n a g e m e n t , e t c i nr e c e n ty e a r s , m a n yr e s e a r c h i n s t i t u t i o n s ，o r g a n i z a t i o n sa n dc o m p a n i e sd e v o t et ot h er e s e a r c ha n da p p l i c a t i o no fw e b s e r v i c e s t h ei n d u s t r i a lc o m m u n i t ym a i n l yc o n c e t n si ns t a n d a r d i z a t i o ni s s u e so f s p e c i f i c a t i o n sa n dp r o t o c o l si nw e bs e r v i c e s 1 1 他a c a d e m i cc o m m u n i t ym a i n l y r e s e a r c h e so nt h eu n d e r l y i n gt e c h n i q u e so fw e bs e r v i c e s a tp r e s e n t , m a n yk e y p r o b l e m si n 、e bs e r v i c e sa r es t i l ln e e dt ob ea d d r e s s e d av e r yi m p o r t a n to n ei sh o wt o e l q u r et h ea v a i l a b i l i t yo fw e bs e r v i c e f a u l tt o l e r a n c ei st h ek e yt e c h n o l o g yt oi m p r o v e t h ea v a i l a b i l i t yo fw e bs e r v i c e 、er e s e a r c ho nt h ek e yt e c h n o l o g i e so ff a u l tt o l e r a n t w e bs e r v i c e sa c c o r d i n gw i t ht h ec h a r a c t e r so fw e bs e r v i c e s n l ea i mo f o u rw o r ki st o p r o v i d ep l a t f o r ms u p p o r tf o rt h ed e v e l o p m e n ta n dm a n a g e m e n to ff a u l tt o l e r a n tw e b s e r v i c e s i nt h eb a s eo f e x i s t i n ga c h i e v e m e n t s w ed e l v ei n t ot h ef o l l o w i n gk e yt e c h n o l o g i e s ： c o m p u t i n gm o d e l ，r e p l i c a t i o na l g o r i t h m , h i e r a r c h i c a la d a p t i v ef a i l u r ed e t e c t o ra n df a u l t t o l e r a n c em a n a g e m e n t 1 1 豫c o n t r i b u t i o n so f t h i sd i s s e r t a t i o na r ea sf o l l o w s ： ( 1 ) c o m p u t a t i o nm o d e lf o rf a u l tt o l e r a n tw e bs e r v i c e s t h es y s t e mm o d e l i st h e k e yt e c h n o l o g yo f f a u l tt o l e r a n c e w ei n v e s t i g a t et h et h r e et y p i c a ls y s t e mm o d e l sa n d p r o p o s eac o m p u t a t i o nm o d e ln a m e df t w s c mi nt h eb a s eo fs e r v i c em o d e la n d r e f l e c t i o nm o d e l 1 1 把m o d e lh a sf o l l o w i n ga d v a n t a g e