Интенсивность отказов сантехнического оборудования справочник. Обеспечение высокой доступности. Модель надежности системы с множественными отказами

“ Обеспечение высокой доступности ”

Цель работы:

Изучить два вида средств поддержания высокой доступности: обеспечение отказоустойчивости (нейтрализация отказов, живучесть) и обеспечение безопасного и быстрого восстановления после отказов (обслуживаемость). Получить навык работы по обеспечению высокой доступности.

1. Теоретическое введение

1.1. Доступность

1.11. Основные понятия

Информационная система предоставляет своим пользователям определенный набор услуг (сервисов). Говорят, что обеспечен нужный уровень доступности этих сервисов, если следующие показатели находятся в заданных пределах:

Эффективность услуг. Эффективность услуги определяется в терминах максимального времени обслуживания запроса, количества поддерживаемых пользователей и т.п. Требуется, чтобы эффективность не опускалась ниже заранее установленного порога.

Время недоступности. Если эффективность информационной услуги не удовлетворяет наложенным ограничениям, услуга считается недоступной. Требуется, чтобы максимальная продолжительность периода недоступности и суммарное время недоступности за некоторой период (месяц, год) не превышали заранее заданных пределов.

В сущности, требуется, чтобы информационная система почти всегда работала с нужной эффективностью. Для некоторых критически важных систем (например, систем управления) время недоступности должно быть нулевым, без всяких "почти". В таком случае говорят о вероятности возникновения ситуации недоступности и требуют, чтобы эта вероятность не превышала заданной величины. Для решения данной задачи создавались и создаются специальные отказоустойчивые системы, стоимость которых, как правило, весьма высока.

К подавляющему большинству коммерческих систем предъявляются менее жесткие требования, однако современная деловая жизнь и здесь накладывает достаточно суровые ограничения, когда число обслуживаемых пользователей может измеряться тысячами, время ответа не должно превышать нескольких секунд, а время недоступности - нескольких часов в год.

Задачу обеспечения высокой доступности необходимо решать для современных конфигураций, построенных в технологии клиент/сервер. Это означает, что в защите нуждается вся цепочка - от пользователей (возможно, удаленных) до критически важных серверов (в том числе серверов безопасности).

Основные угрозы доступности были рассмотрены нами ранее.

В соответствии с ГОСТ 27.002, под отказом понимается событие, которое заключается в нарушении работоспособности изделия. В контексте данной работы изделие - это информационная система или ее компонент.

В простейшем случае можно считать, что отказы любого компонента составного изделия ведут к общему отказу, а распределение отказов во времени представляет собой простой пуассоновский поток событий. В таком случае вводят понятие интенсивности отказов и среднего времени наработки на отказ, которые связаны между собой соотношением

i - номер компонента,

Интенсивность отказов,

Среднее время наработки на отказ.

Интенсивности отказов независимых компонентов складываются:

а среднее время наработки на отказ для составного изделия задается соотношением

Уже эти простейшие выкладки показывают, что если существует компонент, интенсивность отказов которого много больше, чем у остальных, то именно он определяет среднее время наработки на отказ всей информационной системы. Это является теоретическим обоснованием принципа первоочередного укрепления самого слабого звена.

Пуассоновская модель позволяет обосновать еще одно очень важное положение, состоящее в том, что эмпирический подход к построению систем высокой доступности не может быть реализован за приемлемое время. При традиционном цикле тестирования/отладки программной системы по оптимистическим оценкам каждое исправление ошибки приводит к экспоненциальному убыванию (примерно на половину десятичного порядка) интенсивности отказов. Отсюда следует, что для того, чтобы на опыте убедиться в достижении необходимого уровня доступности, независимо от применяемой технологии тестирования и отладки, придется потратить время, практически равное среднему времени наработки на отказ. Например, для достижения среднего времени наработки на отказ 105 часов потребуется более 104,5 часов, что составляет более трех лет. Значит, нужны иные методы построения систем высокой доступности, методы, эффективность которых доказана аналитически или практически за более чем пятьдесят лет развития вычислительной техники и программирования.

Пуассоновская модель применима в тех случаях, когда информационная система содержит одиночные точки отказа, то есть компоненты, выход которых из строя ведет к отказу всей системы. Для исследования систем с резервированием применяется иной формализм.

В соответствии с постановкой задачи будем считать, что существует количественная мера эффективности предоставляемых изделием информационных услуг. В таком случае вводятся понятия показателей эффективности отдельных элементов и эффективности функционирования всей сложной системы.

В качестве меры доступности можно принять вероятность приемлемости эффективности услуг, предоставляемых информационной системой, на всем протяжении рассматриваемого отрезка времени. Чем большим запасом эффективности располагает наличии избыточности в конфигурации системы вероятность того, что в система, тем выше ее доступность.

При рассматриваемый промежуток времени эффективность информационных сервисов не опустится ниже допустимого предела, зависит не только от вероятности отказа компонентов, но и от времени, в течение которого они остаются неработоспособными, поскольку при этом суммарная эффективность падает, и каждый следующий отказ может стать фатальным. Чтобы максимально увеличить доступность системы, необходимо минимизировать время неработоспособности каждого компонента. Кроме того, следует учитывать, что, вообще говоря, ремонтные работы могут потребовать понижения эффективности или даже временного отключения работоспособных компонентов; такого рода влияние также необходимо минимизировать.

Несколько терминологических замечаний. Обычно в литературе по теории надежности вместо доступности говорят о готовности (в том числе о высокой готовности). Мы предпочли термин "доступность", чтобы подчеркнуть, что информационный сервис должен быть не просто "готов" сам по себе, но доступен для своих пользователей в условиях, когда ситуации недоступности могут вызываться причинами, на первый взгляд не имеющими прямого отношения к сервису (пример - отсутствие консультационного обслуживания).

Далее, вместо времени недоступности обычно говорят о коэффициенте готовности . Нам хотелось обратить внимание на два показателя - длительность однократного простоя и суммарную продолжительность простоев, поэтому мы предпочли термин "время недоступности" как более емкий.

При рассмотрении вопросов надежности часто бывает удобно представить себе дело так, словно на элемент действует поток отказов с некоторой интенсивностью l(t); элемент отказывает в тот момент, когда происходит первое событие этого потока.

