06 - Fault Tolerance

Question 1

Was ist sind Faults bzw. Errors und Failures?

Answer 1

Faults und Errors sind Zustände, Failures sind Events.

Question 2

Was ist ein Fault?

Answer 2

Ein Zustand, der dazu führt, dass die Software ihre erforderliche Funktion nicht erfüllt.
Ist die Ursache für einen Error.

Question 3

Welche Node Failures gibt es? (4)

Answer 3

• Crash Failure: nachdem ein Fehler festgestellt wurde, stoppt die Node stillschweigend. Wird erst nach der Ausführung eines Join-Protokolls wieder gestartet.
• Omission Failure: Manchmal fehlt ein Ergebnis. Wenn jedoch ein Ergebnis vorhanden ist, ist es immer wie vorgesehen. (häufigster Fehler)
• Consistent Failure: wenn es mehrere Empfänger gibt, sehen alle Empfänger das gleiche fehlerhafte Ergebnis
• Byzantine (inconsistent, malicious, asymmetric) Failure: in einem Szenario mit mehreren Empfängern sehen die verschiedenen Empfänger unterschiedliche, möglicherweise falsche, Ergebnisse

Question 4

Was ist ein Sligthly-off Specification (SOS) Failure?

Answer 4

• Spezielle Art des Byzantine Failure
• eine Node erzeugt einen Output Signal (in value domain oder temporal domain) der etwas außerhalb des spezifizierten operating Intervalls liegt
• eingie Empfänger interpretieren den Wert richtig, einige andere können den Wert nicht interpretieren

Question 5

Wann ist eine Node Fail-Silent?

Answer 5

• korrekt arbeitet, indem er korrekte (sowohl wert- als auch zeitmäßig) Nachrichten sendet
• nachweislich falsche Nachrichten zum richtigen Zeitpunkt sendet
• überhaupt keine Nachrichten sendet

Question 6

Was ist ein Babbling Idiot Failure?

Answer 6

Zum Beispiel: die Übertragung von Nachrichten zu willkürlichen Zeitpunkten, ist der schwerwiegendste Node Failure in einem Bussystem. (Ist in einem ET System schwer zu erkennen, da Wissen übers Senden zuvor nicht bekannt ist)

Question 7

Was ist ein Error?

Answer 7

• ist ein unbeabsichtigter Zustand, z. B. beschädigte h-state Daten im Speicher
• wenn ein Error aktiviert wird führt er zu einem Failure andernfalls bleibt er inaktiv (und damit möglicherweise unerkannt)
• Error ist die Konsequenz eines Faults

Question 8

Was ist error detection coverage?

Answer 8

Die Wahrscheinlichkeit, dass ein Error erkannt wird, sofern er auftritt, wird als Fehlererkennungsrate bezeichnet.

Question 9

Was ist error detection latency?

Answer 9

Die Zeitspanne zwischen dem Beginn eines Fehlers und der Erkennung eines Fehlers ist die Fehlererkennungslatenz.

Question 10

Welche Universe Model gibt es? (4)

Answer 10

• Level I - Physical Universe: System aus der Sicht eines Analogtechnikers
• Level II - Logical Universe: System aus der Sicht des Logikdesigners
• Level III - Informational Universe: System aus der Sicht eines Programmierers
• Level IV - External Universe: System aus Sicht des Nutzers

Question 11

Was ist eine Fault Hypothesis?

Answer 11

In einer Fault Hypothesis werden alle Fehlerarten und die Anzahl der Fehler aufgeführt, die ein fehlertolerantes System tolerieren muss. Dabei werden die Fehler zwei Kategorien zugeordnet: Fehler, die toleriert werden müssen und Fehler, die außerhalb der Mechanismen zur Fehlertoleranz liegen (müssen rare Events sein).

Question 12

Was ist Assumption Coverage?

Answer 12

Gibt an, inwieweit die Annahmen durch die Realität bestätigt werden. Assumption Coverage limitiert die dependability eines perfekten fault-tolerant Systems.

Question 13

Was ist ohne präzise Spezifikation der Fault-Hypothesis nicht möglich?

Answer 13

• herauszufinden ob die Assumption Coverage realistisch ist

* die Richtigkeit der fault-tolerance Mechanismen zu testen

Question 14

Wie wird die Fault Hypothesis spezifiziert? (5)

Answer 14

• Unit of Failures: Was ist die Fault-Containment Region (FCR)?
• Failure Modes: Was sind Failure Modes der FCR?
• Frequency of Failures: Was ist die angenommene MTTF zwischen Failures für verschiedene Failure Modes?
• Detection: Wie werden Failures erkannt? Wie lang ist die Erkennungslatenz?
• State Recovery: Wie lange dauert es einen korrupten State (im Falle eines transient Faults) zu korrigieren?

Question 15

Was ist die Fault Containment Region (FCR)?

Answer 15

FCR ist eine Gruppe von Teilsystemen, die eine oder mehrere gemeinsame Ressourcen nutzen, die von einem einzigen Fehler betroffen sein können und von denen angenommen wird, dass sie unabhängig von anderen FCRs ausfallen.

Question 16

Welche Basis-Mechanismen gefährden die Unabhängigkeit von Fault Containment Regions?

Answer 16

• Missing fault isolation

* Error propagation

Question 17

Was sind kritische Failure Modes? (5)

Answer 17

• Crash Omission (CO) Failures
• Massive Transient Disturbances
• Babbling Idiot Failures
• Masquerading Failures
• SOS Failure

Question 18

Was ist ein Crash/Omission Failure?