s ：i ta c c o r d 谢t l lt h ec h a r a c t e ro f k bs e r v i c e s ；n 圮f a u l tt o l e r a n tm e c h a n i s m sa r et r a n s p a r e n t , e a s yt ou a n da l s o f l e x i b l yc u s t o m i z e d ；n 圮f a u l tt o l e r a n tp r o p e r t i e sa r ef l e x i b l yc o n f i g u r e d ；1 1 豫t a r g e t s e r v i c ep r o g r a m m e r sa l m o s tn e e d n tt oc a r et h ef a u l t - t o l e r a n tm e c h a n i s m s ( 2 ) i m p r o v e m e n to ft h ep e r f o r m a n c eo ff a u l tt o l e r a n ta l g o r i t h m 1 kr e p l i c a t i o n a l g o r i t h md e c i d e st h er e d u n d a n c ym o d ea n da f f e c t st h ep e r f o r m a n c eo f t h es e r v i c e s i t s ak e yi s s u ei nt h ed o m a i no ff a u l tt o l e r a n c e a i mf o ri m p r o v i n gt h ep e r f o r m a n c eo f a c t i v er e p l i c a t i o na l g o r i t h m , w ep r o p o s ean e wr e p l i c a t i o na l g o r i t h mn a m e dr r r ( r a p i dr e s p o n s er e p l i c a t i o n ) i ti m p r o v e st h ep 耐o r m a n c eo fa c t i v er e p l i c a t i o n a l g o r i t h mw i t h o u td a m a g i n gt h ea v a i l a b i l i t y i t sb a s i ci d e ai s ：a l lr e p l i c a sr e c e i v er e q u e s t , b u to n l yt h ef a s t e s to i l es e n d sb a c kt h er e s p o n s et ot h ec l i e n ta f t e ri th a n d l e st h er e q u e s t i t sm a i na d v a n t a g e sa r e ：i nt h ea l g o r i t h m , t h er e s p o n s ei ss e n tb a c kd i r e c t l yb yt h e f a s t e s tr e p l i c aa f t e ri th a n d l e st h er e q u e s t ；1 1 a l g o r i t h ma v o i d st h er e d u n d a n tn e s t e d i n v o c a t i o np r o b l e ma r i s i n gb ya c t i v er e p l i c a t i o n ) ；n 圮a l g o r i t h ma v o i d sc o n s e n s u s a d d i t i o n a l l y ，w ep r o p o s ean e wm e t h o dt oa v o i dt h em u l t i l e v e lr e d u n d a n tn e s t e d i n v o c a t i o np r o b l e m ( 3 ) h i e r a r c h i c a la d a p t i v ef a i l u r ed e t e c t o r f a i l u r ed e t e c t i o ni sak e yi s s u ei nf a u l t 第i i i 页 国防科学技术大学研究生院博士学位论文 t o l e r a n tc o m p u t i n g i t st