“ Обеспечение высокой доступности ”

Цель работы:

Изучить два вида средств поддержания высокой доступнос­ти: обеспечение отказоустойчивости (нейтрализация отказов, живу­честь) и обеспечение безопасного и быстрого восстановления после отказов (обслуживаемость). Получить навык работы по обеспечению высокой доступности.

1. Теоретическое введение

1.1. Доступность

1.11. Основные понятия

Информационная система предоставляет своим пользователям определенный набор услуг (сервисов). Говорят, что обеспечен нужный уровень доступности этих сервисов, если следующие показатели находятся в заданных пределах:

Эффективность услуг. Эффективность услуги определяется в терминах максимального времени обслуживания запроса, количества поддерживаемых пользователей и т.п. Требуется, чтобы эффективность не опускалась ниже заранее установленного порога.

Время недоступности. Если эффективность информационной услуги не удовлетворяет наложенным ограничениям, услуга считается недоступной. Требуется, чтобы максимальная продолжительность периода недоступности и суммарное время недоступности за некоторой период (месяц, год) не превышали заранее заданных пределов.

В сущности, требуется, чтобы информационная система почти всегда работала с нужной эффективностью. Для некоторых критически важных систем (например, систем управления) время недоступности должно быть нулевым, без всяких "почти". В таком случае говорят о вероятности возникновения ситуации недоступности и требуют, чтобы эта вероятность не превышала заданной величины. Для решения данной задачи создавались и создаются специальные отказоустойчивые системы, стоимость которых, как правило, весьма высока.

К подавляющему большинству коммерческих систем предъявляются менее жесткие требования, однако современная деловая жизнь и здесь накладывает достаточно суровые ограничения, когда число обслуживаемых пользователей может измеряться тысячами, время ответа не должно превышать нескольких секунд, а время недоступности - нескольких часов в год.

Задачу обеспечения высокой доступности необходимо решать для современных конфигураций, построенных в технологии клиент/сервер. Это означает, что в защите нуждается вся цепочка - от пользователей (возможно, удаленных) до критически важных серверов (в том числе серверов безопасности).

Основные угрозы доступности были рассмотрены нами ранее.

В соответствии с ГОСТ 27.002, под отказом понимается событие, которое заключается в нарушении работоспособности изделия. В контексте данной работы изделие - это информационная система или ее компонент.

В простейшем случае можно считать, что отказы любого компонента составного изделия ведут к общему отказу, а распределение отказов во времени представляет собой простой пуассоновский поток событий. В таком случае вводят понятие интенсивности отказов и среднего времени наработки на отказ, которые связаны между собой соотношением

i - номер компонента,

Интенсивность отказов,

Среднее время наработки на отказ.

Интенсивности отказов независимых компонентов складываются:

а среднее время наработки на отказ для составного изделия задается соотношением

Уже эти простейшие выкладки показывают, что если существует компонент, интенсивность отказов которого много больше, чем у остальных, то именно он определяет среднее время наработки на отказ всей информационной системы. Это является теоретическим обоснованием принципа первоочередного укрепления самого слабого звена.

Пуассоновская модель позволяет обосновать еще одно очень важное положение, состоящее в том, что эмпирический подход к построению систем высокой доступности не может быть реализован за приемлемое время. При традиционном цикле тестирования/отладки программной системы по оптимистическим оценкам каждое исправление ошибки приводит к экспоненциальному убыванию (примерно на половину десятичного порядка) интенсивности отказов. Отсюда следует, что для того, чтобы на опыте убедиться в достижении необходимого уровня доступности, независимо от применяемой технологии тестирования и отладки, придется потратить время, практически равное среднему времени наработки на отказ. Например, для достижения среднего времени наработки на отказ 105 часов потребуется более 104,5 часов, что составляет более трех лет. Значит, нужны иные методы построения систем высокой доступности, методы, эффективность которых доказана аналитически или практически за более чем пятьдесят лет развития вычислительной техники и программирования.

Пуассоновская модель применима в тех случаях, когда информационная система содержит одиночные точки отказа, то есть компоненты, выход которых из строя ведет к отказу всей системы. Для исследования систем с резервированием применяется иной формализм.

В соответствии с постановкой задачи будем считать, что существует количественная мера эффективности предоставляемых изделием информационных услуг. В таком случае вводятся понятия показателей эффективности отдельных элементов и эффективности функционирования всей сложной системы.

В качестве меры доступности можно принять вероятность приемлемости эффективности услуг, предоставляемых информационной системой, на всем протяжении рассматриваемого отрезка времени. Чем большим запасом эффективности располагает наличии избыточности в конфигурации системы вероятность того, что в система, тем выше ее доступность.