Answer 18

• Crash Failure tritt auf, wenn eine Node einen korrekten Dienst liefert, bis sie aufhört, Nachrichten zu liefern (crash)
• Omission (Versäumnis/Auslassung) Failure tritt auf, wenn eine Node eine Nachricht nicht zustellen kann. Alle zugestellten Nachrichten sind korrekt.
• sind wahrscheinlichste und einfachste Fehlerarten einer FCR
• die meisten Protokolle haben Mechanismen, um die Fehler zu erkennen und zu handeln

Question 19

Was ist eine Massive Transient Distrubance?

Answer 19

Massive Transient Disturbance liegt vor, wenn die Signale auf einem Kommunikationskanal durch eine externe Energiequelle so gestört werden, dass für eine bestimmte Zeitspanne keine Kommunikation möglich ist (blackout Intervall).

Question 20

Was sind Babbling Idiot Failures?

Answer 20

Durch einen Hardware oder Software Fault sendet eine Node eine Message auf einem geteilten Kommunikationsmedium ohne Beachtung des Medienzugangs. (Guardians reduzieren diesen Fehler)

Question 21

Wozu dienen Guardians?

Answer 21

Dienen der Fehlereingrenzung auf der Grundlage des Vorwissens über das zulässige Verhalten der Nodes. Central Guardians bieten einen höheren Level an Unabhängigkeit als local Guardians. Bei Central Guardians kann ein Masquerading Failure nicht auftreten.

Question 22

Was sind Masquerading Failures?

Answer 22

Eine fehlerhafte Node nimmt die Identität einer anderen Node an und sendet falsche Nachrichten. Die gesendete Nachricht enthält dann die falsche ID.

Question 23

Welche drei Arten der Sligthly-out-of-Specification (SOS) Failures gibt es in einem TTSystem?

Answer 23

• SOS Value Failure: kann durch Wiederherstellung des Signals im Guardian maskiert werden
• SOS Frequency Failure: kann durch Wiederherstellung des Signals im Guardian maskiert werden
• SOS Start Instant Failure: erfordert eine Logik, die den Zeitpunkt des Beginns der Nachrichtenübermittlung genau überwacht

Question 24

Worin wird bei der Error-Detection unterschieden? (2)

Answer 24

• Detection of Errors in the value domain

* Detection of Errors in the time domain

Question 25

Was wird zur Error Detection benötigt?

Answer 25

Es werden redundante Informationen benötigt.

Question 26

Was ist eine Error Containment Region (ECR)?

Answer 26

In einem verteilten Computersystem können sich die Folgen eines Faults, die Folgefehler, durch eine Fehlermeldung der fehlerhaften Node an die Umgebung außerhalb der verursachenden FCR ausbreiten.

Question 27

Was wird für eine Error Containment Region (ECR) mindestens benötigt?

Answer 27

Es werden zwei unabhängige Fault Contrainment Regions benötigt.

Question 28

Was sind Ursachen für Transient Faults? (3)

Answer 28

• External Disturbances (Hardware): bsp. hochenergetische Strahlung
• Internal Degradation of the Chip Hardware (Hardware): bsp. corrosion of a PN junction
• Heisenbug (Software): bsp. Design Error in der Synchronisation von Prozessen

Question 29

Wie funktioniert Error Detection in der Value Domain?

Answer 29

• Plausibility Checks: application specific invariants (sehr effektiv), trend analysis (erfordert h-state)
• Structural Checks: run time assertions, robust data structures
• Comparison of diverse Computations: time redundancy, resource redundancy, verschiedene Software-Versionen

Question 30

Was ist eine Fault-Tolerant Unit (FTU)?

Answer 30

• Ist eine Gruppe von aktiv redundanten Nodes, die einen fehlertoleranten Dienst für ihre Umgebung bereitstellen.
• müssen die Input Messages in identischer Reihenfolge empfangen
• have to operate in replica determinism
• Output Messages der FTUs sollten idempotetn sein (als idempotent bezeichnet man Arbeitsgänge, die immer zu den gleichen Ergebnissen führen, unabhängig davon, wie oft sie mit den gleichen Daten wiederholt werden.)
• FTUs bieten den kontinuierlichen Dienst durch Fault Masking (Fehlermaskierung)

Question 31

Welche Arten von Redundanz gibt es? (3)

Answer 31

• Cold Standby Redundancy: Zu jedem Zeitpunkt bietet nur eine einzige Node den Dienst an. Fällt der Dienstanbieter aus, muss der Ausfall von einem Fehlerdetektor erkannt werden und ein Ersatzknoten wird gestartet.
• Hot Standby Redundancy: zu jedem Zeitpunkt bietet nur eine einzige Node den Dienst an. Wird ein Ausfall festgestellt, ersetzt ein aktiver Ersatzknoten die ausgefallene Node
• Active Redundancy: zwei oder mehr Nodes bieten denselben Service gleichzeitig

Question 32

Was sind Bohrbugs?

Answer 32

Sind Design Errors in der Software, die reporduzierbare Failures verursachen.(Bsp. Logikfehler in einem Programm.

Question 33

Was sind Heisenbugs?

Answer 33

Sind Designfehler in der Software, die quasi zufällige Failures verursachen. (Bsp. Synchronisationsfehler, der gelegentlich zur Verletzung einer Integritätsbedingung führt.)

Question 34

Was sind Fail-Safe Anwendungen und was macht sie aus?

Answer 34

• in einer ausfallsicheren Anwendung kann ein unabhängiger Watchdog den Betrieb des Computers überwachen
• fällt der Computer stillschweigend aus oder verspätet er sich, kann der Watchdog einen Übergang in den sicheren Zustand einleiten (z. B. in einem Zugsteuerungsszenario: alle Signale auf Rot, alle Züge halten an).
• das Computersystem muss eine hohe Fehlererkennungsrate aufweisen.
• für die Sicherheit ist die Pünktlichkeit nicht das wichtigste Kriterium