h ef i r s tp r o b l e mt ob es e t t l e di naf a u l tt o l e r a n ts y s t e m a t p r e s e n t , m a n yi m p l e m e n t a t i o n so ff a i l u r ed e t e c t o r sa t eb a s e do nas u p p o s et h a tt h e f a i l u r ed e t e c t o rc o m m u n i c a t i o nr e l i a b l yw i t ht h em o n i t o r e de n t i t y t h e yd o n tt a k ei n t o a c c o u n tt h ec a s eo fm e s s a g el o s sa n dc h a n n e l sf a i l u r e h i e r a r c h i c a la d a p t i v ef a i l u r e d e t e c t o rw ep r o p o s e dw i t hg o o de x p a n s i b i l i t yc a l li d e n t i f yt h et h r e ed i f f e r e n tf a i l u r e t y p e si 眦l u d i n ge n t i t yf a i l u r e , c h a n n e l sf a i l u r ea n dm e s s a g el o s s ( 4 ) f a u l tt o l e r a n c em a n a g e m e n t t oc o n t i n u ew o r ki nd e s p i t eo fp a r tf a i l u r e ，t h e f a u l tt o l e r a n c es y s t e mu s et h em e a n so fr e d u n d a n c y f a i l u r ed e t e c t o ra n dr e c o v e r y n 抡 f a u l tm l e r a n c em a n a g e m e n tm u s tb ea d d r e s s e db yt h ef a u l tt o l e r a n ts y s t e m ：r e p l i c a t i o n m a n a g e m e n t , l o g g i n ga n dr e c o v e r ym a n a g e m e n t , e t c 1 1 1 ef a u l tt o l e r a n c em a n a g e m e n t i s s u e sw es t u d i e da r ea sf o l l o w s ： 1 1r e p l i c a t i o nm a n a g e m e n t t 1 l em a n a g e m e n to ft h er e d u n d a n tc o p i e si st h em a i n i s s u ei nf a u l tt o l e r a n c em a n a g e m e n t b yl e a r n i n gt h eo b j e c tg r o u pm a n a g e m e n tm o d e f r o mt h eo b j e c t - o r i e n t e dd i s t r i b u t e dc o m p u t i n gp l a t f o r m ，w ep r o p o s eaf r a m e w o r kt o p e r f o r mt h er e p l i c a t i o nm a n a g e m e n ti n c l u d i n gg r o u pm a i n t e n a n c ea n dg r o u pp r o p e r t y m a n a g e m e n t 2 1l o g g i n ga n dr e c o v e r ym a n a g e m e n t l o g g i n ga n dr e c o v e r yi st h em a i nm e a n st o r e c o v e r yf r o mf a i l u r e w ep r o p o s eal o g g i n ga n dr e c o v e r ym a n a g e m e n tf r a m e w o r k w h i c hi