Образ "потока отказов" приобретает реальный смысл, если отказавший элемент немедленно заменяется новым (восстанавливается). Последовательность случайных моментов времени, в которое происходят отказы (рис.3.10), представляет собой некоторый поток событий, а интервалы между событиями - независимые случайные величины, распределенные по соответствующему закону распределения.

Понятие "интенсивности отказов" может быть введено для любого закона надежности с плотностью f(t); в общем случае интенсивность отказов l будет переменной величиной.

Интенсивностью (или иначе "опасностью") отказов называется отношение плотности распределения времени безотказной работы элемента к его надежности:

Поясним физический смысл этой характеристики. Пусть одновременно испытывается большое число N однородных элементов, каждый - до момента своего отказа. Обозначим n(t) - число элементов, оказавшихся исправными к моменту t, а m(t, t+Dt), как и раньше, - число элементов, отказавших на малом участке времени (t, t+Dt). На единицу времени придется среднее число отказов

Разделим эту величину не на общее число испытываемых элементов N, а на число исправных к моменту t элементов n(t). Нетрудно убедиться, что при большом N отношение будет приближенно равно интенсивности отказов l (t):

Действительно, при большом N n(t)»Np(t)

Но согласно формуле (3.4) ,

В работах по надежности приближенное выражение (3.8) часто рассматривают как определение интенсивности отказов, т.е. её определяют как среднее число отказов в единицу времени, приходящееся на один работающий элемент .

Характеристике l(t) можно дать еще одно истолкование: это есть условная плотность вероятности отказа элемента в данный момент времени t, при условии, что до момента t он работал безотказно . Действительно, рассмотрим элемент вероятности l(t)dt - вероятность того, что за время (t, t+dt) элемент перейдет из состояния "работает" в состояние "не работает", при условии, что до момента t он работал. В самом деле, безусловная вероятность отказа элемента на участке (t, t+dt) равна f(t)dt. Это - вероятность совмещения двух событий:

А - элемент работал исправно до момента t;

В - элемент отказал на участке времени (t, t+dt).

По правилу умножения вероятностей: f(t)dt = P(АВ) = Р(А) Р(В/А).

Учитывая, что Р(А)=р(t), получим: ;

а величина l(t) есть не что иное, как условная плотность вероятности перехода от состояния "работает" в состояние "отказал" для момента t.

Если известна интенсивность отказов l(t), то можно выразить через нее надежность р(t). Учитывая, что f(t)=-p"(t), запишем формулу (3.7) в виде:

Интегрируя, получим: ,

Таким образом, надежность выражается через интенсивность отказов.

В частном случае, когда l(t)=l=const, формула (3.9) дает:

p(t)=e - l t , (3.10)

т.е. так называемый экспоненциальный закон надежности.

Пользуясь образом "потока отказов", можно истолковать не только формулу (3.10), но и более общую формулу (3.9). Представим себе (совершенно условно!), что на элемент с произвольным законом надежности p(t) действует поток отказов с переменной интенсивностью l(t). Тогда формула (3.9) для р(t) выражает вероятность того, что на участке времени (0, t) не появиться не одного отказа.

Таким образом, как при экспоненциальном, так и при любом другом законе надежности, работу элемента, начиная с момента включения t=0, можно представлять себе так, что на элемент действует пуассоновский закон отказов; для экспоненциального закона надежности этот поток будет с постоянной интенсивностью l, а для неэкспоненциального - с переменной интенсивностью l(t).

Заметим, что этот образ годится только в том случае, когда отказавший элемент не заменяется новым . Если, как мы это делали раньше, немедленно заменять отказавший элемент новым, поток отказов уже не будет пуассоновским . Действительно, интенсивность его будет зависеть не просто от времени t, прошедшего с начала всего процесса, а и от времени t, прошедшего со случайного момента включения именно данного элемента; значит, поток событий имеет последствие и пуассоновским не является.

Если же на протяжении всего исследуемого процесса данный элемент не заменяется и может отказать не более одного раза, то при описании процесса, зависящего от его функционирования, можно пользоваться схемой марковского случайного процесса. но при переменной, а не при постоянной интенсивности потока отказов.

Если неэкспоненциальный закон надежности сравнительно мало отличается от экспоненциального, то можно, в целях упрощения, приближенно заменить его экспоненциальным (рис. 3.11).

Параметр l этого закона выбирается так, чтобы сохранить неизменным математическое ожидание времени безотказной работы, равное, как мы знаем, площади, ограниченной кривой p(t) и осями координат. Для этого нужно положить параметр l показательного закона равным

где - площадь, ограниченная кривой надежности p(t). Таким образом, если мы хотим характеризовать надежность элемента некоторой средней интенсивностью отказов, нужно в качестве этой интенсивности взять величину, обратную среднему времени безотказной работы элемента.

Выше мы определили величину как площадь, ограниченную кривой р(t). Однако, если требуется знать только среднее время безотказной работы элемента, проще найти его непосредственно по статистическому материалу как среднее арифметическое всех наблюдённых значений случайной величины T - времени работы элемента до его отказа. Такой способ может быть применен и в случае, когда число опытов невелико и не позволяет достаточно точно построить кривую р(t).

Пример 1. Надежность элемента р(t) убывает со временем по линейному закону (рис. 3.12). Найти интенсивность отказов l(t) и среднее время безотказной работы элемента .

Решение. По формуле (3.7) на участке (0, t o) имеем:

Согласно заданному закону надежности

Второй интеграл здесь равен .

Что касается первого, то он вычислен приближённо (численно): ,

откуда » 0,37+0,135=0,505.

Пример 3. Плотность распределения времени безотказной работы элемента постоянна на участке (t 0 , t 1) и равна нулю вне этого участка (рис. 3.16). Найти интенсивность отказов l(t).

Решение. Имеем: , (t o

График интенсивности отказов показан на рис. 3.17; при t® t 1, l(t)® ¥ .

Интенсивностью отказов называется отношение числа отказавших образцов аппаратуры в единицу времени к среднему числу образцов, исправно работающих в данный отрезок времени при условии, что отказавшие образцы не восстанавливаются и не заменяются исправными.

Эта характеристика обозначается .Согласно определению

где n(t) – число отказавших образцов в интервале времени от до ; – интервал времени, - среднее число исправно работающих образцов в интервале ; N i - число исправно работающих образцов в начале интервала , N i +1 – число исправно работающих образцов в конце интервала .

