home *** CD-ROM | disk | FTP | other *** search
/ TAP YIPL / TAP_and_YIPL_Collection_CD.iso / PHREAK / SYSINFO / ESS19.TXT < prev    next >
Encoding:
Text File  |  2000-02-01  |  14.9 KB  |  385 lines
  1.  
  2.  $%$%$%$%$%$%$%$%$%$%$%$%$%$%$%$%$%$%$%$%$%$%$%$%$%$%$%$%$%$%$%$%$%$%$%$%$%$
  3.  %$%                                                                     %$%
  4.  $%$               Electronic Switching System Faults                    $%$
  5.  %$%                                                                     %$%
  6.  $%$%$%$%$%$%$%$%$%$%$%$%$%$%$%$%$%$%$%$%$%$%$%$%$%$%$%$%$%$%$%$%$%$%$%$%$%$
  7.  
  8.  
  9.  
  10.  
  11. "Notes from No 2 ESS Administration and Maintenance Plan,"
  12. "BSTJ Vol 48, 1969"
  13.  
  14. "Data Maintenance"
  15.  
  16.  
  17. Memory mutilation results from hardware faults and program bugs.
  18. During nonsynchronous operation mismatch detection not available so
  19. there may be a long period of time during which mutilation occurs.
  20. Mismatch detection useless in finding data mutilation caused by program bugs.
  21.  
  22. Data maintenance aided by
  23. ease of communication among programs,
  24. absence of linked lists, and
  25. per call memory allocation (Call processing program addressing is relative to the allocated memory, reducing scope of data accesses).
  26.  
  27. Defensive programming techniques:
  28.  
  29. Range check table indexes,
  30. Zero check derived transfer-to addresses, and
  31. Distinct program and data errors prevent programs being read as data.
  32. Audit programs detect bad data.
  33. Audits run periodically or as requested from tty.
  34. Separate audits for different memory blocks
  35. Audits correct by idling memory blocks containing bad data.
  36. System recovery initiated by control unit switch during simplex operation, control
  37. unit switch can be caused by bad data or bugs that cause sanity time out.
  38.  
  39. System recovery Funtions:
  40. Make call store consistent with state of periphery.
  41. Clear memory associated with program in control at time of recovery,
  42. Run audits,
  43. Repeat the above with widening scope of memory initialization until sanity obtained
  44.  
  45.  
  46.  
  47.  
  48. "Notes from Design of Recovery Strategies for A Fault Tolerant No. 4 ESS"
  49. "by R. J Willet - BSTJ vol 61, no 10, 4-13-82"
  50.  
  51. "Objectives"
  52.  
  53. 616,000 call attempts/hour
  54. 100,000 acive terminations
  55. Downtime less than 2 hours in 40 years
  56. Not cost-effective (or possible) to remove all software errors - minimize
  57. number of service effecting errors and analyze data for cause.
  58.  
  59.  
  60. "Software Recovery"
  61. Reconstruct data from associated information - slow, disturbs few calls.
  62. Reinitialize memory structure - fast, disturbs many calls.
  63.  
  64.  
  65. "Audit Programs"
  66. Provide for integrity of system memory
  67. Structured into mutilation detection and correction modules
  68. Detection modules run continiously in background
  69. Detection modules augmented by defensive checks in operational programs
  70. Call correction modules to correct errors found by background audits or
  71. defensive checks.
  72.  
  73.  
  74. "System Integrity Programs"
  75. Provide for integrity of programs
  76. Monitor job scheduling and sequencing for frequency and execution times
  77. Use sanity timers
  78. Call audits or reinitialize system to correct errors.
  79.  
  80.  
  81. "Recovery from software problems"
  82. Software problems caused by program errors or bad data
  83. Out-of-range accesses trigger hardware interrupt, recovery
  84. requires correction of data, or killing of call and return of control
  85. to a safe point.
  86. Inhibit (pest) interrupts while audits are correcting problem,
  87. risky, but assumes single software fault.
  88. In cases where the out-of-range error can be isolated to a single unit can use frame level pesting, otherwise use system level pesting.
