Інтенсивність відмов сантехнічного обладнання. Забезпечення високої доступності. Модель надійності системи з множинними відмовами

"Забезпечення високої доступності"

Мета роботи:

Вивчити два види засобів підтримки високої доступності: забезпечення відмовостійкості (нейтралізація відмов, живучість) та забезпечення безпечного та швидкого відновлення після відмов (обслуговуваність). Отримати навичку роботи із забезпечення високої доступності.

1. Теоретичне введення

1.1. Доступність

1.11. Основні поняття

Інформаційна система надає своїм користувачам певний набір послуг (сервісів). Говорять, що забезпечений необхідний рівень доступності цих сервісів, якщо такі показники перебувають у заданих межах:

Ефективність послуг. Ефективність послуги визначається в термінах максимального часу обслуговування запиту, кількості користувачів, що підтримуються, тощо. Потрібно, щоб ефективність не опускалася нижче заздалегідь встановленого порога.

Час недоступності. Якщо ефективність інформаційної послуги не задовольняє обмеженням, послуга вважається недоступною. Потрібно, щоб максимальна тривалість періоду недоступності та сумарний час недоступності за деякий період (місяць, рік) не перевищували заздалегідь заданих меж.

По суті потрібно, щоб інформаційна система майже завжди працювала з потрібною ефективністю. Для деяких критично важливих систем (наприклад, систем управління) час недоступності має бути нульовим, без будь-яких "майже". У такому випадку говорять про можливість виникнення ситуації недоступності і вимагають, щоб ця можливість не перевищувала заданої величини. Для вирішення цього завдання створювалися і створюються спеціальні стійкі до відмови системи, вартість яких, як правило, дуже висока.

До переважної більшості комерційних систем пред'являються менш жорсткі вимоги, проте сучасне ділове життя і тут накладає досить суворі обмеження, коли кількість користувачів може вимірюватися тисячами, час відповіді не повинен перевищувати кількох секунд, а час недоступності - кількох годин на рік.

Завдання забезпечення високої доступності необхідно вирішувати для сучасних конфігурацій, побудованих у технології клієнт/сервер. Це означає, що захист потребує весь ланцюжок - від користувачів (можливо, віддалених) до критично важливих серверів (у тому числі серверів безпеки).

Основні загрози доступності було розглянуто нами раніше.

Відповідно до ГОСТ 27.002, під відмовою розуміється подія, що полягає у порушенні працездатності виробу. У контексті даної роботи виріб – це інформаційна система або її компонент.

У найпростішому випадку можна вважати, що відмови будь-якого компонента складового виробу ведуть до загальної відмови, а розподіл відмов у часі являє собою простий потік пуасонівський подій. У такому разі вводять поняття інтенсивності відмов ісереднього часу напрацювання на відмову, пов'язані між собою співвідношенням

i - номер компонента,

Інтенсивність відмов,

Середній час напрацювання на відмову.

Інтенсивності відмов незалежних компонентів складаються:

а середній час напрацювання на відмову для складеного виробу визначається співвідношенням

Вже ці найпростіші викладки показують, що й існує компонент, інтенсивність відмов якого набагато більше, ніж в інших, саме він визначає середній час напрацювання на відмову всієї інформаційної системи. Це є теоретичним обґрунтуванням принципу першочергового зміцнення найслабшої ланки.

Пуассонівська модель дозволяє обґрунтувати ще одне дуже важливе положення, що полягає в тому, що емпіричний підхід до побудови систем високої доступності не може бути реалізований за прийнятний час. При традиційному циклі тестування/налагодження програмної системи за оптимістичними оцінками кожне виправлення помилки призводить до експоненційного зменшення (приблизно на половину десяткового порядку) інтенсивності відмов. Звідси випливає, що для того, щоб на досвіді переконатися в досягненні необхідного рівня доступності, незалежно від технології тестування і налагодження, що застосовується, доведеться витратити час, практично рівний середньому часу напрацювання на відмову. Наприклад, для досягнення середнього часу напрацювання на відмову 105 годин знадобиться понад 104,5 години, що становить більше трьох років. Отже, потрібні інші методи побудови систем високої доступності, методи, ефективність яких доведена аналітично або за більш ніж п'ятдесят років розвитку обчислювальної техніки та програмування.

Пуассонівська модель застосовна у випадках, коли інформаційна система містить одиночні точки відмови, тобто компоненти, вихід з ладу веде до відмови всієї системи. Для дослідження систем із резервуванням застосовується інший формалізм.

Відповідно до постановки завдання вважатимемо, що існує кількісний захід ефективності інформаційних послуг, що надаються виробом. У такому разі вводяться поняття показників ефективності окремих елементів та ефективності функціонування всієї складної системи.

Як міру доступності можна прийняти ймовірність прийнятності ефективності послуг, що надаються інформаційною системою, протягом усього розглянутого відрізка часу. Чим більшим запасом ефективності має наявність надмірностіу конфігурації системи ймовірність того, що в система, тим вища її доступність.

При аналізований проміжок часу ефективність інформаційних сервісів не опуститься нижче допустимої межі, залежить не тільки від ймовірності відмови компонентів, але і від часу, протягом якого вони залишаються непрацездатними, оскільки при цьому сумарна ефективність падає, і кожна наступна відмова може стати фатальною. Щоб максимально збільшити доступність системи необхідно мінімізувати час непрацездатності кожного компонента. Крім того, слід враховувати, що взагалі кажучи, ремонтні роботи можуть вимагати зниження ефективності або навіть тимчасового відключення працездатних компонентів; Такий вплив також необхідно мінімізувати.

Декілька термінологічних зауважень. Зазвичай у літературі з теорії надійності замість доступності говорять про готовність (зокрема про високу готовність). Ми віддали перевагу терміну "доступність", щоб підкреслити, що інформаційний сервіс повинен бути не просто "готовий" сам по собі, але доступний для своїх користувачів в умовах, коли ситуації недоступності можуть викликатися причинами, що на перший погляд не мають прямого відношення до сервісу (приклад - Відсутність консультаційного обслуговування).

Далі замість часу недоступності зазвичай говорять про коефіцієнт готовності. Нам хотілося звернути увагу на два показники - тривалість одноразового простою та сумарну тривалість простоїв, тому ми віддали перевагу терміну "час недоступності" як більш ємний.

При розгляді питань надійності часто буває зручно уявити справу так, ніби на елемент діє потік відмов з деякою інтенсивністю l(t); елемент відмовляє у той момент, коли відбувається перша подія цього потоку.

Образ "потоку відмов" набуває реального сенсу, якщо елемент, що відмовив, негайно замінюється новим (відновлюється). Послідовність випадкових моментів часу, коли відбуваються відмови (рис.3.10), є деякий потік подій, а інтервали між подіями - незалежні випадкові величини, розподілені за відповідним законом розподілу.