Выражение (1.20) является статистическим определением интенсивности отказов. Для вероятностного представления этой характеристики установим зависимость между интенсивностью отказов, вероятностью безотказной работы и частотой отказов.

Подставим в выражение (1.20) выражение для n(t) из формул (1.11) и (1.12). Тогда получим:

Учитывая выражение (1.3) и то, что N ср = N 0 – n(t), найдем:

Устремляя к нулю и переходя к пределу, получим:

. (1.21)

Интегрируя выражение (1.21), получим:

Так как , то на основании выражения (1.21) получим:

. (1.24)

Выражения (1.22) – (1.24) устанавливают зависимость между вероятностью безотказной работы, частотой отказов и интенсивностью отказов.

Выражение (1.23) может быть вероятностным определением интенсивности отказов.

Интенсивность отказов как количественная характеристика надежности обладает рядом достоинств. Она является функцией времени и позволяет наглядно установить характерные участки работы аппаратуры. Это может позволить существенно повысить надежность аппаратуры. Действительно, если известны время приработки (t 1) и время конца работы (t 2), то можно разумно установить время тренировки аппаратуры до начала ее экс

плуатации и ее ресурс до ремонта. Это позволяет уменьшить число отказов при эксплуатации, т.е. приводит, в конечном счете, к повышению надежности аппаратуры.

Интенсивность отказов как количественная характеристика надежности имеет тот же недостаток, что и частота отказов: она позволяет достаточно просто характеризовать надежность аппаратуры лишь до первого отказа. Поэтому она является удобной характеристикой надежности систем разового применения и, в частности, простейших элементов.

По известной характеристике наиболее просто определяются остальные количественные характеристики надежности.

Указанные свойства интенсивности отказов позволяют ее считать основной количественной характеристикой надежности простейших элементов радиоэлектроники.

ОСНОВЫ РАСЧЕТА РАСЧЕТА НАДЕЖНОСТИ ТЕХНИЧЕСКИХ СИСТЕМ ПО НАДЕЖНОСТИ ИХ ЭЛЕМЕНТОВ

Целевое назначение и классификация методов расчета

Расчеты надежности - расчеты, предназначенные для определения количественных показателей надежности. Они проводятся на различных этапах разработки, создания и эксплуатации объектов.

На этапе проектирования расчет надежности производится с целью прогнозирования (предсказания) ожидаемой надежности проектируемой системы. Такое прогнозирование необходимо для обоснования предполагаемого проекта, а также для решения организационно-технических вопросов:
- выбора оптимального варианта структуры;
- способа резервирования;
- глубины и методов контроля;
- количества запасных элементов;
- периодичности профилактики.

На этапе испытаний и эксплуатации расчеты надежности проводятся для оценки количественных показателей надежности. Такие расчеты носят, как правило, характер констатации. Результаты расчетов в этом случае показывают, какой надежностью обладали объекты, прошедшие испытания или используемые в некоторых условиях эксплуатации. На основании этих расчетов разрабатываются меры по повышению надежности, определяются слабые места объекта, даются оценки его надежности и влияния на нее отдельных факторов.

Многочисленные цели расчетов привели к большому их разнообразию. На рис. 4.5.1 изображены основные виды расчетов.

Элементный расчет - определение показателей надежности объекта, обусловленных надежностью его комплектующих частей (элементов). В результате такого расчета оценивается техническое состояние объекта (вероятность того, что объект будет находиться в работоспособном состоянии, средняя наработка на отказ и т.п.).

Рис. 4.5.1. Классификация расчетов надежности

Расчет функциональной надежности - определение показателей надежности выполнения заданных функций (например, вероятность того, что система очистки газа будет работать заданное время, в заданных режимах эксплуатации с сохранением всех необходимых параметров по показателям очистки). Поскольку такие показатели зависят от ряда действующих факторов, то, как правило, расчет функциональной надежности более сложен, чем элементный расчет.

Выбирая на рис 4.5.1 варианты перемещений по пути, указанному стрелками, каждый раз получаем новый вид (случай) расчета.

Самый простой расчет - расчет, характеристики которого представлены на рис. 4.5.1 слева: элементный расчет аппаратурной надежности простых изделий, нерезервированных, без учета восстановлений работоспособности при условии, что время работы до отказа подчинено экспоненциальному распределению.

Самый сложный расчет - расчет, характеристики которого представлены на рис. 4.5.1 справа: функциональной надежности сложных резервированных систем с учетом восстановления их работоспособности и различных законов распределения времени работы и времени восстановления.
Выбор того или иного вида расчета надежности определяется заданием на расчет надежности. На основании задания и последующего изучения работы устройства (по его техническому описанию) составляется алгоритм расчета надежности, т.е. последовательность этапов расчета и расчетные формулы.

Последовательность расчета систем

Последовательность расчета системы представлена на рис. 4.5.2. Рассмотрим основные ее этапы.

Рис. 4.5.2. Алгоритм расчета надежности

Прежде всего четко следует сформулировать задание на расчет надежности. В нем должны быть указаны: 1) назначение системы ее состав и основные сведения о функционировании; 2) показатели надежности и признаки отказов, целевое назначение расчетов; 3) условия, в которых работает (или будет работать) система; 4) требования к точности и достоверности расчетов, к полноте учета действующих факторов.
На основании изучения задания делается вывод о характере предстоящих расчетов. В случае расчета функциональной надежности осуществляется переход к этапам 4-5-7, в случае расчета элементов (аппаратурной надежности) - к этапам 3-6-7.

Под структурной схемой надежности понимается наглядное представление (графическое или в виде логических выражений) условий, при которых работает или не работает исследуемый объект (система, устройство, технический комплекс и т.д.). Типовые структурные схемы представлены на рис. 4.5.3.

Рис. 4.5.3. Типовые структуры расчета надежности

Простейшей формой структурной схемы надежности является параллельно-последовательная структура. На ней параллельно соединяются элементы, совместный отказ которых приводит к отказу
В последовательную цепочку соединяются такие элементы, отказ любого из которых приводит к отказу объекта.