  89. Software recovery does not consider the possibility of a hardware fault.
  90. Recovery cannot fix a program bug.  Running pested may allows the system to
  91. operate in a degraded fashion while maintenance personnel analyze data and
  92. correct program.
  93. The buffer overflow problem - may be caused by program error.
  94. Buffers protected by hardware overflow interrupts.
  95. Recovery runs the buffer unloader program to unload the buffer and audits the task dispenser program to ensure the unloader is scheduled properly.
  96. The overflow interrupt is pested.
  97. If problem continues, hardware is suspect.
  98.  
  99.  
  100.  
  101. "No. 4 ESS: Maintenance Software"
  102. "by M. N. Meyers, W. A. Routt and K. W. Yoder,"
  103. "BSTJ Vol. 56, No. 7, September 1977"
  104.  
  105.  
  106. "Software Error Recovery"
  107. Since system operation is dependent on data in memories, and memories can be written, there is a possibility the memory will be in a state that precludes operation.
  108. System must be as error-free as possibile.
  109. Since system cannot be completely error-free, it must be error tolerant.
  110.  
  111.  
  112. "Classification of software errors"
  113. Errors in interfaces between software modules.
  114. Non-conformity to systems rules.
  115. KsO$H@! fwLogic errors.
  116. Coding errors.
  117. Complex man-machine interfaces that lead to procedural errors.
  118.  
  119.  
  120. "Effects of software errors"
  121. Loss of viability
  122. Loss of call processing
  123. Loss of a facility
  124. Loss of a functions
  125. Loss of capacity
  126. Loss of single call
  127. No effect
  128.  
  129.  
  130. "Error Prevention"
  131. Standardization,
  132. Simplification,
  133. Improved Documentation,
  134. I wonder why improved testing isn't listed
  135.  
  136.  
  137. "Error Tolerance"
  138. Error tolerance acheived through defensive programming and defensive memory.
  139. Programs attempt to remain operational in presence of errors
  140. Restrict access to data to noncritical regions where errors have minor impact. (Using special instrutions to write to critical memory).
  141. Checking state codes
  142. Range Checks
  143. Positive Decisions
  144. Symbolic Addressing
  145. Interpreting all possible stimuli
  146. Link by index rather than absolute address
  147. Special purpose memory allocators
  148.  
  149.  
  150. "Error Handling"
  151. "Software Integrity Control"
  152. Receives reports of all software errors, decides and activates corrective action.
  153. Corrective action: request an audit, or if history indicates repition, request a phase of system initialization.
  154. Receives reports of overload - must decide if these are true, or are the results of software errors and take appropriate action.
  155.  
  156.  
  157. "Audits"
  158. Detect and correct data errors.
  159. Control structure and audit routines specific to particular data structures.
  160. Control structure schedules routine audits.
  161. Demand audits run when errors found or suspect.
  162. Error detection through: comparison of duplicate structures, association (correct structures linked together), and semantics (data is reasonably correct).
  163.  
  164.  
  165. U"qGu"Integrity monitor system"
  166. Detects shceduling and cycling irregularities and los of major system functions.
  167. Time monitors detect basic sanity
  168. Base level monitor verifies validity of base cycle
  169. Test call program observes progress of test calls
  170.  
  171.  
  172. "Recovery"
  173. Remedial actions - audits - correct specific errors.
  174. If remedial actions fail undertake system recovery.
  175. System recovery reconfigures hardware and initializes memory.
  176. System recovery initiated upon detection of:
  177. Mutilation of program memory
  178. Loss of vital system function,
  179. Loss of major facility,
  180. Escalation of remedial actions,
  181. Software integrity monitor problems,
  182. Sanity Timeout
  183. Mutilation of software clock,
  184. Duplex failure
  185.  
  186. System recovery phases:
  187. Phase 1 - initialize specific areas of transient memory - does not kill calls,
  188. Phase 2 - reconfigure peripheral hardware and initialize all transient memory - kills
  189. only non-stable calls.
  190. Phase 3 - reconfigure processors, initialize all memory - kills only non-stable calls.
  191. Phase 4 - totally initialize system - kills all calls - manual activation only.
  192.  