Поняття "інтенсивності відмов" може бути введено для будь-якого закону надійності із щільністю f(t); у випадку інтенсивність відмов l буде змінною величиною.

Інтенсивністю(або інакше "небезпекою") відмов називається відношення щільності розподілу часу безвідмовної роботи елемента до його надійності:

Пояснимо фізичний зміст цієї характеристики. Нехай одночасно випробовується велика кількість N однорідних елементів, кожен - досі відмови. Позначимо n(t) - кількість елементів, що виявилися справними на момент t, а m(t, t+Dt), як і раніше, - кількість елементів, що відмовили на малій ділянці часу (t, t+Dt). На одиницю часу прийдеться середня кількість відмов

Розділимо цю величину не на загальну кількість елементів N, які випробовуються, а на число справнихна момент t елементів n(t). Неважко переконатися, що при великому N відношення буде приблизно дорівнює інтенсивності відмов l (t):

Дійсно, при великому N n(t)»Np(t)

Але згідно з формулою (3.4) ,

У роботах з надійності наближений вираз (3.8) найчастіше розглядають як визначення інтенсивності відмов, тобто. її визначають як середня кількість відмов в одиницю часу, що припадає на один працюючий елемент.

Характеристиці l(t) можна дати ще одне тлумачення: це є умовна щільність ймовірності відмови елемента в Наразічасу t, за умови, що до моменту t він працював безвідмовно. Дійсно, розглянемо елемент ймовірності l(t)dt - ймовірність того, що за час (t, t+dt) елемент перейде зі стану "працює" у стан "не працює", за умови, що до моменту t він працював. Насправді безумовна ймовірність відмови елемента на ділянці (t, t+dt) дорівнює f(t)dt. Це - ймовірність поєднання двох подій:

А - елемент справно працював до моменту t;

- елемент відмовив на ділянці часу (t, t+dt).

За правилом множення ймовірностей: f(t)dt = P(АВ) = Р(А) Р(В/А).

З огляду на, що Р(А)=р(t), отримаємо: ;

а величина l(t) є не що інше, як умовна щільність ймовірності переходу від стану "працює" у стан "відмовив" для моменту t.

Якщо відома інтенсивність відмов l(t), можна виразити її надійність р(t). Враховуючи, що f(t)=-p"(t), запишемо формулу (3.7) у вигляді:

Інтегруючи, отримаємо: ,

Таким чином, надійність виражається через інтенсивність відмов.

В окремому випадку, коли l(t)=l=const, формула (3.9) дає:

p(t)=e - l t (3.10)

тобто. так званий експонентний закон надійності.

Користуючись чином "потоку відмов", можна витлумачити як формулу (3.10), а й загальну формулу (3.9). Уявімо (абсолютно умовно!), Що на елемент з довільним законом надійності p(t) діє потік відмов зі змінною інтенсивністю l(t). Тоді формула (3.9) для р(t) виражає ймовірність того, що на ділянці часу (0, t) не з'явиться жодної відмови.

Таким чином, як при експоненційному, так і за будь-якого іншого закону надійності, роботу елемента, починаючи з моменту включення t=0, можна уявляти так, що на елемент діє пуасонівський закон відмов; для експоненційного закону надійності цей потік буде постійної інтенсивністю l, а неекспоненціального - зі змінною інтенсивністю l(t).

Зауважимо, що цей образ годиться тільки в тому випадку, коли елемент, що відмовив. не замінюється новим. Якщо, як ми це робили раніше, негайно замінювати елемент, що відмовив, новим, потік відмов вже не буде пуасонівським. Дійсно, інтенсивність його залежатиме не просто від часу t, що пройшов від початку всього процесу, а й від часу t, що пройшов з випадкового моментувключення саме даногоелемента; отже, потік подій має наслідок і пуассонівським не є.

Якщо ж протягом усього досліджуваного процесу даний елементне замінюється і може відмовити не більше одного разу, то при описі процесу, що залежить від його функціонування, можна скористатися схемою марковського випадкового процесу. але за змінної, а чи не за постійної інтенсивності потоку відмов.

Якщо неекспоненційний закон надійності порівняно мало відрізняється від експоненціального, можна, з метою спрощення, приблизно замінити його експоненціальним (рис. 3.11).

Параметр l цього закону вибирається те щоб зберегти незмінним математичне очікування часу безвідмовної роботи, рівне, як відомо, площі, обмеженої кривою p(t) і осями координат. Для цього потрібно покласти параметр l показового закону рівним

де - Площа, обмежена кривою надійності p(t). Таким чином, якщо ми хочемо характеризувати надійність елемента деякою середньою інтенсивністю відмов, потрібно як цю інтенсивність взяти величину, обернену до середнього часу безвідмовної роботи елемента.

Вище ми визначили величину як площу, обмежену кривою р(t). Однак, якщо потрібно знати тількисередній час безвідмовної роботи елемента, простіше знайти його безпосередньо за статистичним матеріалом як середнє арифметичневсіх спостеріганих значень випадкової величини T - часу роботи елемента до відмови. Такий спосіб може бути застосований і у випадку, коли кількість дослідів невелика і не дозволяє досить точно збудувати криву р(t).

приклад 1.Надійність елемента р(t) зменшується з часом за лінійним законом (рис. 3.12). Знайти інтенсивність відмов l(t) та середній час безвідмовної роботи елемента.

Рішення. За формулою (3.7) на ділянці (0, t o) маємо:

Відповідно до заданого закону надійності

Другий інтеграл тут дорівнює.

Що ж до першого, він обчислений приблизно (численно): ,

звідки» 0,37 +0,135 = 0,505.

приклад 3.Щільність розподілу часу безвідмовної роботи елемента стала на ділянці (t 0 , t 1) і дорівнює нулю поза цією ділянкою (рис. 3.16). Знайти інтенсивність відмов l(t).

Рішення.Маємо: , (t o

Графік інтенсивності відмов показано на рис. 3.17; при t® t 1, l(t)® ¥ .

Інтенсивністю відмов називається відношення числа зразків апаратури, що відмовили, в одиницю часу до середньої кількості зразків, що справно працюють у даний відрізок часу за умови, що відмовили зразки не відновлюються і не замінюються справними.

Ця характеристика позначається. Згідно з визначенням

де n(t) – число зразків, що відмовили, в інтервалі часу від до ; - інтервал часу, - Середня кількість зразків, що справно працюють, в інтервалі; N i - число зразків, що справно працюють, на початку інтервалу, N i +1 - число зразків, що справно працюють, в кінці інтервалу.