На рис. 4.5.3,а представлен вариант параллельно-последовательной структуры. По этой структуре можно сделать следующее заключение. Объект состоит из пяти частей. Отказ объекта наступает тогда, когда откажет или элемент 5, или узел, состоящий из элементов 1-4. Узел может отказать тогда, когда одновременно откажет цепочка, состоящая из элементов 3,4 и узел, состоящий из элементов 1,2. Цепь 3-4 отказывает, если откажет хотя бы один из составляющих ее элементов, а узел 1,2 - если откажут оба элемента, т.е. элементы 1,2. Расчет надежности при наличии таких структур отличается наибольшей простотой и наглядностью. Однако не всегда удается условие работоспособности представить в виде простой параллельно-последовательной структуры. В таких случаях используют или логические функции, или графы и ветвящиеся структуры, по которым оставляются системы уравнений работоспособности.

На основе структурной схемы надежности составляется набор расчетных формул. Для типовых случаев расчета используются формулы, приведенные в справочниках по расчетам надежности, стандартах и методических указаниях. Прежде чем применять эти формулы, необходимо предварительно внимательно изучить их существо и области использования.

Расчет надежности, основанный на использовании параллельно-последовательных структур

Пусть некоторая техническая система D составлена из n элементов (узлов). Допустим, надежности элементов нам известны. Возникает вопрос об определении надежности системы. Она зависит от того, каким образом элементы объединены в систему, какова функция каждого из них и в какой мере исправная работа каждого элемента необходима для работы системы в целом.

Параллельно-последовательная структура надежности сложного изделия дает представление о связи между надежностью изделия и надежностью его элементов. Расчет надежности ведется последовательно - начиная от расчета элементарных узлов структуры к ее все более сложным узлам. Например, в структуре рис. 5.3,а узел, состоящий из элементов 1-2 - элементарный узел, состоящий из элементов 1-2-3-4, сложный. Эта структура может быть сведена к эквивалентной, состоящей из элементов 1-2-3-4 и элемента 5, соединенных последовательно. Расчет надежности в данном случае сводится к расчету отдельных участков схемы, состоящих из параллельно и последовательно соединенных элементов.

Система с последовательным соединением элементов

Самым простым случаем в расчетном смысле является последовательное соединение элементов системы. В такой системе отказ любого элемента равносилен отказу системы в целом. По аналогии с цепочкой последовательно соединенных проводников, обрыв каждого из которых равносилен размыканию всей цепи, мы и называем такое соединение "последовательным" (рис. 4.5.4). Следует пояснить, что "последовательным" такое соединение элементов является только в смысле надежности, физически они могут быть соединены как угодно.

Рис. 4.5.4. Блок-схема системы с последовательным соединением элементов

С позиции надежности, такое соединение означает, что отказ устройства, состоящего из этих элементов, происходит при отказе элемента 1 или элемента 2, или элемента 3, или элемента n. Условие работоспособности можно сформулировать следующим образом: устройство работоспособно, если работоспособен элемент 1 и элемент 2, и элемент 3, и элемент n.

Выразим надежность данной системы через надежности ее элементов. Пусть имеется некоторый промежуток времени (0,t ), в течение которого требуется обеспечить безотказную работу системы. Тогда, если надежность системы характеризуется законом надежности Р(t), нам важно знать значение этой надежности при t=t , т.е. Р(t ). Это не функция, а определенное число; отбросим аргумент t и обозначим надежность системы просто Р. Аналогично обозначим надежности отдельных элементов P 1 , P 2 , P 3 , ..., P n .

Для безотказной работы простой системы в течение времени t нужно, чтобы безотказно работал каждый из ее элементов. Обозначим S - событие, состоящее в безотказной работе системы за время t ; s 1 , s 2 , s 3 , ..., s n - события, состоящие в безотказной работе соответствующих элементов. Событие S есть произведение (совмещение) событий s 1 , s 2 , s 3 , ..., s n:
S = s 1 × s 2 × s 3 × ... × s n .

Предположим, что элементы s 1 , s 2 , s 3 , ..., s n отказывают независимо друг от друга (или, как говорят применительно к надежности, "независимы по отказам", а совсем кратко "независимы"). Тогда по правилу умножения вероятностей для независимых событий Р(S)=P(s 1)× P(s 2)× P(s 3)× ...× P(s n) или в других обозначениях,
Р = Р 1 × Р 2 × Р 3 × ... × Р n .,(4.5.1)
а корочеP = ,(4.5.2)
т.е. надежность (вероятность работоспособного состояния) простой системы, составленной из независимых по отказам, последовательно соединенных элементов, равна произведению надежностей ее элементов.

В частном случае, когда все элементы обладают одинаковой надежностью P 1 =P 2 =P 3 = ... =P n , выражение (4.5.2) принимает вид
Р = P n .(4.5.3)

Пример 4.5.1. Система состоит из 10 независимых элементов, надежность каждого из которых равна Р=0,95. Определить надежность системы.

По формуле (4.5.3) Р = 0,95 10 » 0,6.

Из примера видно, как резко падает надежность системы при увеличении в ней числа элементов. Если число элементов n велико, то для обеспечения хотя бы приемлемой надежности Р системы каждый элемент должен обладать очень высокой надежностью.

Поставим вопрос: какой надежностью Р должен обладать отдельный элемент для того, чтобы система, составленная из n таких элементов, обладала заданной надежностью Р?

Из формулы (4.5.3) получим:
Р = .

Пример 4.5.2. Простая система состоит из 1000 одинаково надежных, независимых элементов. Какой надежностью должен обладать каждый из них для того, чтобы надежность системы была не меньше 0,9?
По формуле (4.5.4) Р = ; lgР = lg0,9 1/1000 ; Р » 0,9999.

Интенсивность отказов системы при экспоненциальном законе распределения времени до отказа легко определить из выражения
l с = l 1 + l 2 + l 3 + ... + l n ,(4.5.4)
т.е. как сумму интенсивностей отказов независимых элементов. Это и естественно, так как для системы, в которой элементы соединены последовательно, отказ элемента равносилен отказу системы, значит все потоки отказов отдельных элементов складываются в один поток отказов системы с интенсивностью, равной сумме интенсивностей отдельных потоков.

Формула (4.5.4) получается из выражения
Р = P 1 P 2 P 3 ... P n = ехр{-(l 1 + l 2 + l 3 + ... + l n )}.(4.5.5)
Среднее время работы до отказа
Т 0 = 1/ l с .(4.5.6)

Пример 4.5.3. Простая система S состоит из трех независимых элементов, плотности распределения времени безотказной работы которых заданы формулами:

при 0 < t < 1 (рис. 4.5.5).