sn o to n l yt r a n s p a r e n tt ot h eu s e fb u ta l s oa c c o r dw i t l lt h ec h a r a c t e r so fw e b s e r v i c e s ( 5 ) d e s i g na n di m p l e m e n t a t i o no faf a u l tt o l e r a n tw e bs e r v i c e ss u p p o r t i n g p l a t f o r m b a s e do nt h es t u d i e so nt h ek e yt e c h n o l o g i e ss t a t e da b o v ea n dt h ew e b s e r v i c e ss u p p o r t i n gp l a t f o r mn a m e ds t a r w e b s e r v i e ed e v e l o p e db yn a t i o n a lu n i v e r s i t y o fd e f e n s et e c h n o l o g y w ep r o p o s eaf a u l tt o l e r a n t 、bs e r v i c e ss u p p o r t i n gp l a t f o r m n a m e ds f t w s ( s t a rf a u l tt o l e r a n tw e bs e r v i c e ) t os u p p o r tt h ed e v e l o p m e n ta n d m a n a g e m e n to f f a u l tt o l e r a n tw e bs e r v i c e s t os 岫u p w ep r e s e n tw e l l - e v a l u a t e ds o l u t i o n si nt h i sd i s s e r t a t i o nf o rs o m ek e y i s s u e so ff a u l tt o l e r a n tw e bs e r v i c e s w eb e l i e v et h a t0 1 1 1 c o n t r i b u t i o n sm a k ean i c e g r o u n d w o r kf o rf u t u r er e s e a r c ha n de n g i n e e r i n go nf a u l tt o l e r a n tw e bs e r v i c e sb o t l li l l t h e o r ya n dp r a c t i c e k e yw o r d s ：w e bs e r v i c e s f a u rt o l e r a n t a v a i l a b i l i t ys y s t e mm o d e l f a u l tt o l e r a n ts u p p o r t i n gp l a t f o r m 第i v 页 国防科学技术大学研究生院博士学位论文 表目录 表1 1 不同类型计算机系统的可用度5 表2 1 三种模型的比较2 4 表2 2 事件类型 2 8 表3 1 测试结果4 6 表4 1 失效检测器的级别5 7 第1 v 页 国防科学技术大学研究生院博士学位论文 图目录 图1 1 图1 2 图1 3 图1 4 图1 5 图1 6 图1 7 图2 1 图2 2 图2 3 图2 4 图2 5 图2 6 图2 7 图2 8 图3 1 图3 2 图3 3 图3 4 图3 5 图3 6 图3 7 图3 8 图4 1 图4 2 图4 3 图4 4 图4 5 图4 6 图4 7 图4 8 图4 9 可信树3 故障、差错和失效之间的关系4 容镨中间件6 w e b 服务的基本架构7 w e bs e r v i c e s 协议栈8 研究现状。 论文组织结构1 8 容错系统设计开发应用过程1 9 扩展的面向服务的计算环境2 1 系统模型2 3 服务模型2 3 反射模型2 4 f 1 w s c m 计算模型2 5 w c b 服务容错管理体系结构2 6 服务访问流程2 9 主动复制算法流程3 2 系统模型二。3 3 算法流程3 4 响应时间随请求频率变化的曲线4 l 响应时间随服务组规模变化的曲线4 2 系统模型 过滤器结构4 3 服务组创建过程5 0 层次式失效检测器一 p u l l 模式 p u s h 模式 ! ；! ； 5 5 自适应失效检测器工作原理5 s g l o b u st o o l k i t 失效检测服务5 8 失效类型。 