Устройство для контроля устойчивости функционирования программ

СОЮЗ СОВЕТСНИХСОЦИАЛИСТИЧЕСКИХРЕСПУБЛИК 67113 ЕТЕНИ ЕЛЬСТВУ азурин,в 17 ру СЦЯМ ГОСУДАРСТВЕННЫЙ НОМИТЕТ СССРПО ДЕЛАМ ИЗОБРЕТЕНИЙ И ОТНРЫТИЙ ОПИСАНИЕИ АВТОРСКОМУ СВИ(56) Авторское свидетельство СССР Р 1256033, кл. О 06 Р 11/30, 1984. (54) УСТРОЙСТВО ДЛЯ КОНТРОЛЯ УСТОЙЧИВОСТИ ФУНКЦИОНИРОВАНИЯ ПРОГРАММ (57) Изобретение относится к вычислительной технике и может быть использовано для проверки устойчивости функционирования программ специализированных ЦВМ, имеющих программноаппаратные средства защиты информации. Целью является повьпвение достоверности контроля. Устройство содержит генератор 1 псевдослучайных чисел, элементы ИЛИ 2 и 19, счетчик 3 выданных сбоев, счетчик 4 сигналов восстановления, элементы И 5,14, 17 и 18, группы элементов И 6,7 и 12, регистры 8 и 11, схему 9сравнения, блоки 1 О и 22 индикации,вычитающий счетчик 13, триггеры 15и 16, счетчик 20 и блок 21 анализа,Контроль производится путем проверки свойства программы восстанаваливаться после сбоя за требуемое времяЬдоп, которое характеризует способность по АСУ реального времени выполнять заданное преобразование информации и формировать выходные реакциив пределах допусков, заданных спецификацией на программы, в течениевремени цикла работы Т АСУ, 1 з.п.ф-лы, 4 ил,Изобретение относится к вычислительной технике и может быть использовано для проверки устойчивостиФункционирования программ специяли 5зировднных ЦВМ (СЦВМ), имеющих средства программно-аппаратной защитыинформации и вычислительного процесса.Целью изобретения является повышение достоверности контроля устойчивости выполнения программы СЦВМ, работающих в реальном масштабе времени.На фиг. 1 представлена структурная схема устройства для контроля 15устойчивости Функционирования программ, нд Фиг, 2 - структурнал схема генератора псевдослучайных чисел,на Фиг. 3 - структурная схема схемысравнения, на Фиг, 4 - структурная 20сх( ма блока яналиэ аУстройство для контроля устойчивости Функционирования программ(Фиг. 1) содержит генератор 1 псевдослучайных чисел, первый элемент 25ИЛИ 2, счетчик 3 выданных сбоев, счетчик 4 сигналов восстановления, первый элемент И 5, первую группу б элеменгов И, вторую группу г элементовИ, первый регистр 8, схему 9 срявненггя первый блок 1 0 индикации, второйрегистр 11, третью группу 12 элементов И, вычитающий счетчик 13, многовходовый элемент И 14, первый 15 ивторой 1 б триггеры, второй 17 и третий 18 элементы И, второй элементИЛИ 19, третий счетчик 20, блок 21анализа и второй блок 22 индикации,На вход 23 подается сигнал "Установка в начальное состояние".Вход24 .является входом "Срггггдл восстановления" устройства, вход 25 - входом "Занесение кода допустимого интервала времени восстановления" устройства, вход 26 - первым тактовымвходом устройства, д вход 27 - вторым тактовым входом вГенератор 1 (Фиг. 2), представляющий П-разрядный генератор псевдослучайных чисел, состоит из линейногогенератора 28 псевдослучайных чисел28, группы 29 элементов И и триггера 30,Схема 9 сравнения (Фиг. 3) состоит из коммутатора 31, группы 32 элементов И, элемента И 33 и элементаНЕ 34.Блок 21 анализа,(фиг.4) состоитиз груп 34 и 36 элементов И, регистря 37, схемы 38 сравнения, триггеров 39 и 40 и элемента И 4.Устройство работает следующим образом. Сигнал "Установка в исходное состояние", поступающий с входя 23 устройства, устанавливает счетчики 3,4, 13 и 20, регистры 8 и 11, регистр 37 и триггеры 15, 39, 40 блока 21 в нулевое, а триггер 30 блока 1 в единичное состояние. На информационный вход регистра 11 заносится код допустимого интервала времени восстановления программы д 1,до . Сигнал начальной установки, поступающий на установочный вход генератора 1, переводит триггер 30 в единичное состояние Триггер 30 выдает отпирающий потенциал на разрешающие входы группы 29 элементов И. Вследствие этого импульсные срггнаггы случайных кодов сбоев с интенсивностью, определяемой тактовыми импульсами с входам 2 б (период Т), выдаются с вьгходов соответствующих разрядов линейного генератора 28 псевдослучайных чисел через группу 29 элементов И. В зависимости от того, какие именно спецификации на устойчивость программ контролируются, сформированный случайный код подается либо на буферный регистр канала СЦВМ, чем вызываются искажения исходных данных программ, либо на регистры арифметического устройства СЦВМ, чем вызываются искажения внутренней информации прогрялю и сбои выполнения команд СЦВМ, либо на буФерный.