Рис. 4.5.5. Плотности распределения времени безотказной работы

Найти интенсивность отказов системы.
Решение. Определяем ненадежность каждого элемента:
при 0 < t < 1.

Отсюда надежности элементов:
при 0 < t < 1.

Интенсивности отказов элементов (условная плотность вероятности отказов) - отношение f(t) к р(t):
при 0 < t < 1.
Складывая, имеем: l с = l 1 (t) + l 2 (t) + l 3 (t).

Пример 4.5.4. Предположим, что для работы системы с последовательным соединением элементов при полной нагрузке необходимы два разнотипных насоса, причем насосы имеют постоянные интенсивности отказов, равные соответственно l 1 =0,0001ч -1 и l 2 =0,0002ч -1 . Требуется вычислить среднее время безотказной работы данной системы и вероятность ее безотказной работы в течение 100ч. Предполагается, что оба насоса начинают работать в момент времени t =0.

С помощью формулы (4.5.5) находим вероятность безотказной работы P s заданной системы в течение 100ч:
P s (t)= .
P s (100)=е -(0,0001+0,0002) × 100 =0,97045.

Используя формулу (4.5.6), получаем

ч.

На рис. 4.5.6 представлено параллельное соединение элементов 1, 2, 3. Это означает, что устройство, состоящее из этих элементов, переходит в состояние отказа после отказа всех элементов при условии, что все элементы системы находятся под нагрузкой, а отказы элементов статистически независимы.

Рис. 4. 5.6. Блок-схема системы с параллельным соединением элементов

Условие работоспособности устройства можно сформулировать следующим образом: устройство работоспособно, если работоспособен элемент 1 или элемент 2, или элемент 3, или элементы 1 и 2, 1; и 3, 2; и 3, 1; и 2; и 3.

Вероятность безотказного состояния устройства, состоящего из n параллельно соединенных элементов определяется по теореме сложения вероятностей совместных случайных событий как
Р=(р 1 +р 2 +...р n)-(р 1 р 2 +р 1 р 3 +...)-(р 1 р 2 р 3 +р 1 р 2 р n +...)-... ± (р 1 р 2 р 3 ...р n).(4.5.7)
Для приведенной блок-схемы (рис. 4.5.6), состоящей из трех элементов, выражение (4.5.7) можно записать:
Р=р 1 +р 2 +р 3 -(р 1 р 2 +р 1 р 3 +р 2 р 3)+р 1 р 2 р 3 .

Применительно к проблемам надежности, по правилу умножения вероятностей независимых (в совокупности) событий, надежность устройства из n элементов вычисляется по формуле
Р = 1- ,(4.5.8)
т.е. при параллельном соединении независимых (в смысле надежности) элементов их ненадежности (1-p i =q i) перемножаются.

В частном случае, когда надежности всех элементов одинаковы, формула (4.5.8) принимает вид
Р = 1 - (1-р) n .(4.5.9)

Пример 4.5.5. Предохранительное устройство, обеспечивающее безопасность работы системы под давлением, состоит из трех дублирующих друг друга клапанов. Надежность каждого из них р=0,9. Клапаны независимы в смысле надежности. Найти надежность устройства.

Решение. По формуле (4.5.9)Р=1-(1-0,9) 3 =0,999.

Интенсивность отказов устройства состоящего из n параллельно соединенных элементов, обладающих постоянной интенсивностью отказов l 0 , определяется как

.(4.5.10)

Из (4.5.10) видно, что интенсивность отказов устройства при n>1 зависит от t: при t=0 она равна нулю, при увеличении t, монотонно возрастает до l 0 .

Если интенсивности отказов элементов постоянны и подчинены показательному закону распределения, то выражение (4.5.8) можно записать

Р(t) = .(4.5.11)

Среднее время безотказной работы системы Т 0 находим, интегрируя уравнение (4.5.11) в интервале :

Т 0 =
=(1/ l 1 +1/ l 2 +…+1/ l n )-(1/(l 1 + l 2 )+ 1/(l 1 + l 3 )+…)+(4.5.12)
+(1/(l 1 + l 2 + l 3 )+1/(l 1 + l 2 + l 4 )+…)+(-1) n+1 ´ .

В случае, когда интенсивности отказов всех элементов одинаковы, выражение (4.5.12) принимает вид

Т 0 = .(4.5.13)

Среднее время работы до отказа также можно получить, интегрируя уравнение (4.5.7) в интервале

Пример 4.5.6. Предположим, что два одинаковых вентилятора в системе очистки отходящих газов работают параллельно, причем если один из них выходит из строя, то другой способен работать при полной системной нагрузке без изменения своих надежностных характеристик.

Требуется найти безотказность системы в течение 400ч (продолжительность выполнения задания) при условии, что интенсивности отказов двигателей вентиляторов постоянны и равны l =0,0005ч -1 , отказы двигателей статистически независимы и оба вентилятора начинают работать в момент времени t=0.

Решение. В случае идентичных элементов формула (4.5.11) принимает вид
Р(t) = 2еxp(- l t) - еxp(-2 l t).
Поскольку l = 0,0005 ч -1 и t = 400 ч, то
Р (400) = 2еxp(-0,0005 ´ 400) - еxp(-2 ´ 0,0005 ´ 400)=0,9671.
Среднюю наработку на отказ находим, используя (4.5.13):
Т 0 = 1/l (1/1 + 1/2) = 1/l ´ 3/2 = 1,5/0,0005 = 3000 ч.

Рассмотрим самый простой пример резервированной системы - параллельное соединение резервного оборудования системы. В этой схеме все n одинаковых образцов оборудования работают одновременно, и каждый образец оборудования имеет одинаковую интенсивность отказов. Такая картина наблюдается, например, если все образцы оборудования держатся под рабочим напряжением (так называемый "горячий резерв"), а для исправной работы системы должен быть исправен хотя бы один из n образцов оборудования.

В этом варианте резервирования применимо правило определения надежности параллельно соединенных независимых элементов. В нашем случае, когда надежности всех элементов одинаковы, надежность блока определяется по формуле (4.5.9)

Р = 1 - (1-р) n .
Если система состоит из n образцов резервного оборудования с различными интенсивностями отказов, то
P(t) = 1-(1-p 1) (1-p 2)... (1-p n).(4.5.21)

Выражение (4.5.21) представляется как биноминальное распределение. Поэтому ясно, что когда для работы системы требуется по меньшей мере k исправных из n образцов оборудования, то
P(t) = p i (1-p) n-i ,где .(4.5.22)

При постоянной интенсивности отказов l элементов это выражение принимает вид

P(t) = ,(4.5.22.1)

где р = еxp(-l t).