失效检测器拓扑结构5 9 失效管理服务结构 失效处理流程6 7 国防科学技术大学研究生院博士学位论文 图5 1s o a p 媒介参与的w e b 服务调用方式7 0 图5 2 日志管理框架7 0 图5 3 状态设置接口7 2 图5 4 热备复制模式下从成员失效恢复流程7 7 图6 1s t a r w e b s e r v i c e 的系统结构7 9 图6 2w e b 服务运行环境体系结构8 0 图6 3w e b 服务容错支撑平台体系结构。8 3 图6 4 服务组部署描述符8 5 图6 5 服务组管理器的接口定义8 6 图6 6 属性管理器的接口定义8 6 图6 7 复制管理器的接口定义8 7 图6 8 失效管理模块的接口定义8 7 图6 9 m o n i t o r i n g 的运行界面8 8 图6 1 0 容错服务部署界面8 9 图6 1 l 请求响应时间随服务组规模变化的曲线9 0 图6 1 2 部署过程9 1 图6 1 3 访问过程9 2 图6 1 4 失效处理过程9 3 第页 独创性声明 本人声明所呈交的学位论文是我本人在导师指导下进行的研究工作及取得的研 究成果尽我所知，除了文中特别加以标注和致谢的地方外，论文中不包含其他人已 经发表和撰写过的研究成果，也不包含为获得国防科学技术大学或其它教育机构的学 位或证书而使用过的材料与我一同工作的同志对本研究所做的任何贡献均已在论文 中作了明确的说明并表示谢意 学位论文题目：坠腿窒垡差缝拉盎盈塞 学位论文作者签名： 到拯日期：刀，年午月弓日 学位论文版权使用授权书 本人完全了解国防科学技术大学有关保留，使用学位论文的规定。本人授权国 防科学技术大学可以保留并向国家有关部门或机构送交论文的复印件和电子文档，允 许论文被查阅和借阅；可以将学位论文的全部或部分内容编入有关数据库进行检索， 可以采用影印，缩印或扫描等复制手段保存，汇编学位论文。 ( 保密学位论文在解密后适用本授权书) 学位论文题目：坠丛丕窒垡差缝挂盔珏究 学位论文作者签名 作者指导教师签名 日期： 动衫年千月，日 日期：彩年仁月3 日 国防科学技术大学研究生院博士学位论文 第一章绪论 随着电子商务的迅速崛起和w e b 应用的迅速发展，w e b 服务成为电子商务的 一种有效解决方案。w e b 应用和商务处理的网络化和全球化，信息处理、信息集 成的自动化为w e b 服务的发展和研究提供了广阔的应用背景及市场。w e b 服务是 一个崭新的分布式计算模型，是一系列包括s o a p 、u d d l l 2 1 和w s d l 3 】等标准在 内的综合，给电子商务和b 2 b ( b u s i n e s s - t o b u s i n e s s ) 等应用带来了无限商机。w e b 服务是开发下一代分布式应用的重要技术之m 1 4 1p 1 。 由于在电子商务、应用集成、业务流程管理等领域有很好的应用前景，w e b 服务得到了工业界和学术界的广泛关注。近年来，许多研究机构、组织和公司纷 纷投入到w e b 服务的研究和应用当中。工业界主要注重w e b 服务规范和协议的标 准化问题，学术界针对w e b 服务核心支撑技术( 包括服务组合、服务发现、服务 安全等) 展开了大量的研究工作嘲。目前，w e b 服务研究仍有许多关键问题尚待解 决 5 1 阴i s 。其中，w e b 服务的可用性是非常重要的一个方面研 g l 1 9 1 1 1 0 【l l 】。容错是 增强w e b 服务可用性的核心技术，属于分布式系统研究的基础问题。对于推动 w e b 服务的应用而言，w e b 服务容错具有重要意义。本文的工作正是围绕w e b 服 务容错技术的研究展开。 1 1 容错技术概述 容错是提供可靠性和可用性的关键机制【1 2 1 1 3 1b 4 ，使得系统在有失效发生时仍 然能够继续正确执行。任何一个关键计算领域的应用开发者都可能要面临容错问 题。它是计算机科学中一个重要的研究领域。 人们对容错技术的研究开始得很早。1 9 5 2 年冯诺依曼就在美国加利福尼亚理 工学院作过关于容错理论的研究报告【l ”。他的精辟论述成为以后容错研究的基础。 最初，人们从用四个二极管进行串并联代替单个二极管工作可以提高可靠性 这一事实得到了启发，研制出了四倍冗余线路；从多数元件表决的结果比较可靠 这一事实总结出了三模冗余和n 模冗余结构；在通信中发展起来的纠错码理论也 很快被吸收过来以提高信息在传送、存储以及运算中的可靠性。6 0 年代末，出现 了以自检、自修计算机s t a r t l 6 1 为代表的容错计算机，标志着容错技术从理论上和 实践上进入了一个新时期。 7 0 年代是容错技术研究蓬勃发展的时期，应用和研究范围迅速从宇航领域扩 大到交通管制、工业自动化、电话开关、医院病人监护、银行资金管理、潜艇导 航、战略防卫的控制和数据处理等领域，主要的成果有电话开关系统e s s 系列处 第1 页 国防科学技术大学研究生院博士学位论文 理机，软件实现容错的s i f t 计算机，容错多重处理机f t m p ，表决多处理机c v m p 等。 