регистр ПЗУ памяти програлм, чем вызываются искажения хода вычислительного процесса. Данные сбои и ошибки либо фиксируются программно-аппаратными средствами контроля (производится восстановление информации и вычислительного процесса и выдается сигнал восстановления), либо они проходят незамеченными (сигнал восстановления не формйруется и ня выходе программы СЦВМ получается правильный результат), Для С 1 ВМ, работающих в реальном масштабе времени в контуре ЛСУ, первоочередной зядячерг является реализация заданного множества Функций управления на Фиксированное время цикла работы АСУ Т = Т + Тр, где Те - время решения задач управления, Т = ТТь резерв времени, отводимый лля к нт3 143786роля и восстановления процесса управления.Свойство программ восстанавливаться после сбоя эа требуемое время,которое должно быть меньше Тр, харак 5теризуется показателем устойчивостиР. В качестве спецификации на устойчивость используется вероятность Рртого, что при воздействии сбоя определенного типа программа обнаружитфакт сбоя, восстановит информациюили ход вычислительного процесса ивьдаст правильный результат за времяСс Ср+ АСЬЕ где Ср - среднестатическая оценка времени реализациипрограммы по всему множеству маршрутов реализации при условии отсутствия сбоев и отказов, Таким образом,длп контроля устопчивости функцконирования программ СЦБМ, работающих вреальном масштабе времени, необходимо сформировать определенное количество сбоев и зафиксировать числовыданных сбоев Бт, подсчитать число сигналов восстановления программза требуемое время шВ(ЬС Ьоп ) и вычислить оценку устойчивости такте Р = шВ(ЬСЬоп)/Бсь (1)При Р, -Ртр программа является усМ 30 тойчивой, иначе программа является неустойчивой и нуждается в доработке.Техническая реализация данного подхода состоит в следующем.Импульсный сигнал случайного ко да сбоя с выхода генератора 1 псевдослучайных чисел параллельно с вьдачей на СЦВМ поступает на входы ИЛИ 2, сигнал с выхода которого поступает40 на счетный вход счетчика 3 вьданных сбоев, увеличивая его значение на "1". Этот же сигнал устанавливает в единичное состояние триггеры 15 и 1 б, и поступая на импульсные входы группы 12 элементов И, считывает код допус 45 тимого интервала времени восстановления программы ЬС Аоп с регистра 11 на вычитаемый счетчик 13.Тактовые импульсы с периодом Т 50 (Т(Т) с входа 27 устройства поступают на импульсный вход элемента И 17 на потенциальный вход которого подается разрешающий потенциал с триггера 15, С выхода элемента И 17 тактовые импульсы поступают на счетный вход вычитающего счетчика 13, уменьшая его значение на "1" в каждом 94Вычитающий счетчик 13 представляет собой асинхронный двоичный вычитающий счетчик, При достижении текущим временем С максимально возможного времени восстановления, т.е. при С = ЬТдоп значение счетчика 13 становится равным "О". Очередной тактовый импульс, поступая на импульсный вход элемента И 14, на потенци"- альные входы которого подаются сиг- .налы с инверсных выходов информационных разрядов счетчика 13, формирует на выходе элемента сигнал, поступающий на триггер 16 и устанавливающийего в состояние "О", вследствие чегоэлемент И 18 закрывается.При обнаружении ошибки и восстановлении искаженнои информации программным фильтром, либо при повторном исполнении защищенного участкапрограммы при сбое в СЦВМ вырабатывается сигнал восстановления, который подается на вход 24 устройства.