  193. More detailed and specific manual recovery procedures can be initiated.
  194.  
  195.  
  196.  
  197. "Notes from DS5C 3.00.00.00 - Issue 2 No. 5 ESS Maintenance Plan, 40288-500"
  198.  
  199.  
  200. Up to 127 interface module processors - each is duplicated.
  201. No simplex failure causes service loss, duplex failures cause service loss for only a few terminations.
  202. Central Processor (CP) is duplicated.
  203. The time multiplexed switch contains a duplicated processor.
  204. The Control Distribution Units are not duplicated, since a single one is sufficient for inter-processor communications.
  205. The Input/Output Processor is duplicated.
  206. CP maintenance is under control of CP programs.
  207. CP programs have minimal involvement in peripheral unit maintenance.
  208. IM resposible for own maintenance, with few exceptions (manual requests, etc.).
  209. IM uses self-checking hardware and operational checks.
  210. Inter-processor messages use a reliable communications protocol.
  211. Test for errors during use, scheduled tests for equipment not frequently used or in standby mode.
  212. Test error detecting capabilities by inducing errors.
  213. Operational software can detect some hardware errors through in-line checks,
  214. and keep history to isolate error.
  215. Audits and defensive checks to reduce software errors.
  216. Software reliability is obtained at the expense of real time performance.
  217.  
  218. Defensive checks:
  219. Range checks on pointers and indexes.
  220. Duplicate copies of data at two different locations to detect mutilation.
  221. Two-way linked lists.
  222. Maintain and check redundant status information.
  223. Positive decisions
  224. Limited use of GOTOs
  225. One entry point per module
  226. Check incoming buffered data for mutilation while in buffer.
  227. Ack timeouts.
  228.  
  229. Audits check for resources in an invalid state and restore the resource to a valid state.
  230. Audits try to detect erroneous states before system performance is affected.
  231. Loss of all of a given class of resource may halt call processing.
  232. Long loops in programs cause them to consume all of the real time and put the system in overload.
  233. Auditing of data resident in more than one processor leads to a race condition.
  234. If audits find one error in a data structure then all associated data is assume to be bad.
  235. Processes audited by timing, timeout in transient states indicated errors.
  236. Scheduled audits have low priority.
  237. Errors detected by audits are output on TTY.
  238. Audit history is maintained in CP and can be queried.
  239. Audits are stitched together during initialization.
  240. Craft can request audits.
  241. CP has audits for its data, IM has audits for its data, CP controls audits for data shared by
  242. IM and CP.
  243. Test calls are generated and monitored to detect timing irregularities.
  244. Operating system monitors scheduling to detect overload or fault.
  245. Hardware sanity timers to detect basic processor sanity.
  246. Overload is caused by a shortage of resources.
  247. In overload give preference to terminating traffic.
  248. During growth intervals, audits must be gracefully updated to test new resources.
  249.  
  250.  
  251.  
  252. "Notes from DS5D 5.00.02.00 - Issue 1 Feature Control Development Specification Case 40288-100"
  253.  
  254.  
  255.  
  256. Feature control programs must explicitly record state during real time break, even if the
  257. state can be derived implicitly by the program.
  258. Restricted control of the process stack improves reliability.
  259. Program design represented by finite state machine.
  260.  
  261.  
  262.  
  263. "Notes from 5ESS AUDITS Description and Procedures Manual, Issue 2, 1983"
  264.  
  265.  
  266.  
  267. Audits are 10% of 5ESS software.
  268. Audits are powerful enough to disconnect stable calls and initialize the system.
  269.  
  270. 5ESS software is divided into 5 areas:
  271. operating system,
  272. call processing,
  273. Administration,
  274. database, and
  275. maintenance (The largest).
  276.  
  277. Audits are responsible for data in each area.
  278. The maintenance area uses five system integrity features:
  279. Asserts (defensive checks),
  280. integrity monitors (sanity timers and other checks),
  281. initializations, and audits.
  282.  
  283. Application audits run under OSDS which provides:
  284. Process management,
  285. Resource allocation,
  286. Process synchronization and communication,
  287. Inter-processor communication,
  288. IM interrupt and fault handling,
  289. Timing services.
  290.  