至今，容错技术的研究已经形成了计算机科学的个重要分支。 1 1 1 容错计算学科领域的三个来源 有三个方面的因素促进了容错概念的产生【1 7 】。 第一，从研制第一台数字计算机开始，计算机设计者们就意识到，仅靠仔细 设计和精心选择元器件是不能完全克服设计错误和器件物理缺陷的。人们不得不 用各种容错技术来维持系统的正常运行。因此，早期的计算机设计采用硬件冗余 的办法来屏蔽失效器件，用纠错码和表决器来检测或纠正信息错误，用诊断技术 定位失效元器件并自动切换备件。 第二，随着工程技术的发展，一些计算机科学奠基人提出了“用不可靠元件 建造可靠的系统”这样一个理论问题，其中最著名的当属j v o n n e u m a n n 及e f m o o r e 1 5 l 和c e s h a n n o n 【瑚。 第三，始于5 0 年代末进行的太空探索，需要连续工作寿命达数十年的计算机 系统来作为无人飞行器的管理与控制平台，这样苛刻的要求不是采用常现技术所 能达到的。于是在1 9 6 1 年研制出s t a r 容错计算机。 1 1 2 基本概念 1 1 2 1 容错与容错系统 容错的概念作为技术术语最早见于a a v i z i c n l s 的文章【1 9 1 ，他在文章中写到： “如果一个系统在发生逻辑故障的情况下，仍能正确地执行它的程序，则我们说 这个系统是容错的”。这个概念经过不断完善，被广泛接受和使用。在b w j o h n s o n 的著作【2 0 1 中容错和容错系统分别定文如下： 定义1 1 容错 容错是指一个系统在发生失效时仍能正确完成指定任务的能力。 定义1 2 容错系统 容错系统是一个在有硬件和或软件失效发生时能够继续正确完成其指定任务 的系统。 可信( d e p e n d a b i l i t y ) 是容错系统的目标。可信性概念所包括的内容如图1 1 所示。它是一个一般概念其性能指标由特征( a t t r i b u t e s ) 来描述【2 1 1 。 第2 页 国防科学技术大学研究生院博士学位论文 t - - - - - a v a i l a b i l i t y ( 可用性) t - - r e l i a b i l i t y ( 可靠性) 厂a t t r i b u t g s ( 士涨；机 l i n t e g r i t y ( 完整性) l m a i n t a i n a b i l i t y ( 可维护性) i 厂f a u l t p r e v e n t i o n ( 故障防止) d e p e n d a b i l i t y ( 可信性) 卜- m e a n s ( 方法 叫、f 石a u 面l t 瓦t o 盂l e r 丽a n i c e 下夏西丽i 目万一j h( 故障容许) i ilf a u l t f o r e c a s t i n g ( 故障预报) i l广f a u l t s ( 故障) l t h r e a t s ( 损伤) + 一e r r 0 6 ( 差错) l - f a i l u t e s ( 失效) 图1 i 可信树 容错系统在存在一定故障和差错的情况下，能够防止系统失效，正确完成预 定的任务。容错的目的是满足应用关于可靠性、可用性等系统性能的要求。容错 系统的性能指标由特征( a t t r i b u t e s ) 来描述，主要包括可靠度、可用度、安全度、 可维度等。 可靠度 可靠度是可靠性的度量。系统的可靠度用聃表示，它一般是时间t 的函数， 其定义如下： 定义1 3 可靠度 设在时刻t o 系统正常运行，则系统在整个时间区间【bt 】内正常运行的条件概 率称为系统在时刻t 的可靠度。 系统无失效时间越长，可靠性越高。典型实例包括宇航飞行控制系统，军事 系统，以及某些工业控制器等。 可用度 高可用度也是容错技术要取得的一个重要指标，是系统可用性的度量。 定义1 4 可用度 在时刻t 系统正确运行并完成规定功能的概率称为该系统的可用度，以a ( t ) 表示。 可用度与可靠度有明显的差别，可用度只考虑在时刻t 系统的运行状态，而可 靠度考虑的是在一个时间区间上系统的运行状态。可用性主要依赖于系统快速修 复的能力。典型实例包括银行等时间共享系统，例如飞机订票系统。 1 1 2 2 故障、差错及失效 百了贾一一 国防科学技术大学研究生院博士学位论文 故障( f a u l t ) 、差错( e r i d r ) 及失效( f a i l u r e ) 是容错系统设计中的三个基 本术语【2 2 1 。三者之间存在着一定的因果关系，故障是差错的原因，而失效是差错 的结果【1 7 1 。现实生活中常将这三个概念混淆，统称为故障或错误。它们的关系如 图1 2 所示。 