Включение резервного оборудования системы замещением

В данной схеме включения n одинаковых образцов оборудования только один находится все время в работе (рис. 4.5.11). Когда работающий образец выходит из строя, его непременно отключают, и в работу вступает один из (n -1) резервных (запасных) элементов. Этот процесс продолжается до тех пор, пока все (n -1) резервных образцов не будут исчерпаны.

Рис. 4.5.11. Блок-схема системы включения резервного оборудования системы замещением
Примем для этой системы следующие допущения:
1. Отказ системы происходит, если откажут все n элементов.
2. Вероятность отказа каждого образца оборудования не зависит от состояния остальных (n -1) образцов (отказы статистически независимы).
3. Отказывать может только оборудование, находящееся в работе, и условная вероятность отказа в интервале t, t+dt равна l dt; запасное оборудование не может выходить из строя до того, как оно будет включено в работу.
4. Переключающие устройства считаются абсолютно надежными.
5. Все элементы идентичны. Резервные элементы имеют характеристики как новые.

Система способна выполнять требуемые от нее функции, если исправен по крайней мере один из n образцов оборудования. Таким образом, в этом случае надежность равна просто сумме вероятностей состояний системы, исключая состояние отказа, т.е.
Р(t) = еxp(- l t) .(4.5.23)

В качестве примера рассмотрим систему, состоящую из двух резервных образцов оборудования, включаемых замещением. Для того чтобы эта система работала, в момент времени t, нужно, чтобы к моменту t были исправны либо оба образца, либо один из двух. Поэтому
Р(t) = еxp(- l t) =(exp(- l t))(1+ l t).(4.5.24)

На рис. 4.5.12 показан график функции Р(t) и для сравнения приведен аналогичный график для нерезервированной системы.

Рис. 4.5. 12. Функции надежности для дублированной системы свключением резерва замещением (1) и нерезервированнойсистемы (2)

Пример 4.5.11. Система состоит из двух идентичных устройств, одно из которых функционирует, а другое находится в режиме ненагруженного резерва. Интенсивности отказов обоих устройств постоянны. Кроме того, предполагается, что в начале работы резервное устройство имеет такие же характеристики, как и новое. Требуется вычислить вероятность безотказной работы системы в течение 100 ч при условии, что интенсивности отказов устройств l =0,001 ч -1 .

Решение. С помощью формулы (4.5.23) получаем Р(t) = (exp(- l t))(1+ l t).

При заданных значениях t и l вероятность безотказной работы системы составляет

Р(t) = е -0,1 (1+0,1) = 0,9953.

Во многих случаях нельзя предполагать, что запасное оборудование не выходит из строя, пока его не включат в работу. Пусть l 1 - интенсивность отказов работающих образцов, а l 2 - резервных или запасных (l 2 > 0). В случае дублированной системы функция надежности имеет вид:
Р(t) = ехр(-(l 1 + l 2 )t) + ехр(- l 1 t) - ехр(-(l 1 + l 2 )t).

Данный результат для k=2 можно распространить на случай k=n. Действительно

Р(t) = ехр(- l 1 (1+ a (n-1))t) (4.5.25)
, где a = l 2 / l 1 > 0.

Надежность резервированной системы в случае комбинаций отказов и внешних воздействий

В некоторых случаях отказ системы возникает вследствие определенных комбинаций отказов образцов входящих в систему оборудования и (или) из-за внешних воздействий на эту систему. Рассмотрим, например, метеоспутник с двумя передатчиками информации, один из которых является резервным или запасным. Отказ системы (потеря связи со спутником) возникает при выходе из строя двух передатчиков или в тех случаях, когда солнечная активность создает непрерывные помехи радиосвязи. Если интенсивность отказов работающего передатчика равна l , а j - ожидаемая интенсивность появления радиопомех, то функция надежности системы
Р(t) = еxp(-(l + j )t) + l t еxp(-(l + j )t).(4.5.26)

Данный тип модели также применим в случаях, когда резерв по схеме замещения отсутствует. Например, предположим, что нефтепровод подвергается гидравлическим ударам, причем воздействие незначительными гидроударами происходит с интенсивностью l , а значительными - с интенсивнностью j . Для разрыва сварных швов (из-за накопления повреждений) трубопроводу следует получить n малых гидроударов или один значительный.

Здесь состояние процесса разрушения представляется числом ударов (или повреждений), причем один мощный гидроудар равносилен n малых. Надежность или вероятность того, что трубопровод не будет разрушен действием микроударов к моменту времени t равна:

Р(t) = еxp(-(l + j )t) .(4.5.27)

Анализ надежности систем при множественных отказах

Рассмотрим метод анализа надежности нагруженных элементов в случае статистически независимых и зависимых (множественных) отказов. Следует заметить, что этот метод может быть применен и в случае других моделей и распределений вероятностей. При разработке этого метода предполагается, что для каждого элемента системы существует некоторая вероятность появления множественных отказов.

Как известно, множественные отказы действительно существуют, и для их учета в соответствующие формулы вводится параметр a . Этот параметр может быть определен на основе опыта эксплуатации резервированных систем или оборудования и представляет собой долю отка ов, вызываемых общей причиной . Другими словами, параметр а можно рассматривать как точечную оценку вероятности того, что отказ некоторого элемента относится к числу множественных отказов. При этом можно считать, что интенсивность отказов элемента имеет две взаимоисключающие составляющие, т. е. l = l 1 + l 2 , где l 1 - постоянная интенсивность статистически независимых отказов элемента, l 2 - интенсивность множественных отказов резервированной системы или элемента. Поскольку a = l 2 / l , то l 2 = a/ l , и следовательно, l 1 =(1- a ) l .

Приведем формулы и зависимости для вероятности безотказной работы, интенсивности отказов и средней наработки на отказ в случае систем с параллельным и последовательным соединением элементов, а также систем с k исправными элементами из п и систем, элементы которых соединены по мостиковой схеме.

