Каскадный отказ

Системный риск неудачи

Анимация, демонстрирующая, как один сбой может привести к другим сбоям во всей сети.

Каскадный отказ — это отказ в системе взаимосвязанных частей, в которой отказ одной или нескольких частей приводит к отказу других частей, постепенно нарастающему в результате положительной обратной связи . Это может произойти, когда выходит из строя одна часть, увеличивая вероятность отказа других частей системы. ^{[1] [2]} Такой отказ может произойти во многих типах систем, включая передачу электроэнергии, компьютерные сети, финансы, транспортные системы, организмы, человеческое тело и экосистемы.

Каскадные отказы могут возникнуть, когда одна часть системы выходит из строя. Когда это происходит, другие части должны компенсировать отказавший компонент. Это, в свою очередь, перегружает эти узлы, заставляя их также выходить из строя, побуждая дополнительные узлы выходить из строя один за другим.

В передаче мощности

Каскадный отказ распространен в электросетях , когда один из элементов выходит из строя (полностью или частично) и переносит свою нагрузку на соседние элементы в системе. Затем эти соседние элементы выходят за пределы своей мощности, поэтому они перегружаются и переносят свою нагрузку на другие элементы. Каскадный отказ является распространенным эффектом, наблюдаемым в системах высокого напряжения , где единая точка отказа (SPF) в полностью загруженной или слегка перегруженной системе приводит к внезапному скачку напряжения во всех узлах системы. Этот импульсный ток может вызвать отказ уже перегруженных узлов, вызывая еще больше перегрузок и тем самым выводя из строя всю систему за очень короткое время.

Этот процесс отказа каскадно распространяется по элементам системы, как рябь на пруду, и продолжается до тех пор, пока практически все элементы в системе не будут скомпрометированы и/или система не станет функционально отключенной от источника своей нагрузки. Например, при определенных условиях крупная электросеть может рухнуть после отказа одного трансформатора.

Мониторинг работы системы в режиме реального времени и разумное отключение частей может помочь остановить каскад. Другой распространенный метод заключается в расчете запаса прочности для системы путем компьютерного моделирования возможных отказов, чтобы установить безопасные рабочие уровни, ниже которых ни один из рассчитанных сценариев не может вызвать каскадный отказ, и определить части сети, которые с наибольшей вероятностью вызовут каскадные отказы. ^[3]

Одной из основных проблем предотвращения сбоев в работе электросетей является то, что скорость управляющего сигнала не превышает скорость распространяющейся перегрузки по мощности, т.е. поскольку и управляющий сигнал, и электроэнергия движутся с одинаковой скоростью, невозможно изолировать отключение, отправив заранее предупреждение для изоляции элемента.

Примеры

Каскадный отказ вызвал следующие отключения электроэнергии :

• Авария на северо-востоке Америки в 1965 году
• Отключение электроэнергии на юге Бразилии в 1999 году
• Отключение электроэнергии в Северо-Восточной Америке в 2003 году
• Отключение электроэнергии в Италии в 2003 году
• Отключение электроэнергии в Лондоне в 2003 году
• Отключение электроэнергии в Европе в 2006 году
• Отключение электроэнергии в Северной Индии в 2012 году
• Отключение электроэнергии в Южной Австралии в 2016 году
• Отключение электроэнергии на юго-востоке Южной Америки в 2019 году
• Общенациональное отключение электроэнергии в Кении в 2022 году
• Общенациональное отключение электроэнергии в Кении в 2023 году

В компьютерных сетях

Каскадные сбои могут также происходить в компьютерных сетях (например, в Интернете ), в которых сетевой трафик серьезно ухудшается или останавливается в или между большими разделами сети, вызванными отказом или отключением оборудования или программного обеспечения. В этом контексте каскадный сбой известен под термином каскадный сбой . Каскадный сбой может повлиять на большие группы людей и системы.