Этот сигнал поступает на счетныйвход счетчика 4 сигналов восстановления, увеличивая его значение наи на входы элементов И 18 и ИЛИ 19. С выхода элемента ИЛИ 19 сиг -нал восстановления устанавливаетв "О" триггер 15, элемент И 17закрывается, и прекращается изменение значения счетчика 13Если сигнал восстановления былсформирован программой в течениевремени С 4 ЬС 1 опс момента выдачи сбоя, то значение счетчика 13 неравно "О", на выходе схемы И 14сигнал не формируется, триггер 16остается в единичном состоянии и выдает разрешающий потенциал на элемент И 18, следовательно, сигнал восстановления через элемент И 18 поступает на счетный вход счетчика11 1 2 О и увеличивает значение его на 1т . е . счетчик2 О производит подсчет . ш В(Ь Т Аоп ) - числа восстановлений программы за допустимое время. Еслисигнал восстановления был сформиро ван программой за время СЬ Сьоя. с момента вьдачи сбоя, то в момент времени С = ЬС,акоп + Т 2 значение1 13 счетчика 13 становится равным О вследствие чего срабатывает схема И 14, триггер 16 переводится в состояние "О" и закрывает элемент И 18, поэтому сигнал восстановления не проходит на счетчик 20 и значение его не изменяется.1 е Устройство для контроля устой чивости функционирования программ по авт. сн. У 1256033, о т л и ч аю щ е е с я тем, что, с целью повышения достоверности контроля, в устройстно введены второй регистр, третья группа элементов И, вычитающий счетчик, многовходоный элемент И, первый и второй триггеры, второй и третий элементы й, второй элемент ИЛИ, третий счетчик, блок анализа и второй блок индикации, причем вход начальной установки устройства соединен с первым входом второго элемента ИЛИ и входами сброса блока анализа, третьего счетчика, вычитающего счетчика и второго регистра, вход задл 5 437При выдаче определенного числа сбоен разрядысчетчика 3 выданных сбоевустанавливаются в единичное состояние. Информация данных разрядов по 5ступает на входы многонходовой схемыИ 5, вследствие чего на ее выходеФормируется сигнал "Останов контроля". Данный сигнал поступает на входгенератора 1 псевдослучайных чисел и 10устанавливает триггер 30 управленияв состояние "0", группа 29 элементов И закрывается и прекращаетсявыдача в СЦВМ случайньгх. сбоев.Зтот же сигнал "Останов контроля" 5поступает на разрешающие входы групп6 и 7 элементов И. Группы 6 и 7 элементов И. срабатывают и состояния счетчиков 3 и 4 записываются в соответствующие разряды регистра 8, причем н 20(1+ Б/2)-е разряд (первая половинарегистра записывается состояние+1-Я)-е разряды (вторая половина регистра) - состояние счетчика 4 сигналов восстановления (В - общее количество разрядов регистра). Сформированные значения разрядов регистра поступают на вход схемы 9 сравнения,коммутатор 31 представляет собой ЗОтумблерные переключательные элементы, осуществляющие подключение определенных разрядов регистра 8 к группе 32 элементов И, Номера подключаемых разрядов определяются значениями чисел Ч и Бст , где 7 - количество сигналов восстановления, Ясдколичество выданных сбоев.Причем к первым входам элементовИ 32 подключаются разряды первой половины регистра 8, а к вторым входам элементов И - разряды второй половины регистра 8,При совпадении значение "1" вовсех подключаемых разрядах регистра8 все элементы И группы 32 срабатывают и выдают сигналы на входы многовходовой схемы И 33, на выходе которой Формируется сигнал сравнения.Если значения "1" разрядов не сон- бопали хотя бы в одном элементе И группы 32, то сигнал совпадения на выходеэлемента И 33 не формируется, а навыходе элемента НЕ 34 устанавливается сигнал несовпадения. 55Сигналы совпадения или несовпаде .