自然现象人为因素 厂 厂 内部原因 外部原因偶然原因故意制造 元件随机故障 随机外界干扰 l 1 恶意的推理 生产过程缺陷辘入不一致 暗藏的八馒 甜惑夕 物理故障人为故障 差错 0 失效 图1 2 故障，差错和失效之间的关系 定义1 5 故障 故障是指硬件或软件中的物理缺陷、不完善或错误。 常见的敌障有：电路中两条导线短路、半导体器件中的制造缺陷、软件中的 死循环等。 定义1 6 差错 差错是故障的表现，是系统中由于故障而造成的信息或状态的不确定。 例如，数字电路中的一条信号线因短路而固定为逻辑l ，这就是故障；如果某 些条件下要将该信号线从逻辑l 变为逻辑0 ，则这条线的逻辑值将会产生差错。也 就是说，差错是故障的结果。 定义1 7 失效 失效是指系统未能按规定完成预期的任务。系统未能按规定的质量和数量完 成其任务也被视为失效。 例如，一个集成逻辑门其输出为逻辑0 或l ，由于故障使输出固定在了逻辑l ： 当要求遇辑门输出l 时，系统功能正确。而当要求输出逻辑0 时，由于故障造成 了差错，使系统输出不能达到期望的逻辑0 ，因此系统失效。 可以从三个层次上来看待和理解故障、差错和失效之间的关系，即物理息、 第4 页 国防科学技术大学研究生院博士学位论文 信息层和用户层。物理层是指构成系统的机电设备等的全体。故障就发生在物理 层，它可能是物理层中某些器件的制造缺陷、机械图报或元件参数漂移等。第二 层是信息层，差错发生在信息层。出于物理层故障的影响，会造成某些器件所表 示的信息或状态发生错误。第三层是用户层，在这个层次用户看到了故障和差错 所造成的结果，由于差错使系统偏离了规定的服务，造成了系统失效。 分布式系统中的失效类型主要分为瞄j ： f a i l s t o p 失效鲫：在f a i l s t o p 失效模型中，一个实体或者正确工作，或者 只是简单地停止或崩溃，并不会执行不正确动作。此外，与失效实体交互 的实体还能够采取正确的方式检测到失效的发生。例如主机崩溃，迸程异 常中止等都属于该类失效。容错领域中大部分的研究工作都是针对该类失 效的。本文也主要针对该类失效展开研究。 b y z a n t i n e 失效【2 5 】：在b y z a n t m e 失效模型中，实体失效后行为不确定。 b y z a n t i n e 失效覆盖了很多种不同的失效行为。例如恶意的进程能够发送 携带错误数据的消息。 1 1 2 3 高可用与容错 可用性一般分为三种类型 2 6 1 ：持续可用( c o n t i n u o u sa v a i l a b i l i t y ) 、容错( f a u r t o l e r a n c e ) 和高可用( h i g ha v a i l a b i l i t y ) a 持续可用是一种服务永不停顿的理想状态；容错是达到一种非常高的可用度 的手段；而高可用性是较容错性而言更为廉价的替代方式，耳标是对常见的故障 情况提供快速恢复的能力。表1 1 以常见的工作站系统为例，从量化的角度比较了 系统可用度的不同级别。不同级别的可用度是区分容错系统和高可用系统的关键。 表1 1 不同类型计算机系统的可用度 系统类型 可用度( )一年中的停机时间 传统的工作站 9 93 6 天 高可用系统 9 9 98 5 小时 容错系统 9 9 9 9 95 分钟 1 1 3 容错技术的主要实现方法 故障掩蔽技术及系统重组技术是实现容错的两种基本途径。故障掩蔽是指防 止故障造成差错的各种技术，这类技术不要求在容忍故障前检测故障，但要求达 到故障包容所谓故障包容是指故障的影响局部化，防止其在系统中扩散。系统 重组是指防止差错导致系统失效的各种技术。系统重组技术要求首先作到故障检 测，然后作到故障定位，最后作到系统恢复。这两种技术都是建立在资源冗余的 基础上的。 第5 页 国防科学技术大学研究生院博士学位论文 采用冗余手段屏蔽失效最早可以追溯到v o n n e 蚴a 1 1 i l 【1 5 】，后来又有许多工作， 例如文献 2 7 1 ( 2 3 l 对此进行研究。冗余是指超过正常系统操作所需要的信息、资源或 时间的简单迭加。资源冗余分为四种基本形式：硬件冗余、信息冗余、时间冗余 及软件冗余。 必须说明的是，复制和冗余是不同的概念【1 4 l ，它们的区别在于：冗余是不同 版本的相同功能实现，而复制是相同版本的相同功能实现，复制是冗余的特例。 在本文中不区分复制和冗余，将冗余等同于复制。 1 1 4 容错中间件 中间件技术能够提供良好的开发环境和透明的通信支持，因此在分布式应用 开发过程中被广泛采纳。为了向基于中间件开发的分布式应用提供容错支撑，中 间件必须解决容错应用开发中的关键技术问题一冗余管理，失效管理，恢复管理 等。针对这些问题，在中间件层提供一个容错支撑平台，负责应用的容错管理， 为开发者屏蔽容错部署、开发和管理细节，则称之为容错中间件【2 9 l 。 容错中间件的主旨陋l 是基于中间件提供一个容