Причиной каскадного сбоя обычно является перегрузка одного, важного маршрутизатора или узла, что приводит к выходу узла из строя, даже на короткое время. Это также может быть вызвано отключением узла для обслуживания или модернизации. В любом случае трафик направляется на другой (альтернативный) путь или через него. Этот альтернативный путь в результате становится перегруженным, что приводит к его выходу из строя и т. д. Это также повлияет на системы, которые зависят от узла для регулярной работы.

Симптомы

Симптомы каскадного сбоя включают: потерю пакетов и высокую задержку сети , не только для отдельных систем, но и для целых участков сети или Интернета. Высокая задержка и потеря пакетов вызваны узлами, которые не могут работать из-за перегрузки , что заставляет их по-прежнему присутствовать в сети, но без большого количества или какой-либо полезной коммуникации, проходящей через них. В результате маршруты все еще могут считаться действительными, хотя они фактически не обеспечивают коммуникации.

Если из-за каскадного сбоя выйдет из строя достаточное количество маршрутов, целый раздел сети или интернета может стать недоступным. Хотя это и нежелательно, это может помочь ускорить восстановление после этого сбоя, поскольку соединения будут отключены по тайм-ауту, а другие узлы прекратят попытки установить соединения с разделом(ами), которые были отключены, что снизит нагрузку на задействованные узлы.

Распространенным явлением при каскадном отказе является блуждающий отказ , когда секции падают, вызывая отказ следующей секции, после чего первая секция снова поднимается. Эта рябь может сделать несколько проходов через те же секции или соединительные узлы, прежде чем стабильность будет восстановлена.

История

Каскадные отказы — это относительно недавнее явление, связанное с огромным ростом трафика и высокой взаимосвязанностью систем и сетей. Термин был впервые применен в этом контексте в конце 1990-х годов голландским IT-специалистом и постепенно стал относительно распространенным термином для обозначения такого рода крупномасштабных отказов. ^{[ необходима цитата ]}

Пример

Сбои в работе сети обычно начинаются, когда выходит из строя один сетевой узел. Сначала трафик, который обычно проходит через узел, останавливается. Системы и пользователи получают ошибки о невозможности связаться с хостами. Обычно избыточные системы интернет-провайдера реагируют очень быстро, выбирая другой путь через другую магистраль. Путь маршрутизации через этот альтернативный маршрут длиннее, с большим количеством переходов и, следовательно, прохождением через большее количество систем, которые обычно не обрабатывают внезапно предлагаемый объем трафика.

Это может привести к отказу одной или нескольких систем на альтернативном маршруте, что создаст аналогичные проблемы.

В этом случае также затронуты связанные системы. Например, может произойти сбой разрешения DNS , и то, что обычно приводит к взаимосвязи систем, может нарушить соединения, которые даже не участвуют напрямую в фактических системах, которые вышли из строя. Это, в свою очередь, может привести к возникновению проблем на, казалось бы, не связанных между собой узлах, что может вызвать еще один каскадный сбой сам по себе.

В декабре 2012 года частичная потеря (40%) сервиса Gmail произошла по всему миру на 18 минут. Эта потеря сервиса была вызвана плановым обновлением программного обеспечения балансировки нагрузки, которое содержало ошибочную логику — в этом случае ошибка была вызвана логикой, использующей неподходящее «все» вместо более подходящего «некоторые». ^[4] Каскадная ошибка была исправлена ​​путем полного обновления одного узла в сети вместо частичного обновления всех узлов одновременно.