Вираз (1.20) є статистичним визначенням інтенсивності відмов. Для ймовірнісного представлення цієї характеристики встановимо залежність між інтенсивністю відмов, ймовірністю безвідмовної роботи та частотою відмов.

Підставимо вираз (1.20) вираз для n(t) з формул (1.11) і (1.12). Тоді отримаємо:

Враховуючи вираз (1.3) і те, що N ср = N 0 - n (t), знайдемо:

Спрямовуючи до нуля і переходячи до межі, отримаємо:

. (1.21)

Інтегруючи вираз (1.21), отримаємо:

Так як , то на підставі виразу (1.21) отримаємо:

. (1.24)

Вирази (1.22) – (1.24) встановлюють залежність між ймовірністю безвідмовної роботи, частотою відмов та інтенсивністю відмов.

Вираз (1.23) може бути ймовірним визначенням інтенсивності відмов.

Інтенсивність відмов як кількісна характеристика надійності має низку переваг. Вона є функцією часу та дозволяє наочно встановити характерні ділянки роботи апаратури. Це може дозволити суттєво підвищити надійність апаратури. Дійсно, якщо відомий час приробітку (t 1) і час кінця роботи (t 2), то можна розумно встановити час тренування апаратури до початку її екс

плуатації та її ресурс до ремонту. Це дозволяє зменшити кількість відмов під час експлуатації, тобто. призводить, зрештою, до підвищення надійності апаратури.

Інтенсивність відмов як кількісна характеристика надійності має той самий недолік, як і частота відмов: вона дозволяє досить просто характеризувати надійність апаратури лише першої відмови. Тому вона є зручною характеристикою надійності систем разового застосування та, зокрема, найпростіших елементів.

За відомою характеристикою найпростіше визначаються інші кількісні характеристики надійності.

Зазначені властивості інтенсивності відмов дозволяють її вважати основною кількісною характеристикою надійності найпростіших елементів радіоелектроніки.

ОСНОВИ РОЗРАХУНКУ РОЗРАХУНКУ НАДІЙНОСТІ ТЕХНІЧНИХ СИСТЕМ ЗА НАДІЙНІСТЬ ЇХ ЕЛЕМЕНТІВ

Цільове призначення та класифікація методів розрахунку

Розрахунки надійності - розрахунки, призначені визначення кількісних показників надійності. Вони проводяться на різних етапах розробки, створення та експлуатації об'єктів.

На етапі проектування розрахунок надійності проводиться з метою прогнозування (передбачення) очікуваної надійності проектованої системи. Таке прогнозування є необхідним для обґрунтування передбачуваного проекту, а також для вирішення організаційно-технічних питань:
- Вибору оптимального варіанту структури;
- способу резервування;
- глибини та методів контролю;
- Кількість запасних елементів;
- Періодичності профілактики.

На етапі випробувань та експлуатації розрахунки надійності проводяться для оцінки кількісних показників надійності. Такі розрахунки мають, зазвичай, характер констатації. Результати розрахунків у цьому випадку показують, якою надійністю володіли об'єкти, що пройшли випробування або використовуються в деяких умовах експлуатації. На підставі цих розрахунків розробляються заходи щодо підвищення надійності, визначаються слабкі місця об'єкта, даються оцінки його надійності та впливу на неї окремих факторів.

Численні цілі розрахунків призвели до великої їхньої різноманітності. На рис. 4.5.1 зображено основні види розрахунків.

Елементний розрахунок- Визначення показників надійності об'єкта, обумовлених надійністю його комплектуючих частин (елементів). В результаті такого розрахунку оцінюється технічний стан об'єкта (ймовірність того, що об'єкт перебуватиме у працездатному стані, середнє напрацювання на відмову тощо).

Мал. 4.5.1. Класифікація розрахунків надійності

Розрахунок функціональної надійності - визначення показників надійності виконання заданих функцій (наприклад, ймовірність того, що система очищення газу працюватиме заданий час у заданих режимах експлуатації зі збереженням усіх необхідних параметрів за показниками очищення). Оскільки такі показники залежать від низки факторів, що діють, то, як правило, розрахунок функціональної надійності більш складний, ніж елементний розрахунок.

Вибираючи на рис 4.5.1 варіанти переміщень шляхом, зазначеним стрілками, щоразу отримуємо новий вид (випадок) розрахунку.

Найпростіший розрахунок- Розрахунок, показники якого представлені на рис. 4.5.1 зліва: елементний розрахунок апаратурної надійності простих виробів, нерезервованих, без урахування відновлення працездатності за умови, що час роботи повністю підпорядкований експоненційному розподілу.

Найскладніший розрахунок- Розрахунок, показники якого представлені на рис. 4.5.1 праворуч: функціональної надійності складних резервованих систем з урахуванням відновлення їх працездатності та різних законів розподілу часу роботи та часу відновлення.
Вибір тієї чи іншої виду розрахунку надійності визначається завданням на розрахунок надійності. З завдання і подальшого вивчення роботи пристрою (за його технічним описом) складається алгоритм розрахунку надійності, тобто. послідовність етапів розрахунку та розрахункові формули.

Послідовність розрахунку систем

Послідовність розрахунку системи представлена на рис. 4.5.2. Розглянемо основні її етапи.

Мал. 4.5.2. Алгоритм розрахунку надійності

Насамперед чітко слід сформулювати завдання на розрахунок надійності. У ньому мають бути зазначені: 1) призначення системи її складу та основні відомості про функціонування; 2) показники надійності та ознаки відмов, цільове призначення розрахунків; 3) умови, в яких працює (або працюватиме) система; 4) вимоги до точності та достовірності розрахунків, до повноти обліку чинних факторів.
З вивчення завдання робиться висновок про характер майбутніх розрахунків. У разі розрахунку функціональної надійності здійснюється перехід до етапів 4-5-7, у разі розрахунку елементів (апаратурної надійності) – до етапів 3-6-7.

Під структурною схемою надійності розуміється наочне уявлення (графічне чи вигляді логічних висловів) умов, у яких працює чи працює досліджуваний об'єкт (система, пристрій, технічний комплекс тощо.). Типові структурні схеми представлені рис. 4.5.3.

Мал. 4.5.3. Типові структури розрахунку надійності

Найпростішою формою структурної схеми надійності є паралельно-послідовна структура. На ній паралельно з'єднуються елементи, спільна відмова яких призводить до відмови
У послідовний ланцюжок поєднуються такі елементи, відмова будь-якого з яких призводить до відмови об'єкта.