ния с выходон схемы 9 сравнения поступают на вход блока 10 индикациидля информирования о степени устойчиности функционирования программыСЦВИ без учета реального времениработы ЛСУ,Сигнал "Останов контроля" подается также на первый управляющийвход блока 21 анализа, который соединен с разрешающими входами групп35 и 36 элементов И, информационныевходы которых подк 5 почены к выходамсоответствующих разрядов счетчиков3 и 20. Группы 35 и 36 элементовИсрабатывают и состояния счетчиков 3и 20 записываются в соответстнующиеразряды регистра 37 (далее работарегистра 37 и схемы 38 сравненияаналогична работе регистра 8 и схемы 9 сравнения)На второй управляя;щий ьход блока21 поступает сигнал с единичноговыхода схемы 9 сравнения, которыйустанавливает триггер 39 и единичное состояние,Если выполняется условие Р ), Р 5 Р,т,е па единичном выходе схемы 38сравнения сформирован сигнал, тотриггер 40 также переводится в единичное состояние, элемент И 41 срабатывает и на блок 22 индикации поступает сигнал о том, что программаустойчива в режиме реального времени. Иначе блок 22 индикации сигнализирует о недостаточной устойчивостипрограммы СЦБМ. в режиме реальноговремени.Предлагаемое устройство для контроля устойчивости функционированияпрограмм позволяет проверить свойствопрограммы восстанавливаться послесбоя за требуемое время б ,оо Формулаизобретения7 1 й, ния допустимого интервала времени восстановления устроиства соединен с информационным входом второго регистра, выход которого соединен с первыми входами элементов И третьей группы, выход первого элемента ИЛИ соединен с вторыми входами элементов И третьей группы и единичными входами первого и второго триггеров, выход каждого элемента И третьей группы соединен с соответствующим информационным входом вычитающего счетчика, прямой выход первого триггера соединен с первым входом второго элемента И, выход которого соеинен со счетным входом вычитающего счетчика, выход второго элемента ИЛИ соединен с нулевым входом первого триггера, второй тактовый вход устройства соединен с вторым входом второго элемента И и стробирующим входом многовходового элемента И, разрядные выходы вычитающего счетчика соединены с группой информационных входов многовходового элемента И, выход которого соединен с нулевым входом второго триггера, вход восстановления устройства соединен с первым входом третьего элемента И и вторым входом второго элемента ИЛИ, прямой выход второго триггера соединен с вторым входом третьего элемента И, выход которого соединен со счетным входом третьего счетчика, информационный выход которого соединен с первым информационным входом ,блока анализа, информационный выход счетчика выданных сбоев соединен с вторым информационным входом блока анализа, выход первого элемента И 3/869 8соединен с первым тктовым вхоломблок анализа, выход равенства схемы сравнения соединен с вторым тктовым входом блока анализа, выходы 5признаков устойчивости и неустойчивости программы которого соединены с информационными входами второго блока индикации.102, Устройство по п. 1, о т л ич а ю щ е е с я тем, что блок анализа содержит регистр, схему сравнения, две группы элементов И, два триггера, элемент И, причем первые входы элементов И первой и второй групп образуют соответственно второй и первый информационные входы блока, вторые входы элементов И первой и второй групп объединены и подключены к первому тактовому входу блок, выходы элементов И первой и второй групп соединены с соответствующими информационными входами регистра, 25 разрядные выходы которого соедине,ны с соответствующими информационными входами схемы сравнения, нулевые входы первого и второго триггеров и вход сброса регистра подклю чены к входу сброса блока, выход"Больше" схемы сравнения соединен с единичным входом второго триггера, выходы первого и второго триггеров подключены соответственно к первому и второму входам элемента И, выход которого и выход "Меньше" схемы сравнения являются соответственно выходами признаков устойчивости и неустойчивости программы блока, еди ничный вход первого триггера подключен к второму тактовому входу блока.2 сгеаиела 80 йт счетцина 3 Ювдгююд самоед тель С.Сигналов Техред Л.Сердюкова Корректор М, Максимишинец Со с.та актор А. Лежни 11 рои.водственнц-полиграфическое предприятие, г. Ужгор. ик тн; ,lЮ Енн ХХ индиго Фиг, Юираж 704венного комитета С ретений и открытий 5, Раушская наб ВНИИ 11 И Государс по делам изо113035, Москва, ЖПодписноеСР