Каскадное разрушение конструкции

Некоторые несущие конструкции с дискретными структурными компонентами могут быть подвержены «эффекту молнии», когда отказ одного структурного элемента увеличивает нагрузку на соседние элементы. В случае обрушения пешеходной дорожки Hyatt Regency подвесная дорожка (которая уже была перенапряжена из-за ошибки в строительстве) вышла из строя, когда вышел из строя один вертикальный стержень подвески, перегрузив соседние стержни, которые вышли из строя последовательно (т. е. как молния ) . Мост, который может иметь такой отказ, называется критическим по разрушению, и многочисленные обрушения мостов были вызваны отказом одной части. Правильно спроектированные конструкции используют достаточный коэффициент безопасности и/или альтернативные пути нагрузки, чтобы предотвратить этот тип механического каскадного отказа. ^[5]

каскад переломов

Цепная реакция остеопоротических переломов

Каскад трещин — это явление в контексте геологии, описывающее запуск цепной реакции последующих трещин одним переломом. ^[6] Первоначальный перелом приводит к распространению дополнительных трещин, вызывая каскадный эффект по всему материалу.

Каскады трещин могут возникать в различных материалах, включая камни, лед, металлы и керамику. ^[7] Типичным примером является изгиб сухих спагетти , которые в большинстве случаев распадаются более чем на 2 части, как впервые заметил Ричард Фейнман . ^[7]

В контексте остеопороза каскад переломов представляет собой повышенный риск последующих переломов костей после первоначального. ^[8]

Другие примеры

Биология

Биохимические каскады существуют в биологии, где небольшая реакция может иметь системные последствия. Одним из негативных примеров является ишемический каскад , при котором небольшая ишемическая атака высвобождает токсины , которые убивают гораздо больше клеток, чем первоначальное повреждение, что приводит к высвобождению большего количества токсинов. Текущие исследования направлены на поиск способа блокировать этот каскад у пациентов с инсультом , чтобы минимизировать ущерб.

В исследовании вымирания иногда вымирание одного вида приводит к вымиранию многих других видов. Такой вид называется ключевым видом .

Электроника

Другим примером является генератор Кокрофта-Уолтона , в котором также возможны каскадные отказы, при которых отказ одного диода может привести к отказу всех диодов за доли секунды.

Еще одним примером этого эффекта в научном эксперименте стал взрыв в 2001 году нескольких тысяч хрупких стеклянных фотоумножительных трубок, использовавшихся в эксперименте «Супер-Камиоканде» , где ударная волна, вызванная отказом одного детектора, по-видимому, спровоцировала взрыв других детекторов в цепной реакции.

Финансы

В финансах риск каскадных банкротств финансовых учреждений называется системным риском : банкротство одного финансового учреждения может привести к банкротству других финансовых учреждений (его контрагентов ), каскадно распространяясь по всей системе. Учреждения, которые, как считается, представляют системный риск, считаются либо « слишком большими, чтобы обанкротиться » (TBTF), либо «слишком взаимосвязанными, чтобы обанкротиться» (TICTF), в зависимости от того, почему они, по всей видимости, представляют угрозу.

Однако следует отметить, что системный риск возникает не из-за отдельных учреждений как таковых, а из-за взаимосвязей. В исследовательской литературе были разработаны структуры для изучения и прогнозирования последствий каскадных сбоев. ^{[9] [10] [11]}

Схожий (хотя и отличный) тип каскадного сбоя в финансах происходит на фондовом рынке, примером чего является мгновенный крах 2010 года . ^[11]

Взаимозависимые каскадные отказы

Иллюстрация взаимозависимых отношений между различными инфраструктурами

Различные инфраструктуры, такие как водоснабжение , транспорт , топливо и электростанции, связаны друг с другом и зависят друг от друга в функционировании, см. рис. 1. Из-за этой связи взаимозависимые сети чрезвычайно чувствительны к случайным сбоям, и в частности к целевым атакам , так что сбой небольшой доли узлов в одной сети может вызвать итеративный каскад сбоев в нескольких взаимозависимых сетях. ^{[12] [13]} Отключения электроэнергии часто являются результатом каскада сбоев между взаимозависимыми сетями, и эта проблема была ярко проиллюстрирована несколькими крупномасштабными отключениями, которые произошли в последние годы. Отключения являются захватывающей демонстрацией важной роли, которую играют зависимости между сетями. Например, отключение электроэнергии в Италии в 2003 году привело к широкомасштабному отказу железнодорожной сети , систем здравоохранения и финансовых услуг и, кроме того, серьезно повлияло на телекоммуникационные сети . Частичный отказ системы связи, в свою очередь, еще больше нарушил систему управления электросетью , тем самым создавая положительную обратную связь в электросети. ^[14] Этот пример подчеркивает, как взаимозависимость может значительно увеличить ущерб во взаимодействующей сетевой системе.