На рис. 4.5.3 а представлений варіант паралельно-послідовної структури. За цією структурою можна зробити наступний висновок. Об'єкт складається із п'яти частин. Відмова об'єкта настає тоді, коли відмовить елемент 5, або вузол, що складається з елементів 1-4. Вузол може відмовити тоді, коли одночасно відмовить ланцюжок, що складається з елементів 3,4 і вузол, що складається з елементів 1,2. Ланцюг 3-4 відмовляє, якщо відмовить хоча один із складових її елементів, а вузол 1,2 - якщо відмовлять обидва елементи, тобто. Елементи 1,2. Розрахунок надійності за наявності таких структур відрізняється найбільшою простотою та наочністю. Однак не завжди вдається умову працездатності подати у вигляді простої паралельно-послідовної структури. У таких випадках використовують або логічні функції, або графи та структури, що гілкуються, за якими залишаються системи рівнянь працездатності.

За підсумками структурної схеми надійності складається набір розрахункових формул. Для типових випадків розрахунку використовуються формули, наведені в довідниках з розрахунків надійності, стандартів та методичних вказівок. Перш ніж застосовувати ці формули, необхідно попередньо уважно вивчити їх істоту та сферу використання.

Розрахунок надійності, заснований на використанні паралельно-послідовних структур

Нехай деяку технічну систему D складено з n елементів (вузлів). Допустимо, надійності елементів нам відомі. Виникає питання визначення надійності системи. Вона залежить від того, яким чином елементи об'єднані в систему, яка функція кожного з них і якою мірою справна робота кожного елемента необхідна для роботи системи в цілому.

Паралельно-послідовна структура надійності складного виробу дає уявлення про зв'язок між надійністю виробу та надійністю його елементів. Розрахунок надійності ведеться послідовно - починаючи від розрахунку елементарних вузлів структури до її складніших вузлів. Наприклад, у структурі рис. 5.3 а вузол, що складається з елементів 1-2 - елементарний вузол, що складається з елементів 1-2-3-4, складний. Ця структура може бути зведена до еквівалентної, що складається з елементів 1-2-3-4 та елемента 5, з'єднаних послідовно. Розрахунок надійності в даному випадку зводиться до розрахунку окремих ділянок схеми, що складаються з паралельно та послідовно з'єднаних елементів.

Система з послідовним з'єднанням елементів

Найпростішим випадком у розрахунковому значенні є послідовне з'єднання елементів системи. У такій системі відмова будь-якого елемента рівносильна відмові системи в цілому. За аналогією з ланцюжком послідовно з'єднаних провідників, обрив кожного з яких рівносильний розмиканню всього ланцюга, ми називаємо таке з'єднання "послідовним" (рис. 4.5.4). Слід пояснити, що "послідовним" таке з'єднання елементів є лише у сенсі надійності, фізично можуть бути з'єднані як завгодно.

Мал. 4.5.4. Блок-схема системи із послідовним з'єднанням елементів

З позиції надійності, таке з'єднання означає, що відмова пристрою, що складається з цих елементів, відбувається при відмові елемента 1 або 2 елемента, або елемента 3, або елемента n. Умову працездатності можна сформулювати наступним чином: пристрій працездатний, якщо працездатний елемент 1 і елемент 2, елемент 3, і елемент n.

Виразимо надійність цієї системи через надійність її елементів. Нехай є деякий проміжок часу (0, t), протягом якого потрібно забезпечити безвідмовну роботу системи. Тоді, якщо надійність системи характеризується законом надійності Р(t), важливо знати значення цієї надійності при t=t , тобто. Р(t). Не функція, а кілька; відкинемо аргумент t і позначимо надійність системи просто Р. Аналогічно позначимо надійності окремих елементів P1, P2, P3, ..., Pn.

Для безвідмовної роботи простий системи протягом часу t потрібно щоб безвідмовно працював кожен з її елементів. Позначимо S - подія, що полягає у безвідмовній роботі системи за час t; s 1 , s 2 , s 3 , ..., s n - події, які перебувають у безвідмовній роботі відповідних елементів. Подія S є добутком (суміщенням) подій s 1 , s 2 , s 3 , ..., s n:
S = s 1 × s 2 × s 3 × ... × s n .

Припустимо, що елементи s 1 , s 2 , s 3 , ..., s n відмовляють незалежно один від одного(або, як кажуть стосовно надійності, "незалежні за відмовами", а дуже коротко "незалежні"). Тоді за правилом множення ймовірностей для незалежних подій Р(S)=P(s 1)× P(s 2)× P(s 3)× ...× P(s n) або в інших позначеннях,
Р = Р 1 × Р 2 × Р 3 × ... × Р n ., (4.5.1)
а коротше P = , (4.5.2)
тобто. надійність (імовірність працездатного стану) простої системи, складеної з незалежних за відмовами, послідовно з'єднаних елементів, дорівнює добутку надійностей її елементів.

У окремому випадку, коли всі елементи мають однакову надійність P 1 =P 2 =P 3 = ... =P n , вираз (4.5.2) набуває вигляду
Р = P n . (4.5.3)

Приклад 4.5.1. Система складається із 10 незалежних елементів, надійність кожного з яких дорівнює Р=0,95. Визначити надійність системи.

За формулою (4.5.3) Р = 0,95 10 0,6.

З прикладу видно, як різко падає надійність системи зі збільшенням у ній кількості елементів. Якщо число елементів n велике, то для забезпечення хоча б прийнятної надійності системи Р кожен елемент повинен мати дуже високу надійність.

Поставимо питання: якою надійністю Р повинен мати окремий елемент для того, щоб система, складена з n таких елементів, мала задану надійність Р?

З формули (4.5.3) отримаємо:
Р = .

Приклад 4.5.2. Проста система складається із 1000 однаково надійних, незалежних елементів. Яку надійність повинен мати кожен з них для того, щоб надійність системи була не менше 0,9?
За формулою (4.5.4) Р =; lgР = lg0,9 1/1000; Р»0,9999.

Інтенсивність відмов системи при експоненційному законі розподілу часу повністю легко визначити з виразу
l с = l 1 + l 2 + l 3 + ... + l n, (4.5.4)
тобто. як суму інтенсивностей відмов незалежних елементів. Це і природно, так як для системи, в якій елементи з'єднані послідовно, відмова елемента рівносильний відмові системи, отже всі потоки відмов окремих елементів складаються в один потік відмов системи з інтенсивністю, що дорівнює сумі інтенсивностей окремих потоків.

Формула (4.5.4) виходить із виразу
Р = P 1 P 2 P 3 ... P n = ехр(-( l 1 + l 2 + l 3 + ... + l n)). (4.5.5)
Середній час роботи вщент
Т 0 = 1 / l с. (4.5.6)

Приклад 4.5.3. Проста система S складається з трьох незалежних елементів, щільність розподілу часу безвідмовної роботи яких задана формулами:

при 0< t < 1 (рис. 4.5.5).