При рассматриваемый промежуток времени эффективность информационных сервисов не опустится ниже допустимого предела, зависит не только от вероятности отказа компонентов, но и от времени, в течение которого они остаются неработоспособными, поскольку при этом суммарная эффективность падает, и каждый следующий отказ может стать фатальным. Чтобы максимально увеличить доступность системы, необходимо минимизировать время неработоспособности каждого компонента. Кроме того, следует учитывать, что, вообще говоря, ремонтные работы могут потребовать понижения эффективности или даже временного отключения работоспособных компонентов; такого рода влияние также необходимо минимизировать.

Несколько терминологических замечаний. Обычно в литературе по теории надежности вместо доступности говорят о готовности (в том числе о высокой готовности). Мы предпочли термин "доступность", чтобы подчеркнуть, что информационный сервис должен быть не просто "готов" сам по себе, но доступен для своих пользователей в условиях, когда ситуации недоступности могут вызываться причинами, на первый взгляд не имеющими прямого отношения к сервису (пример - отсутствие консультационного обслуживания).

Далее, вместо времени недоступности обычно говорят о коэффициенте готовности . Нам хотелось обратить внимание на два показателя - длительность однократного простоя и суммарную продолжительность простоев, поэтому мы предпочли термин "время недоступности" как более емкий.

При рассмотрении законов распределения отказов было выяснено, что интенсивности отказов элементов могут быть либо постоянными, либо меняться в зависимости от времени эксплуатации. Для систем длительного использования, к которым относятся все транспортные системы, предусматри­вается профилактическое обслуживание, что практически исключает влияние износовых отказов, поэтому возникают только внезапные отказы.

Это в значительной мере упрощает расчет надежности. Однако сложные системы состоят из множества элементов, соединенных различным способом. Когда система находится эксплуатации, некоторые ее элементы работают непрерыв­но, другие - только в определенные промежутки времени, третьи - выполняют лишь короткие операции включения или подключения. Следовательно, в течение заданного промежут­ка времени лишь у части элементов время работы совпадает со временем работы системы, другие же работают более ко­роткое время.

В этом случае для расчета наработки заданной системы рассматривается только время, в течение которого элемент включен; такой подход возможен, если допустить, что в те­чение периодов, когда элементы не включены в работу систе­мы, их интенсивность отказов равна нулю.

С точки зрения надежности наиболее распространена схе­ма последовательного соединения элементов. В этом случае при расчете используется правило произведения надежностей:

где R (t i) - надежность i-го элемента, который включается на t i часов из общего времени работы системы t ч .

Для расчетов может быть использован так называемый

коэффициент занятости, равный

т. е. отношению вре­мени работы элемента ко времени работы системы. Практи­ческий смысл этого коэффициента состоит в том, что для элемента с известной интенсивностью отказов интенсив­ность отказов в системе с учетом времени работы будет равна

Такой же подход может быть использован по отношению к отдельным узлам системы.

Другим фактором, который следует учитывать при ана­лизе надежности системы, является уровень рабочей нагруз­ки, с которой элементы работают в системе, так как он в значительной мере определяет величину ожидаемой интен­сивности отказов.

Интенсивность отказов элементов существенно меняется даже при небольших изменениях рабочей нагрузки, воздей­ствующей на них.

В данном случае основное затруднение при расчете вызы­вается многообразием факторов, определяющий как понятие прочности элемента, так и понятие нагрузки.

Прочность элемента объединяет его сопротивление меха­ническим нагрузкам, вибрациям, давлению, ускорению и т. д. К категории прочности относятся также сопротивления тепло­вым нагрузкам, электрическая прочность, влагостойкость, стой­кость против коррозии и ряд других свойств. Поэтому проч­ность не может быть выражена некоторой числовой величиной и нет единиц измерения прочности, учитывающих все эти фак­торы. Также многообразны проявления нагрузки. Поэтому для оценки прочности и нагрузки используются статистические методы, с помощью которых определяется наблюдаемый эффект отказа элемента во времени под действием ряда на­грузок или под действием преимущественной нагрузки.

Элементы проектируются так, чтобы они могли выдержать номинальные нагрузки. При эксплуатации элементов в усло­виях номинальных нагрузок наблюдается определенная за­кономерность интенсивности их внезапных отказов. Эта ин­тенсивность называется номинальной интенсивностью вне­запных отказов элементов, и она является исходной величи­ной для определения действительной интенсивности внезап­ных отказов реального элемента (с учетом времени работы и рабочей нагрузки).

Для реального элемента или системы в настоящее время учитываются три основных воздействия окружающей среды: механические, тепловые и рабочие нагрузки.

Влияние механических воздействий учитывается коэффи­циентом , величина которого определяется местом уста­новки аппаратуры, и может быть принята равной:

для лабораторий и благоустроенных помещений - 1

, стационарных наземных установок - 10

, железнодорожного подвижного состава - 30.