Модель каскадных отказов из-за перегрузки

Модель каскадных отказов из-за распространения перегрузки — это модель Моттера–Лая. ^[15]

Смотрите также

• Отключения электроэнергии
• Хрупкая система
• Эффект бабочки
• Византийский провал
• Каскадный откат
• Цепная реакция
• Теория хаоса
• Кэш-давка
• Коллапс заторов
• Эффект домино
• Из-за отсутствия гвоздя (пословица)
• Сетевая наука
• Теория сетей
• Взаимозависимые сети
• Синдром Кесслера
• Теория перколяции
• Прогрессирующий коллапс
• Добродетельный круг и порочный круг
• Злая проблема

Ссылки

1. «Каскадный отказ — обзор | Темы ScienceDirect». www.sciencedirect.com .
2. Ульрих, Майк. "Глава 22 - Решение каскадных отказов". Google - Site Reliability Engineering .
3. Чжай, Чао (2017). «Моделирование и идентификация наихудших каскадных отказов в энергосистемах». arXiv : 1703.05232 [cs.SY].
4. «Почему Gmail вышел из строя: Google неправильно настроил серверы балансировки нагрузки (обновлено)». 11 декабря 2012 г.
5. Петроски, Генри (1992). Инженер — это человек: роль неудач в проектировании конструкций . Винтаж. ISBN 978-0-679-73416-1.
6. Boast, P. Baveye, CW (1998). "Фрактальная геометрия, процессы фрагментации и физика масштабной инвариантности: введение". Возрождение: Фракталы в почвоведении (1998) . CRC Press. doi : 10.1201/9781315151052. ISBN 9781315151052.{{cite journal}}: CS1 maint: несколько имен: список авторов ( ссылка )
7. Heisser, Ronald H.; Patil, Vishal P.; Stoop, Norbert; Villermaux, Emmanuel; Dunkel, Jörn (28 августа 2018 г.). «Управление каскадами разрушений посредством скручивания и закалки». Труды Национальной академии наук . 115 (35): 8665–8670. arXiv : 1802.05402 . Bibcode : 2018PNAS..115.8665H. doi : 10.1073/pnas.1802831115 . ISSN  0027-8424. PMC 6126751. PMID  30104353 . 
8. Мелтон, Л. Джозеф; Амин, Шреяси (26 июня 2013 г.). «Существует ли определенный каскад переломов?». BoneKEy Reports . 2 : 367. doi :10.1038/bonekey.2013.101. PMC 3935254. PMID  24575296 . 
9. Асемоглу, Дарон; Оздаглар, Асуман; Тахбаз-Салехи, Алиреза (2015). «Системный риск и стабильность в финансовых сетях». American Economic Review . 105 (2). Американская экономическая ассоциация: 564–608. doi : 10.1257/aer.20130456. hdl : 1721.1/100979 . ISSN  0002-8282. S2CID  7447939.
10. Гай, Прасанна; Кападиа, Суджит (2010-08-08). «Заражение в финансовых сетях». Труды Королевского общества A: Математические, физические и инженерные науки . 466 (2120): 2401–2423. Bibcode : 2010RSPSA.466.2401G. doi : 10.1098/rspa.2009.0410. ISSN  1364-5021. S2CID  9945658.
11. Эллиотт, Мэтью; Голуб, Бенджамин; Джексон, Мэтью О. (2014-10-01). «Финансовые сети и заражение». American Economic Review . 104 (10): 3115–3153. doi :10.1257/aer.104.10.3115. ISSN  0002-8282.
12. «Отчет Комиссии по оценке угрозы Соединенным Штатам от атаки с использованием электромагнитного импульса (ЭМИ)» (PDF) .
13. Ринальди, SM; Пиренбум, JP; Келли, TK (2001). «Определение, понимание и анализ критических взаимозависимостей инфраструктуры». Журнал IEEE Control Systems . 21 (6): 11–25. doi :10.1109/37.969131.
14. V. Rosato, Issacharoff, L., Tiriticco, F., Meloni, S., Porcellinis, SD, & Setola, R. (2008). «Моделирование взаимозависимых инфраструктур с использованием взаимодействующих динамических моделей». International Journal of Critical Infrastructures . 4 : 63–79. doi :10.1504/IJCIS.2008.016092.{{cite journal}}: CS1 maint: несколько имен: список авторов ( ссылка )
15. Motter, AE; Lai, YC (2002). «Каскадные атаки на сложные сети». Phys. Rev. E. 66 ( 6 Pt 2): 065102. arXiv : cond-mat/0301086 . Bibcode : 2002PhRvE..66f5102M. doi : 10.1103/PhysRevE.66.065102. PMID  12513335. S2CID  17189308.