Система с параллельным соединением элементов (рис. 4.5.13) - обычная параллельная схема, к которой последовательно подсоединен один элемент. Параллельная часть (I) схемы отображает независимые отказы в любой системе из n элементов, а последовательно соединенный элемент (II) - все множественные отказы системы.

Рис. 4.5.13. Модифицированная система с параллельным соединением одинаковых элементов

Гипотетический элемент, характеризуемый определенной вероятностью появления множественного отказа, последовательно соединен с элементами, которые характеризуются независимыми отказами. Отказ гипотетического последовательно соединенного элемента (т.е. множественный отказ) приводит к отказу всей системы. Предполагается, что все множественные отказы полностью взаимосвязаны. Вероятность безотказной работы такой системы определяется как R р ={1-(1-R 1) n } R 2 , где n - число одинаковых элементов; R 1 - вероятность безотказной работы элементов, обусловленная независимыми отказами; R 2 - вероятность безотказной работы системы, обусловленная множественными отказами.

l 1 и l 2 выражение для вероятности безотказной работы принимает вид

R р (t)={1-(1-e -(1- a ) l t ) n }e - al t ,(4.5.28)
где t - время.

Влияние множественных отказов на надежность системы с параллельным соединением элементов наглядно демонстрируется с помощью рис. 4.5.14 – 4.5.16; при увеличении значения параметра a вероятность безотказной работы такой системы уменьшается.

Параметр a принимает значения от 0 до 1. При a = 0 модифицированная параллельная схема ведет себя как обычная параллельная схема, а при a =1 она действует как один элемент, т. е. все отказы системы являются множественными.

Поскольку интенсивность отказов и среднее время наработки на отказ любой системы можно определить с помощью (4.3 .7 ) и формул
,
,
с учетом выражения для R р (t ) получаем, что интенсивность отказов (рис. 4.5.17) и средняя наработка на отказ модифицированной системы соответственно равны
,(4.5.29)
,где .(4.5.30)

Рис. 4.5.14. Зависимость вероятности безотказной работы системы с параллельным соединением двух элементов от параметра a

Рис. 4.5.15. Зависимость вероятности безотказной работы системы с параллельным соединением трех элементов от параметра a

Рис. 4.5.16. Зависимость вероятности безотказной работы системы с параллельным соединением четырех элементов от параметра a

Рис. 4.5.17. Зависимость интенсивности отказов системы с параллельным соединением четырех элементов от параметра a

Пример 4.5.12. Требуется определить вероятность безотказной работы системы, состоящей из двух одинаковых параллельно соединенных элементов, если l =0,001 ч -1 ; a =0,071; t=200 ч.

Вероятность безотказной работы системы, состоящей из двух одинаковых параллельно соединенных элементов, для которой характерны множественные отказы, равна 0,95769. Вероятность безотказной работы системы, состоящей из двух параллельно соединенных элементов и характеризуемой только независимыми отказами, равна 0,96714.

Система с k исправными элементами из п одинаковых элементов включает в себя гипотетический элемент, соответствующий множественным отказам и соединенный последовательно с обычной системой типа k из n, для которой характерны независимые отказы. Отказ, отображаемый этим гипотетическим элементом, вызывает отказ всей системы. Вероятность безотказной работы модифицированной системы с k исправными элементами из n можно вычислить по формуле

,(4.5.31)

где R 1 - вероятность безотказной работы элемента, для которого характерны независимые отказы; R 2 - вероятность безотказной работы системы с k исправными элементами из n , для которой характерны множественные отказы.

При постоянных интенсивностях l 1 и l 2 полученное выражение принимает вид

.(4.5.32)

Зависимость вероятности безотказной работы от параметра a для систем с двумя исправными элементами из трех и двумя и тремя исправными элементами из четырех показаны на рис. 4.5.18 - 4.5.20. При увеличении параметра a вероятность безотказной работы системы уменьшается на небольшую величину (l t).

Рис. 4.5.18. Вероятность безотказной работы системы, сохраняющей работоспособность при отказе двух из n элементов

Рис. 4.5.19. Вероятность безотказной работы системы, сохраняющей работоспособность при отказе двух из четырех элементов

Рис. 4.5.20. Вероятность безотказной работы системы, сохраняющей работоспособность при отказе трех из четырех элементов

Интенсивность отказов системы с k исправными элементами из n и средняя наработка на отказ могут быть определены следующим образом:

,(4.5.33)

где h = {1-e -(1-b )l t },

q = e (r a -r- a ) l t

.(4.5.34)

Пример 4.5.13. Требуется определить вероятность безотказной работы системы с двумя исправными элементами из трех, если l =0,0005 ч - 1 ; a =0,3; t =200 ч.

С помощью выражения для R kn находим, что вероятность безотказной работы системы, в которой происходили множественные отказы, составляет 0,95772. Отметим, что для системы с независимыми отказами эта вероятность равна 0,97455.

Система с параллельно-последовательным соединением элементов соответствует системе, состоящей из одинаковых элементов, для которых характерны независимые отказы, и ряда ветвей, содержащих воображаемые элементы, для которых характерны множественные отказы. Вероятность безотказной работы модифицированной системы с параллельно-последовательным (смешанным) соединением элементов можно определить с помощью формулы R ps ={1 - (1-) n } R 2 , где m - число одинаковых элементов в ответвлении, n - число одинаковых ответвлений.

При постоянных интенсивностях отказов l 1 и l 2 это выражение принимает вид

R рs (t) = e - bl t . (4.5.39)

(здесь А=(1- a ) l ). Зависимость безотказной работы системы R b (t) для различных параметров a показана на рис. 4.5.21. При малых значениях l t вероятность безотказной работы системы с элементами, соединенными по мостиковой схеме, убывает с увеличением параметра a .

Рис. 4.5.21. Зависимость вероятности безотказной работы системы, элементы которой соединены по мостиковой схеме, от параметра a

Интенсивность отказов рассматриваемой системы и средняя наработка на отказ могут быть определены следующим образом:
l + .(4.5.41)

Пример 4.5.14. Требуется вычислить вероятность безотказной работы в течение 200 ч для системы с одинаковыми элементами, соединенными по мостиковой схеме, если l =0,0005 ч - 1 и a =0,3.

Используя выражение для R b (t), находим, что вероятность безотказной работы системы с соединением элементов по мостиковой схеме составляет примерно 0,96; для системы с независимыми отказами (т.е. при a =0) эта вероятность равна 0,984.

