Как сообщается в блоге Uptime Institute, вспышки на Солнце или корональные выбросы способны вызвать геомагнитные бури, достаточные для нанесения ущерба электросетям и электронике. Но защита необходима не только от природных явлений — современные технологии позволяют сгенерировать опасный для ЦОД электромагнитный импульс (ЭМИ) с помощью устройства размером с чемодан, что открывает широкое поле для шантажа и преступлений.

Известно, что вызываемые солнечными вспышками импульсы класса G3 происходят относительно часто и могут вызвать повреждения как электросетей, так и электроники. По данным Uptime Institute, особенно для них уязвимы высоковольтные линии и иные подобные объекты — такие импульсы особенно «эффективно» влияют на проводники протяжённостью в километры. Но если шторм уровня G3 грозит неполадками в инфраструктуре, то G5 способен буквально уничтожать высоковольтные трансформаторы, не говоря о тонкой электронике.

Источник изображения: Selvan B/unsplash.com

К счастью, солнечные бури класса G5 случаются примерно раз в 25 лет, да и естественная защита Земли способна уберечь от многих последствий геомагнитных штормов, хотя и она не всегда помогает. Последний крупный инцидент случился в марте 1989 года, когда солнечная буря вывела из строя энергосеть компании Hydro-Québec на 9 часов. Впрочем, для создания проблем операторам ЦОД такой мощности импульсов и не понадобится. Даже менее интенсивные геомагнитные бури негативно влияют на энергосети и способны вывести из строя оборудование для управления энергоснабжением.

Источник: Uptime Institute

Хотя ИБП призваны бороться с такими проблемами, иногда импульс способен преодолеть защиту. А поскольку сейчас нет возможности делать точные прогнозы возникновения таких импульсов, Uptime Institute рекомендует отключать магистральное энергоснабжение во время геомагнитных бурь, переключаясь на резервные источники питания. Но запаса их энергии может не хватить на временную изоляцию ЦОД от энергосети на всё время вспышки, так что дополнительно рекомендуется распределять нагрузки между разными регионами.

Источник изображения: NASA

Практически никто из опрошенных Uptime операторов ЦОД не применял специальных мер защиты от ЭМИ. Впрочем, все природные явления бледнеют перед возможными рукотворными импульсами, которые можно сгенерировать вблизи ЦОД. Они способны повредить не только энергосети, но и саму электронику. Проводившиеся США испытания показали, что взрыв в атмосфере ядерной боеголовки создаёт достаточно мощный для повреждения энергосетей и электроники импульс, но вероятность такого события крайне мала.

Но электромагнитным оружием располагают не только игроки государственного уровня — технология проста и доступна террористам или вымогателям для последующего шантажа. Хотя свидетельств такого рода атак на ЦОД пока нет, Uptime Institute рекомендует создать вокруг зданий зону отчуждения. Она не защитит от атаки специализированным оружием, но позволит избежать нападения злоумышленников-дилетантов с маломощным оборудованием.

Для особо важных объектов рекомендуется применять варианты клетки Фарадея (в том числе для хранения запчастей), защищённые серверные стойки и датчики ЭМИ, инициирующие физическую защиту важных зон. Но всё это довольно дорогие решения, так что предлагается как минимум увеличить запасы топлива для резервных генераторов и усилить контроль доступа как к самим зданиями, так и к помещениям внутри них.

Влияние ионизирующего излучения (радиации) на электронику бесспорно, и является одной из причин широкого внедрения технологии коррекции ошибок. Но если с памятью и процессорами всё более или менее понятно, то существует класс микросхем, для которого этот вопрос был малоисследован, во всяком случае, до недавнего времени. Это программируемые логические схемы, FPGA.

Если обычный радиационный фон для единичных ПЛИС, очевидно, не представляет весомой угрозы, то что насчёт массивов из сотен тысяч работающих сообща микросхем такого типа? Вопрос не праздный ввиду роста популярности FPGA в качестве многофункциональных реконфигурируемых сопроцессоров в сфере HPC. Учёные из Университета Бригама Янга (Brigham Young University), штат Юта, США, дали ответ на этот вопрос.

Пролетающая частица разряжает SRAM-ячейку. Источник: slideshare.net

Полигоном стал ЦОД в Денвере, штат Колорадо, в котором одновременно работают до 100 тыс. ускорителей на базе ПЛИС. Сами эти микросхемы имеют т.н. «конфигурационную память», отвечающую за хранение реализованной в ПЛИС электронной схемы —  путей, соединений, функциональных блоков. Поддержки ECC она не имеет, и как отметил ведущий исследователь Эндрю Келлер (Andrew Keller), проходящее через эту область ионизирующее излучение может отключать от схемы целые элементы, поскольку под его воздействием меняются хранимые в ячейках памяти значения.

Влияние ионизирующего излучения на конфигурационную память создаёт источник «постоянной ошибки». Источник: slideshare.net

В ЦОД масштаба от 100 тыс. FPGA изменение данных в конфигурационной памяти может происходить каждые полчаса, а незаметные повреждения данных (silent data corruption, SDC) накапливаться до 11 дней. Последнее представляет наибольшую угрозу, поскольку все эти дни ошибка накапливается — система всё ещё производит вычисления, но результаты могут быть неверны. Другая опасность — это полный выход ПЛИС из строя, но это заметят те, кто отвечает за работоспособность оборудования в ЦОД.

FPGA бывают и в защищённом от радиации исполнении. Источник: militaryaerospace.com

Методы защиты, впрочем, довольно просты: механика коррекции ошибок Single Event Upsets (SEU) реализована во всех современных FPGA; есть также механизм периодической перезаписи конфигурации (scrubbing) в случае обнаружения ошибки, который может снизить вероятность повреждения данных в 3–22 раза. К сожалению, большая часть решений на базе FPGA последний механизм не задействует, хотя, как отметили исследователи, крупные гиперскейлеры пользуются им чаще.

Также предполагалось, что по мере освоения более тонких техпроцессов возможно учащение мультибитных ошибок, поскольку пролетающая частица может задеть не одну ячейку памяти, а сразу несколько. Однако эксперименты команды Келлера опровергают это предположение. По всей видимости, производители ПЛИС знают об этом эффекте и стараются защитить от него новые продукты. Существуют также FPGA в защищённом исполнении, которые, как правило, применяются в военной и аэрокосмической технике.