Дальнейшее чтение

• Тошиюки Миядзаки (1 марта 2005 г.). "Сравнение стратегий защиты от каскадного сбоя в сетях SF с корреляциями степеней" (PDF) . Архивировано из оригинала (PDF) 2009-02-20.
• Расс Купер (1 июня 2005 г.). "(In)Secure Shell?". RedmondMag.com. Архивировано из оригинала 2007-09-28 . Получено 2007-09-08 .
• Министерство внутренней безопасности США (5 февраля 2007 г.). "Cascade Net (программа моделирования)". Центр внутренней обороны и безопасности. Архивировано из оригинала 2008-12-28 . Получено 2007-09-08 .

Внешние ссылки

• Космическая погода: отключение электроэнергии — масштабный сбой в электросети
• Демонстрационный апплет каскадных отказов (виртуальная лаборатория Университета Монаша)
• AE Motter и Y.-C. Lai, Каскадные атаки на сложные сети, Physical Review E (Rapid Communications) 66, 065102 (2002).
• П. Кручитти, В. Латора и М. Марчиори, Модель каскадных отказов в сложных сетях, Physical Review E (Rapid Communications) 69, 045104 (2004).
• Стратегии защиты от каскадных сбоев в сети — упрощенный подход
• I. Dobson, BA Carreras и DE Newman, препринт Модель вероятностного каскадного отказа, зависящая от нагрузки, Вероятность в инженерных и информационных науках, т. 19, № 1, январь 2005 г., стр. 15–32.
• Nova: Крушение рейса 111 2 сентября 1998 года. Рейс 111 авиакомпании Swissair, летевший из Нью-Йорка в Женеву, врезался в Атлантический океан у побережья Новой Шотландии с 229 людьми на борту. Первоначально считалось, что это был террористический акт. После расследования на сумму 39 миллионов долларов, страхового возмещения в размере 1,5 миллиарда долларов и более четырех лет следователи разгадывают загадку: каскадный сбой. Каково наследие Swissair 111? «У нас есть окно во внутреннюю структуру конструкции, сдержек и противовесов, защиты и безопасности». - Дэвид Эванс, главный редактор Air Safety Week.
• История PhysicsWeb: Авария на земле нейтринной лаборатории
• Структура и динамика крупномасштабных организационных сетей (Дэн Браха, Институт сложных систем Новой Англии)
• От единой сети к сети сетей Архивировано 14 ноября 2015 г. на Wayback Machine