Модель надежности системы с множественными отказами

Для анализа надежности системы, состоящей из двух неодинаковых элементов, для которых характерны множественные отказы, рассмотрим такую модель, при построении которой были сделаны следующие допущения и приняты следующие обозначения:

Допущения (1) множественные отказы и отказы других типов статистически независимы; (2) множественные отказы связаны с выходом из строя не менее двух элементов; (3) при отказе одного из нагруженных резервированных элементов отказавший элемент восстанавливается, при отказе обоих элементов восстанавливается вся система; (4) интенсивность множественных отказов и интенсивность восстановлений постоянны.

Обозначения
P 0 (t) - вероятность того, что в момент времени t оба элемента функционируют;
P 1 (t) - вероятность того, что в момент времени t элемент 1 вышел из строя, а элемент 2 функционирует;
P 2 (t) - вероятность того, что в момент времени t эл мент 2 вышел из строя, а элемент 1 функционирует;
P 3 (t) - вероятность того, что в момент времени t элементы 1 и 2 вышли из строя;
P 4 (t) - вероятность того, что в момент времени t имеются специалисты и запасные элементы для восстановления обоих элементов;
a - постоянный коэффициент, характеризующий наличие специалистов и запасных элементов;
b - постоянная интенсивность множественных отказов;
t - время.

Рассмотрим три возможных случая восстановления элементов при их одновременном отказе:

Случай 1. Запасные элементы, ремонтный инструмент и квалифицированные специалисты имеются для восстановления обоих элементов, т. е. элементы могут быть восстановлены одновременно .

Случай 2. Запасные элементы, ремонтный инструмент и квалифицированные специалисты имеются только для восстановления одного элемента, т. е. может быть восстановлен только один элемент.

Случай 3 . Запасные элементы, ремонтный инструмент и квалифицированные специалисты отсутствуют, и, кроме того, может существовать очередь на ремонтное обслуживание.

Математическая модель системы, изображенной на рис. 4.5.22, представляет собой следующую систему дифференциальных уравнений первого порядка:

P" 0 (t) = - ,
P" 1 (t) = -(l 2 + m 1 )P 1 (t)+P 3 (t)

Рис. 4.5.22. Модель готовности системы в случае множественных отказов

Приравнивая в полученных уравнениях производные по времени нулю, для установившегося режима получаем

- ,
-(l 2 + m 1 )P 1 +P 3 m 2 +P 0 l 1 = 0,

-(l 1 + m 2 )P 2 +P 0 l 2 +P 3 m 1 = 0,

P 2 = ,

P 3 = ,

P 4 = .

Стационарный коэффициент готовности может быть вычислен по формуле

Доступность

ЛЕКЦИЯ № 14. Обеспечение доступности

Эффективность услуг . Эффективность услуги определяется в терминах максимального времени обслуживания запроса, количества поддерживаемых пользователей и т.п. Требуется, чтобы эффективность не опускалась ниже заранее установленного порога.
Время недоступности. Если эффективность информационной услуги не удовлетворяет наложенным ограничениям, услуга считается недоступной. Требуется, чтобы максимальная продолжительность периода недоступности и суммарное время недоступности за некоторый период (месяц, год) не превышали заранее заданных пределов.

Задачу обеспечения высокой доступности необходимо решать для современных конфигураций, построенных в технологии клиент/сервер. Это означает, что в защите нуждается вся цепочка – от пользователей (возможно, удаленных) до критически важных серверов (в том числе серверов безопасности).

Основные угрозы доступности были рассмотрены нами ранее.

В соответствии с ГОСТ 27.002, под отказом понимается событие, которое заключается в нарушении работоспособности изделия. В контексте данной работы изделие – это информационная система или ее компонент.

где – номер компонента,

– интенсивность отказов,

– среднее время наработки на отказ.

Интенсивности отказов независимых компонентов складываются:

а среднее время наработки на отказ для составного изделия задается соотношением

Пуассоновская модель позволяет обосновать еще одно очень важное положение, состоящее в том, что эмпирический подход к построению систем высокой доступности не может быть реализован за приемлемое время. При традиционном цикле тестирования/отладки программной системы по оптимистическим оценкам каждое исправление ошибки приводит к экспоненциальному убыванию (примерно на половину десятичного порядка) интенсивности отказов. Отсюда следует, что для того, чтобы на опыте убедиться в достижении необходимого уровня доступности, независимо от применяемой технологии тестирования и отладки, придется потратить время, практически равное среднему времени наработки на отказ. Например, для достижения среднего времени наработки на отказ 10 5 часов потребуется более 10 4,5 часов, что составляет более трех лет. Значит, нужны иные методы построения систем высокой доступности, методы, эффективность которых доказана аналитически или практически за более чем пятьдесят лет развития вычислительной техники и программирования.

В качестве меры доступности можно принять вероятность приемлемости эффективности услуг, предоставляемых информационной системой, на всем протяжении рассматриваемого отрезка времени. Чем большим запасом эффективности располагает система, тем выше ее доступность.

При наличии избыточности в конфигурации системы вероятность того, что в рассматриваемый промежуток времени эффективность информационных сервисов не опустится ниже допустимого предела, зависит не только от вероятности отказа компонентов, но и от времени, в течение которого они остаются неработоспособными, поскольку при этом суммарная эффективность падает, и каждый следующий отказ может стать фатальным. Чтобы максимально увеличить доступность системы, необходимо минимизировать время неработоспособности каждого компонента. Кроме того, следует учитывать, что, вообще говоря, ремонтные работы могут потребовать понижения эффективности или даже временного отключения работоспособных компонентов; такого рода влияние также необходимо минимизировать.

Несколько терминологических замечаний. Обычно в литературе по теории надежности вместо доступности говорят о готовности (в том числе о высокой готовности). Мы предпочли термин "доступность", чтобы подчеркнуть, что информационный сервис должен быть не просто "готов" сам по себе, но доступен для своих пользователей в условиях, когда ситуации недоступности могут вызываться причинами, на первый взгляд не имеющими прямого отношения к сервису (пример – отсутствие консультационного обслуживания).

Далее, вместо времени недоступности обычно говорят о коэффициенте готовности. Нам хотелось обратить внимание на два показателя – длительность однократного простоя и суммарную продолжительность простоев, поэтому мы предпочли термин " время недоступности " как более емкий.