Номинальная интенсивность внезапных отказов, выбран­ная по

табл. 3, должна быть увеличена в раз в зависи­мости от места установки аппарата в эксплуатации.

Кривые рис. 7 иллюстрируют общий характер изменения интенсивности внезапных отказов электрических и электронных элементов в зависимости от температуры нагрева и ве­личины рабочей нагрузки.

Интенсивность внезапных отказов с увеличением рабочей нагрузки,как видно из приведенных кривых, возрастает по логарифмическому закону. Из этих кривых также видно, каким образом можно уменьшить интенсивность внезапных отказов элементов даже до величины, меньшей номинального значения. Существенное сокращение интенсивности внезап­ных отказов достигается в том случае, если элементы рабо­тают при нагрузках ниже номинальных значений.

Рис. 16

Рис. 7 может быть использован при проведении ориенти­ровочных (учебных) расчетов надежности любых электрических и электронных элементов. Номинальному режиму в этом случае соответствует температура 80°С и 100% рабочей на­грузки.

Если расчетные параметры элемента отличаются от но­минальных значений, то по кривым рис. 7 может быть опре­делено увеличение для выбранных параметров и получено отношение на которое и умножается величина интен­сивности отказов рассматриваемого элемента.

Высокая надежность может быть заложена при проекти­ровании элементов и систем. Для этого необходимо стре­миться к уменьшению температуры элементов при работе и применять элементы с повышенными номинальными парамет­рами, что равносильно снижению рабочих нагрузок.

Увеличение стоимости изготовления изделия в любом слу­чае окупается за счет сокращения эксплуатационных рас­ходов.

Интенсивность отказов для элементов электрических це­-
пей в зависимости от нагрузки может быть определена так­
же по эмпирическим формулам. В частности, в зависимости
от рабочего напряжения и температуры

Табличное значение при номинальном напряжении и температуре t i .

- интенсивность отказов при рабочем напряжении U 2 и температуре t 2 .

Предполагается, что механические воздействия остаются на прежнем уровне. В зависимости от вида и типа элементов значение п, меняется от 4 до 10, а значение К в пределах 1,02 1,15.

При определении реальной интенсивности отказов эле­ментов необходимо хорошо представлять величину ожидае­мых уровней нагрузок, при которых элементы будут рабо­тать, рассчитать величины электрических и тепловых пара­метров с учетом переходных режимов. Правильное выявле­ние нагрузок, воздействующих на отдельные элементы, при­водит к значительному повышению точности расчета надеж­ности.

При расчете надежности с учетом износовых отказов не­обходимо также учитывать условие эксплуатации. Значения долговечности М, приведенные в табл. 3, так же как и относятся к номинальному режиму нагрузки и лабора­торным условиям. Все элементы, работающие в других условиях, имеют долговечность, отличающуюся от ной на величину К Величина К может быть принята равной:

для лаборатории - 1,0

, наземных установок - 0,3

, железнодорожного подвижного состава - 0,17

Небольшие колебания коэффициента К возможны для аппаратуры различного назначения.

Для определения ожидаемой долговечности М необхо­димо среднюю (номинальную) долговечность, определенную по таблице, умножить на коэффициент К .

При отсутствии материалов, необходимых для определе­ния интенсивности отказов в зависимости от уровней нагруз­ки, может быть использован коэффициентный метод расчета интенсивности отказов.

Сущность коэффициентного метода расчета сводится к тому, что при расчете критериев надежности аппаратуры используются коэффициенты, связывающие интенсивность отказов элементов различных типов с интенсивностью отказов элемента, характеристики надежности которого достоверно известны.

Предполагается, что справедлив экспоненциальный закон надежности, а интенсивности отказов элементов всех типов изменяются в зависимости от условий эксплуатации в одина­ковой степени. Последнее допущение означает, что при раз­личных условиях эксплуатации справедливо соотношение

Интенсивность отказов элемента, количественные ха­рактеристики которого известны;

Коэффициент надежности i-го элемента. Элемент с интенсивностью отказов ^ 0 называется основным элементом расчета системы. При вычислении коэффи­циентов K i за основной элемент расчета системы прини­мается проволочное_нерегулируемое сопротивление. В данном случае для расчета надежности системы не требуется знать интенсивность отказа элементов всех типов. Достаточно знать лишь коэффициенты надежности K i , число элементов в схе­ме и интенсивность отказов основного элемента расчета Так как K i имеет разброс значений, то надежность прове­ряется как для К min , так и для К мах. Значения K i , опреде­ленные на основании анализа данных по интенсивностям отказов, для аппаратуры различного назначения приведены в табл. 5.

Таблица 5

Интенсивность отказов основного элемента расчета (в дан­ном случае сопротивления) следует определять как средне­взвешенное значение интенсивностей отказов сопротивлений, применяемых в проектируемой системе, т. е.