Мал. 4.5.5. Щільність розподілу часу безвідмовної роботи

Знайти інтенсивність відмов системи.
Рішення. Визначаємо ненадійність кожного елемента:
при 0< t < 1.

Звідси надійність елементів:
при 0< t < 1.

Інтенсивність відмов елементів (умовна щільність ймовірності відмов) - відношення f(t) до р(t):
при 0< t < 1.
Складаючи, маємо: l с = l 1 (t) + l 2 (t) + l 3 (t).

Приклад 4.5.4. Припустимо, що для роботи системи з послідовним з'єднанням елементів при повному навантаженні необхідні два різнотипних насоси, причому насоси мають постійні інтенсивності відмов, рівні l 1 =0,0001ч -1 і l 2 =0,0002ч -1 . Потрібно обчислити середній час безвідмовної роботи даної системи та ймовірність її безвідмовної роботи протягом 100 год. Передбачається, що обидва насоси починають працювати на момент часу t =0.

За допомогою формули (4.5.5) знаходимо ймовірність безвідмовної роботи Ps заданої системи протягом 100год.
P s (t) = .
P s (100)=е -(0,0001+0,0002)× 100 = 0,97045.

Використовуючи формулу (4.5.6), отримуємо

год.

На рис. 4.5.6 представлено паралельне з'єднання елементів 1, 2, 3. Це означає, що пристрій, який складається з цих елементів, переходить у стан відмови після відмови всіх елементів за умови, що всі елементи системи знаходяться під навантаженням, а відмови елементів статистично незалежні.

Мал. 4. 5.6. Блок-схема системи з паралельним з'єднанням елементів

Умову працездатності пристрою можна сформулювати наступним чином: пристрій працездатний, якщо працездатний елемент 1 або 2 елемент, або елемент 3, або елементи 1 і 2, 1; та 3, 2; та 3, 1; і 2; та 3.

Імовірність безвідмовного стану пристрою, що складається з n паралельно з'єднаних елементів визначається за теоремою складання ймовірностей спільних випадкових подій як
Р=(р 1 +р 2 +...р n)-(р 1 р 2 +р 1 р 3 +...)-(р 1 р 2 р 3 +р 1 р 2 р n +... )-...± (Р 1 р 2 р 3 ... р n). (4.5.7)
Для наведеної блок-схеми (рис. 4.5.6), що складається з трьох елементів, вираз (4.5.7) можна записати:
Р = р 1 + р 2 + р 3 - (р 1 р 2 + р 1 р 3 + р 2 р 3) + р 1 р 2 р 3 .

Стосовно проблем надійності, за правилом множення ймовірностей незалежних (у сукупності) подій, надійність пристрою з n елементів обчислюється за формулою
Р = 1-, (4.5.8)
тобто. при паралельному поєднанні незалежних (у сенсі надійності) елементів їхньої ненадійності (1-p i =q i) перемножуються.

В окремому випадку, коли надійності всіх елементів однакові, формула (4.5.8) набуває вигляду.
Р = 1 - (1-р) n. (4.5.9)

Приклад 4.5.5. Запобіжний пристрій, що забезпечує безпеку роботи системи під тиском, складається з трьох клапанів, що дублюють один одного. Надійність кожного їх р=0,9. Клапани незалежні у сенсі надійності. Знайти надійність пристрою.

Рішення. За формулою (4.5.9) Р = 1-(1-0,9) 3 = 0,999.

Інтенсивність відмов пристрою складається з n паралельно з'єднаних елементів, що володіють постійною інтенсивністю відмов l 0 визначається як

.(4.5.10)

З (4.5.10) видно, що інтенсивність відмов пристрою при n>1 залежить від t: при t=0 вона дорівнює нулю, при збільшенні t монотонно зростає до l 0 .

Якщо інтенсивності відмов елементів постійні та підпорядковані показовому закону розподілу, то вираз (4.5.8) можна записати

Р(t) = .(4.5.11)

Середній час безвідмовної роботи системи Т 0 знаходимо, інтегруючи рівняння (4.5.11) в інтервалі:

Т 0 =
=(1/ l 1 +1/ l 2 +…+1/ l n )-(1/(l 1 + l 2 )+ 1/(l 1 + l 3 )+…)+(4.5.12)
+(1/(l 1 + l 2 + l 3 )+1/(l 1 + l 2 + l 4 )+…)+(-1) n+1 ´ .

У разі коли інтенсивності відмов всіх елементів однакові, вираз (4.5.12) набуває вигляду

Т0 = .(4.5.13)

Середній час роботи також можна отримати, інтегруючи рівняння (4.5.7) в інтервалі

Приклад 4.5.6. Припустимо, що два однакових вентилятора в системі очищення газів, що відходять працюють паралельно, причому якщо один з них виходить з ладу, то інший здатний працювати при повному системному навантаженні без зміни своїх надійних характеристик.

Потрібно знайти безвідмовність системи протягом 400ч (тривалість виконання завдання) за умови, що інтенсивності відмов двигунів вентиляторів постійні і рівні l = 0,0005ч -1 відмов двигунів статистично незалежні і обидва вентилятори починають працювати в момент часу t = 0.

Рішення. У разі ідентичних елементів формула (4.5.11) набуває вигляду
Р(t) = 2еxp(-lt) - еxp(-2lt).
Оскільки l = 0,0005 год -1 та t = 400 год, то
Р (400) = 2еxp (-0,0005 '400) - еxp (-2 '0,0005 '400) = 0,9671.
Середнє напрацювання на відмову знаходимо, використовуючи (4.5.13):
Т 0 = 1/l (1/1 + 1/2) = 1/l 3/2 = 1,5/0,0005 = 3000 год.

Розглянемо найпростіший приклад резервованої системи – паралельне з'єднання резервного обладнання системи. У цій схемі все nоднакових зразків обладнання працюють одночасно, і кожен зразок обладнання має однакову інтенсивність відмов. Така картина спостерігається, наприклад, якщо всі зразки обладнання тримаються під робочою напругою (так званий гарячий резерв), а для справної роботи системи повинен бути справний хоча б один з nзразків обладнання.

У цьому варіанті резервування застосовується правило визначення надійності паралельно з'єднаних незалежних елементів. У разі, коли надійності всіх елементів однакові, надійність блоку визначається за формулою (4.5.9)

Р = 1 - (1-р) n.
Якщо система складається з nзразків резервного обладнання з різними інтенсивностями відмов, то
P(t) = 1-(1-p 1) (1-p 2)... (1-p n).(4.5.21)

Вираз (4.5.21) представляється як біномінальний розподіл. Тому ясно, що коли для роботи системи потрібно щонайменше kсправних з nзразків обладнання, то
P(t) = p i (1-p) n-i де .(4.5.22)

При постійній інтенсивності відмов l елементів цей вираз набуває вигляду

P(t) = ,(4.5.22.1)

де р = еxp(-l t).