  291. DMERT has audits that run in the System Integrity Monitor environment at the CP, not descibed here.
  292. Audit control in charge of audits in all environments, different audits
  293. are run in different environments.
  294. Routine audits are segmented - 20 millisecond segments for error detection,
  295. 40 milliseconds for error correction.
  296.  
  297. Audits may run in 5 modes:
  298. routine segmented,
  299. (run at lowest priority, take real-time breaks, output results to file,
  300. escalate if critical error found)
  301. elevated segmented,
  302. (run at second lowest priority, take real-time breaks, caused by; input messages,
  303. asserts, single process purges, other audits, if cannot correct errors in 40 msec,
  304. either escalate or return to safe point)
  305. nonsegmented,
  306. (no real-time breaks)
  307. initialization,
  308. (run sets of audits back-to-back with no real-time break)
  309. postinitialization.
  310. (used to restore non-critical data after initialization)
  311.  
  312. A single event number is assigned to all audit actions resulting from the
  313. same error.
  314. Asserts placed in operational code (includeing audit code) to detect:
  315. Out-of-range indexes and pointers
  316. Redundancy on duplicate data,
  317. Point-to/point-back linkage,
  318. consistency between related data,
  319. invalid function return codes.
  320.  
  321. Failing asserts usually trigger audits.
  322. Asserts are a convention for defensive programming that standardize history keeping, and output messages.
  323.  
  324. Audits classify errors as: process errors, non-process errors, or audit failures.
  325. Process errors cause single process purge.
  326. Non-process errors are accumulated until end of segment and then an elevated
  327. audit is scheduled to correct them.
  328. Audit failures (the error is such that the audit can't continue) result in
  329. scheduling of audits to fix the error.
  330. Interprocessor audits check duplicate data in different processors.
  331. Interprocessor audits run in routine and elevated segmented modes.
  332. Interprocessor audits triggered manually, by asserts, and routinely.
  333. Interprocessor audits correct data by making CP agree with IM.
  334. Interprocessor audits divided into partitions that run on a single processor.
  335. Interprocessor audit execution controled by CP, which receives completetion
  336. reports from each partition.
  337. About 70 application audits.
  338.  
  339. Current software development methodologies incapable of producing fault-free
  340. programs.
  341. Operator mistakes introduce incorrect data into system.
  342. Hardware faults cause data mutilation.
  343. Early detection and correction of fault effect retains system availability,
  344. at a cost (usually mishandling of single job).
  345.  
  346.  
  347. "DEFINITIONS"
  348.  
  349. Fault - improper action
  350. Error - the result of some faults - an erroneous states
  351. Failure - incorrect system output (wrong or delayed)
  352. Outage - Failure effecting significant number of jobs
  353. Fault tolerant systems prevent errors from becoming failures and failures
  354. from becoming outages.
  355. Faults that do not produce an erroneous state are not detectable
  356.  
  357.  
  358. "CLASSIFICATION"
  359. "ESS Software Reliability"
  360. "Objectives"
  361.  
  362. Same as achieved by electro-mechanical systems:
  363. No more than 2 hours total outage time in 40 years (720 seconds allocated to outages called by software faults).
  364. No more than 2 calls out of 10,000 mishandled.
  365. About 100-200 call attempts/sec
  366. Tolerable response times range from milli-seconds to seconds.
  367. "System Characteristics - 1ESS, 1AESS, 4ESS"
  368.  
  369. Base level cycle partitioned into A,B,C,D,E and interject priorities.
  370. Interrupts for timing and hardware exceptions.
  371. I/O at interrupt level
  372. Time shared CPU with segmented (interleaved)  processing
  373. System memory paritioned into:
  374. Text
  375. Parameters (describe office size)
  376. Translations (describe connections)
  377. Shared Memory
  378.  
  379.  
  380.    Note: This file was in EMACS , I hope I edited it good enough to read, so that it provides use.  -DT
  381.  
  382.  
  383.  ----------------------------------------------------------------------------
  384.  
  385.