Увімкнення резервного обладнання системи заміщенням

У цій схемі включення nоднакових зразків обладнання лише один перебуває весь час у роботі (рис. 4.5.11). Коли працюючий зразок виходить з ладу, його неодмінно відключають, і в роботу вступає один із ( n-1) Резервних (запасних) елементів. Цей процес триває доти, доки всі ( n-1) резервні зразки не будуть вичерпані.

Мал. 4.5.11. Блок-схема системи увімкнення резервного обладнання системи заміщенням
Приймемо для цієї системи такі припущення:
1. Відмова системи відбувається, якщо відмовить усі nелементів.
2. Імовірність відмови кожного зразка обладнання залежить від стану інших ( n-1) зразків (відмови статистично незалежні).
3. Відмовляти може тільки обладнання, що знаходиться в роботі, та умовна ймовірність відмови в інтервалі t, t+dt дорівнює l dt; запасне обладнання не може виходити з ладу до того, як воно буде включено до роботи.
4. Перемикачі пристрої вважаються абсолютно надійними.
5. Усі елементи ідентичні. Резервні елементи мають характеристики, як нові.

Система здатна виконувати необхідні від неї функції, якщо справний принаймні один з nзразків обладнання. Отже, у разі надійність дорівнює просто сумі ймовірностей станів системи, виключаючи стан відмови, тобто.
Р(t) = еxp(-l t) .(4.5.23)

Як приклад розглянемо систему, що складається із двох резервних зразків обладнання, що включаються заміщенням. Для того, щоб ця система працювала, в момент часу t, потрібно, щоб на момент t були справні або обидва зразки, або один з двох. Тому
Р(t) = еxp(- l t) =(exp(- l t))(1+ l t).(4.5.24)

На рис. 4.5.12 показаний графік функції Р(t) та для порівняння наведено аналогічний графік для нерезервованої системи.

Мал. 4.5. 12. Функції надійності для дубльованої системи з включенням резерву заміщенням (1) та нерезервованої системи (2)

Приклад 4.5.11. Система складається з двох ідентичних пристроїв, один з яких функціонує, а другий перебуває в режимі ненавантаженого резерву. Інтенсивності відмов обох пристроїв є постійними. Крім того, передбачається, що на початку роботи резервний пристрій має такі самі характеристики, як і новий. Потрібно обчислити можливість безвідмовної роботи системи протягом 100 год за умови, що інтенсивності відмов пристроїв l =0,001 год -1 .

Рішення. За допомогою формули (4.5.23) отримуємо Р(t) = (exp(-lt))(1+lt).

При заданих значеннях t та l ймовірність безвідмовної роботи системи становить

Р(t) = е-0,1 (1+0,1) = 0,9953.

У багатьох випадках не можна припускати, що запасне обладнання не виходить з ладу, доки його не включать у роботу. Нехай l 1 – інтенсивність відмов працюючих зразків, а l 2 – резервних або запасних (l 2 > 0). У разі дубльованої системи функція надійності має вигляд:
Р(t) = ехр(-(l 1 + l 2 )t) + ехр(- l 1 t) - ехр(-(l 1 + l 2 )t).

Цей результат для k=2 можна поширити у разі k=n. Дійсно

Р(t) = ехр(- l 1 (1+ a (n-1))t) (4.5.25)
, де a = l 2 / l 1 > 0.

Надійність резервованої системи у разі комбінацій відмов та зовнішніх впливів

У деяких випадках відмова системи виникає внаслідок певних комбінацій відмов зразків, що входять до системи обладнання та (або) через зовнішні впливи на цю систему. Розглянемо, наприклад, метеосупутник із двома передавачами інформації, один із яких є резервним або запасним. Відмова системи (втрата зв'язку із супутником) виникає при виході з ладу двох передавачів або у тих випадках, коли сонячна активність створює безперервні перешкоди радіозв'язку. Якщо інтенсивність відмов працюючого передавача дорівнює l , а j - очікувана інтенсивність появи радіоперешкод, то функція надійності системи
Р(t) = еxp(-(l + j )t) + l t еxp(-(l + j )t).(4.5.26)

Даний тип моделі також застосовується у випадках, коли резерв за схемою заміщення відсутня. Наприклад, припустимо, що нафтопровід піддається гідравлічним ударам, причому вплив незначними гідроударами відбувається з інтенсивністю l, а значними - з інтенсивністю j. Для розриву зварних швів (через накопичення пошкоджень) трубопроводу слід одержати n малих гідроударів чи один значний.

Тут стан процесу руйнування представляється кількістю ударів (або ушкоджень), причому один потужний гідроудар рівносильний n малих. Надійність або ймовірність того, що трубопровід не буде зруйнований дією мікроударів на момент часу t дорівнює:

Р(t) = еxp(-(l + j)t).(4.5.27)

Аналіз надійності систем при множинних відмових

Розглянемо метод аналізу надійності навантажених елементів у разі статистично незалежних та залежних (множинних) відмов. Слід зауважити, що цей метод може бути застосований і у разі інших моделей та розподілу ймовірностей. При розробці цього методу передбачається, що для кожного елемента системи існує певна ймовірність появи множинних відмов.

Як відомо, множинні відмови дійсно існують, і для їх урахування до відповідних формул вводиться параметр a . Цей параметр може бути визначений на основі досвіду експлуатації резервованих систем або обладнання та єчастку отка ів, які викликаються загальною причиною. Іншими словами, параметр а можна розглядати як точкову оцінку ймовірності того, що відмова деякого елемента належить до множинних відмов. У цьому вважатимуться, що інтенсивність відмов елемента має дві взаємовиключні складові, тобто. е. l = l 1 + l 2 де l 1 - постійна інтенсивність статистично незалежних відмов елемента, l 2 - інтенсивність множинних відмов резервованої системи чи елемента. Оскількиa= l 2 / l , то l 2 = a/l, і, отже, l 1 =(1- a ) l .

Наведемо формули та залежності для ймовірності безвідмовної роботи, інтенсивності відмов та середнього напрацювання на відмову у разі систем з паралельним та послідовним з'єднанням елементів, а також систем з k справними елементами з пта систем, елементи яких з'єднані за містковою схемою.

Система з паралельним з'єднанням елементів(Рис. 4.5.13) - звичайна паралельна схема, до якої послідовно приєднаний один елемент. Паралельна частина (I) схеми відображає незалежні відмови в будь-якій системі з n елементів, а послідовно з'єднаний елемент (II) - усі множинні відмови системи.

Мал. 4.5.13. Модифікована система з паралельним з'єднанням однакових елементів

Гіпотетичний елемент, що характеризується певною ймовірністю появи множинної відмови, послідовно з'єднаний з елементами, що характеризуються незалежними відмовами. Відмова гіпотетичного послідовно з'єднаного елемента (тобто множинна відмова) призводить до відмови всієї системи. Передбачається, що всі численні відмови повністю взаємопов'язані. Імовірність безвідмовної роботи такої системи визначається як R р =(1-(1-R 1) n ) R 2 де n - кількість однакових елементів; R 1 - можливість безвідмовної роботи елементів, обумовлена незалежними відмовими; R 2 - ймовірність безвідмовної роботи системи, обумовлена численними відмовами.

l 1 та l 2 вираз для ймовірності безвідмовної роботи набуває вигляду

R р (t) = (1-(1-e - (1- a ) l t) n) e- al t, (4.5.28)
де t – час.

Вплив багатьох відмов на надійність системи з паралельним з'єднанням елементів наочно демонструється за допомогою рис. 4.5.14 – 4.5.16; зі збільшенням значення параметра a ймовірність безвідмовної роботи такої системи зменшується.

Параметр a приймає значення від 0 до 1. a = 0 модифікована паралельна схема поводиться як звичайна паралельна схема, а при a =1 вона діє як один елемент, тобто всі відмови системи є множинними.

Оскільки інтенсивність відмов та середній час напрацювання на відмову будь-якої системи можна визначити за допомогою(4.3 .7 ) та формул
,
,
з урахуванням виразу дляR р(t ) отримуємо, що інтенсивність відмов (рис. 4.5.17) та середнє напрацювання на відмову модифікованої системи відповідно рівні
,(4.5.29)
де .(4.5.30)

Мал. 4.5.14. Залежність ймовірності безвідмовної роботи системи з паралельним з'єднанням двох елементів параметра a

Мал. 4.5.15. Залежність ймовірності безвідмовної роботи системи із паралельним з'єднанням трьох елементів від параметра a

Мал. 4.5.16. Залежність ймовірності безвідмовної роботи системи з паралельним з'єднанням чотирьох елементів параметра a

Мал. 4.5.17. Залежність інтенсивності відмов системи з паралельним з'єднанням чотирьох елементів параметра a

Приклад 4.5.12. Потрібно визначити можливість безвідмовної роботи системи, що складається з двох однакових паралельно з'єднаних елементів, якщо l = 0,001 год -1; a = 0,071; t=200 год.

Імовірність безвідмовної роботи системи, що складається з двох однакових паралельно з'єднаних елементів, для якої характерні численні відмови, дорівнює 0,95769. Імовірність безвідмовної роботи системи, що складається з двох паралельно з'єднаних елементів і характеризується лише незалежними відмовами, дорівнює 0,96714.

Система з k справними елементами п однакових елементіввключає гіпотетичний елемент, що відповідає множинним відмовам і з'єднаний послідовно зі звичайною системою типу k з n, для якої характерні незалежні відмови. Відмова, що відображається цим гіпотетичним елементом викликає відмову всієї системи. Імовірність безвідмовної роботи модифікованої системи з k справними елементами з n можна обчислити за формулою

,(4.5.31)

де R 1 - ймовірність безвідмовної роботи елемента, котрому характерні незалежні відмови; R 2 - ймовірність безвідмовної роботи системи з k справними елементами з n для якої характерні множинні відмови.

За постійних інтенсивностей l 1 та l 2 отриманий вираз набуває вигляду

.(4.5.32)

Залежність можливості безвідмовної роботи від параметра a для систем з двома справними елементами з трьох і двома та трьома справними елементами з чотирьох показані на рис. 4.5.18 – 4.5.20. При збільшенні параметра a ймовірність безвідмовної роботи системи зменшується на невелику величину(l t).

Мал. 4.5.18. Імовірність безвідмовної роботи системи, що зберігає працездатність при відмові двох n елементів

Мал. 4.5.19. Імовірність безвідмовної роботи системи, що зберігає працездатність при відмові двох із чотирьох елементів

Мал. 4.5.20. Імовірність безвідмовної роботи системи, що зберігає працездатність при відмові трьох із чотирьох елементів

Інтенсивність відмов системи з k справними елементами з n та середнє напрацювання на відмову можуть бути визначені таким чином:

,(4.5.33)

де h = (1-e - (1-b) l t),

q = e (ra-r-a) l t

.(4.5.34)

Приклад 4.5.13. Потрібно визначити можливість безвідмовної роботи системи з двома справними елементами з трьох, якщо l = 0,0005 год - 1; a = 0,3; t = 200 год.

За допомогою виразу для R kn знаходимо, що можливість безвідмовної роботи системи, у якій відбувалися множинні відмови, становить 0,95772. Зазначимо, що з системи з незалежними відмовими ця ймовірність дорівнює 0,97455.

Система з паралельно-послідовним з'єднанням елементіввідповідає системі, що складається з однакових елементів, для яких характерні незалежні відмови, та ряду гілок, що містять уявні елементи, для яких характерні множинні відмови. Імовірність безвідмовної роботи модифікованої системи з паралельно-послідовною (змішаною) сполукою елементів можна визначити за допомогою формули R ps =(1 - (1-) n ) R 2 де m - число однакових елементів у відгалуженні, n - число однакових відгалужень.

За постійних інтенсивностей відмов l 1 та l 2 цей вираз набуває вигляду

R рs (t) = e - bl t. (4.5.39)

(тут А = (1-a) l ). Залежність безвідмовної роботи системи R b (t) для різних параметрів a показано на рис. 4.5.21. При малих значеннях l t ймовірність безвідмовної роботи системи з елементами, з'єднаними за містковою схемою, зменшується зі збільшенням параметра a.

Мал. 4.5.21. Залежність ймовірності безвідмовної роботи системи, елементи якої з'єднані за місточковою схемою, від параметра a

Інтенсивність відмов системи, що розглядається, і середнє напрацювання на відмову можуть бути визначені наступним чином:
l + .(4.5.41)

Приклад 4.5.14. Потрібно обчислити ймовірність безвідмовної роботи протягом 200год для системи з однаковими елементами, з'єднаними за містковою схемою, якщо l =0,0005 год - 1 та a =0,3.

Використовуючи вираз для R b (t), знаходимо, що ймовірність безвідмовної роботи системи зі з'єднанням елементів за місточковою схемою становить приблизно 0,96; для системи з незалежними відмовами (тобто при a =0) ця ймовірність дорівнює 0,984.

Модель надійності системи з множинними відмовами

Для аналізу надійності системи, що складається з двох неоднакових елементів, для яких характерні множинні відмови, розглянемо таку модель, при побудові якої були зроблені такі припущення та прийняті такі позначення:

Припущення (1) множинні відмови та відмови інших типів статистично незалежні; (2) множинні відмови пов'язані з виходом з ладу не менше двох елементів; (3) при відмові одного з навантажених резервованих елементів, що відмовив елемент відновлюється, при відмові обох елементів відновлюється вся система; (4) інтенсивність множинних відмов та інтенсивність відновлень постійні.

Позначення
P 0 (t) - ймовірність того, що в момент часу t обидва елементи функціонують;
P 1 (t) - ймовірність того, що в момент часу t елемент 1 вийшов із ладу, а елемент 2 функціонує;
P 2 (t) - ймовірність того, що в момент часу t елемент 2 вийшов з ладу, а елемент 1 функціонує;
P 3 (t) - ймовірність того, що в момент часу t елементи 1 та 2 вийшли з ладу;
P 4 (t) - ймовірність того, що в момент часу t є спеціалісти та запасні елементи для відновлення обох елементів;
a - постійний коефіцієнт, що характеризує наявність фахівців та запасних елементів;
b - постійна інтенсивність множинних відмов;
t – час.

Розглянемо три можливі випадки відновлення елементів при їхній одночасній відмові:

Випадок 1. Запасні елементи, ремонтний інструмент та кваліфіковані фахівці є для відновлення обох елементів, тобто елементи можуть бути відновлені одночасно.

Випадок 2 Запасні елементи, ремонтний інструмент та кваліфіковані спеціалісти є лише для відновлення одного елемента, тобто може бути відновлений лише один елемент.

Випадок 3 . Запасні елементи, ремонтний інструмент та кваліфіковані фахівці відсутні, крім того, може існувати черга на ремонтне обслуговування.

Математична модель системи, зображеної на рис. 4.5.22 являє собою таку систему диференціальних рівнянь першого порядку:

P" 0(t) = - ,
P" 1 (t) = -( l 2 + m 1 )P 1 (t)+P 3 (t)

Мал. 4.5.22. Модель готовності системи у разі множинних відмов

Прирівнюючи в отриманих рівняннях похідні за часом нулю, для режиму, що встановився, отримуємо

- ,
-( l 2 + m 1 )P 1 +P 3 m 2 +P 0 l 1 = 0,

-(l 1 + m 2 )P 2 +P 0 l 2 +P 3 m 1 = 0,

P 2 = ,

P 3 = ,

P 4 = .

Стаціонарний коефіцієнт готовності може бути обчислений за формулою

Доступність

ЛЕКЦІЯ №14. Забезпечення доступності

Ефективність послуг. Ефективність послуги визначається в термінах максимального часу обслуговування запиту, кількості користувачів, що підтримуються, тощо. Потрібно, щоб ефективність не опускалася нижче заздалегідь встановленого порога.
Час недоступності. Якщо ефективність інформаційної послуги не задовольняє обмеженням, послуга вважається недоступною. Потрібно, щоб максимальна тривалість періоду недоступності та сумарний час недоступності за певний період (місяць, рік) не перевищували заздалегідь заданих меж.

Завдання забезпечення високої доступності необхідно вирішувати для сучасних конфігурацій, побудованих у технологіїклієнт/сервер. Це означає, що захист потребує весь ланцюжок – від користувачів (можливо, віддалених) до критично важливих серверів (у тому числі серверів безпеки).

Основні загрози доступності було розглянуто нами раніше.

Відповідно до ГОСТ 27.002, під відмовою розуміється подія, що полягає у порушенні працездатності виробу. У даній роботі виріб – це інформаційна система або її компонент.

У найпростішому випадку можна вважати, що відмови будь-якого компонента складового виробу ведуть до загальної відмови, а розподіл відмов у часі являє собою простий потік пуасонівський подій. У такому разі вводять поняття інтенсивності відмов та середнього часу напрацювання на відмову, які пов'язані між собою співвідношенням

де – номер компонента,

- Інтенсивність відмов,

- Середній час напрацювання на відмову.

Інтенсивності відмов незалежних компонентів складаються:

а середній час напрацювання на відмову для складеного виробу визначається співвідношенням

Пуассонівська модель дозволяє обґрунтувати ще одне дуже важливе положення, що полягає в тому, що емпіричний підхід до побудови систем високої доступності не може бути реалізований за прийнятний час. При традиційному циклі тестування/налагодження програмної системи за оптимістичними оцінками кожне виправлення помилки призводить до експоненційного зменшення (приблизно на половину десяткового порядку) інтенсивності відмов. Звідси випливає, що для того, щоб на досвіді переконатися в досягненні необхідного рівня доступності, незалежно від технології тестування і налагодження, що застосовується, доведеться витратити час, практично рівний середньому часу напрацювання на відмову. Наприклад, для досягнення середнього часу напрацювання на відмову 10 5 годин потрібно більше 10 4,5 годин, що становить понад три роки. Отже, потрібні інші методи побудови систем високої доступності, методи, ефективність яких доведена аналітично або за більш ніж п'ятдесят років розвитку обчислювальної техніки та програмування.

Як міру доступності можна прийняти ймовірність прийнятності ефективності послуг, що надаються інформаційною системою, протягом усього розглянутого відрізка часу. Чим більший запас ефективності має система, тим вище її доступність.

За наявності надмірності у конфігурації системи ймовірність того, що в аналізований проміжок часу ефективність інформаційних сервісів не опуститься нижче за допустиму межу, залежить не тільки від ймовірності відмови компонентів, а й від часу, протягом якого вони залишаються непрацездатними, оскільки при цьому сумарна ефективність падає, і кожна наступна відмова може стати фатальною. Щоб максимально збільшити доступність системи необхідно мінімізувати час непрацездатності кожного компонента. Крім того, слід враховувати, що взагалі кажучи, ремонтні роботи можуть вимагати зниження ефективності або навіть тимчасового відключення працездатних компонентів; Такий вплив також необхідно мінімізувати.

Декілька термінологічних зауважень. Зазвичай у літературі з теорії надійності замість доступності говорять про готовність (зокрема про високу готовність). Ми віддали перевагу терміну "доступність", щоб підкреслити, що інформаційний сервісповинен бути не просто "готовий" сам по собі, але доступний для своїх користувачів в умовах, коли ситуації недоступності можуть викликатися причинами, що на перший погляд не мають прямого відношення до сервісу(Приклад - відсутність консультаційного обслуговування).

Далі замість часу недоступності зазвичай говорять про коефіцієнт готовності. Нам хотілося звернути увагу на два показники - тривалість одноразового простою і сумарну тривалість простоїв, тому ми віддали перевагу терміну "час недоступності" як більш ємний.