И N R - интенсивность отказов и количество сопро­тивлений i-го типа и номинала;

т - число типов и номиналов сопротивлений.

Построение результирующей зависимости надежности си­стемы от времени эксплуатации желательно производить как для значений К min , так и для К мах

Располагая сведениями о надежности отдельных элемен­тов, входящих в систему, можно дать общую оценку надежности системы и определить блоки и узлы, требующие даль­нейшей доработки. Для этого исследуемая система разби­вается на узлы по конструктивному либо смысловому при­знаку (составляется структурная схема). Для каждого вы­бранного узла определяется надежность (узлы, имеющие меньшую надежность требуют доработки и усовершенствова­ния в первую очередь).

При сравнении надежности узлов, а тем более различных вариантов систем, следует помнить, что абсолютная величина надежности не отражает поведения системы в эксплуатации и ее эффективности. Одна и та же величина надежности си­стемы может быть достигнута в одном случае за счет основ­ных элементов, ремонт и смена которых требует значительного времени и больших материальных затрат (для электровоза-отстранение от поездной работы), в другом случае это мелкие элементы, смена которых производится обслужи­вающим персоналом без отстранения машины от работы. Поэтому для сравнительного анализа проектируемых систем рекомендуется сравнивать надежности элементов, аналогич­ных по своему значению и последствиям, возникающим в ре­зультате их отказов.

При ориентировочных расчетах надежности можно поль­зоваться данными опыта эксплуатации аналогичных систем. что в какой-то мере учитывает условия эксплуатации. Расчет в этом случае может осуществляться двумя путями: по сред­нему уровню надежности однотипной аппаратуры или покоэффициенту пересчета к реальным условиям эксплуатации.

В основе расчета по среднему уровню надежности лежит предположение, что проектируемой аппаратуры и эксплуа­тируемого образца равны. Это можно допустить при одина­ковых элементах, аналогичных системах и одинаковом со­отношении элементов в системе.

Сущность метода состоит в том, что

И - число элементов и наработка на отказ аппаратуры - образца;

И - то же проектируемой аппаратуры. Из данного соотноше-ния легко определить наработку на отказ для проектируемой ап-паратуры:

Достоинство метода - простота. Недостатки - отсутствие, как правило, образца эксплуатируемой аппаратуры, пригод­ного для сравнения с проектируемым устройством.

В основе расчета по второму способу лежит определение коэффициента пересчета, учитывающего условия эксплуата­ции аналогичной аппаратуры. Для его определения выби­рается аналогичная система, эксплуатируемая в заданных условиях. Остальные требования могут не соблюдаться. Для выбранной эксплуатируемой системы определяются показатели надежности с использованием данных табл. 3, отдельно определяются те же показатели по эксплуатационным данным.

Коэффициент пересчета определяется как отношение

- наработка на отказ по данным эксплуатации;

Т оз - наработка на отказ по расчету.

Для проектируемой аппаратуры расчет показателей на­дежности производится с использованием тех же табличных данных, что идля эксплуатируемой системы. После чего полученные результаты умножаются на К э.

Коэффициент К э учитывает реальные условия эксплуатации,- профилактические ремонты и их качество, замены де­талей между ремонтами, квалификацию обслуживающего персонала, состояние оборудования депо и т. д., чего нельзя предусмотреть при других способах расчета. Значения К э могут быть и больше единицы.

Любой из рассмотренных методов расчета может быть произведен на заданную надежность, т. е. методом от про­тивного - от надежности системы и наработки на отказ к выбору показателей составляющих элементов.

Интенсивность отказов - отношение плотности распределения вероятности отказов к вероятности безотказной работы объекта:

где - плотность вероятности отказов и - вероятность безотказной работы .

Простыми словами, интенсивность отказов выражает шанс отказать в ближайший момент времени объекта (например, прибора), который уже проработал без отказов определённое время.

Статистически интенсивность отказов есть отношение числа отказавших образцов техники в единицу времени к среднему числу образцов, исправно работающих на интервале :

Где - среднее число исправно работающих образцов

на интервале .

Соотношение (1) для малых следует непосредственно из формулы вероятности безотказной работы (3)

и формулы плотности распределения безотказной работы (частоты отказов) (4)

На основе определения интенсивности отказов (1) имеет место равенство:

Интегрируя (5), получим:

Интенсивность отказов является основным показателем надёжности элементов сложных систем. Это объясняется следующими обстоятельствами:

• надёжность многих элементов можно оценить одним числом, т.к. интенсивность отказа элементов - величина постоянная;

• интенсивность отказов нетрудно получить экспериментально.

Опыт эксплуатации сложных систем показывает, что изменение интенсивности отказов большинства количества объектов описывается - образной кривой.

Время можно условно разделить на три характерных участка: 1. Период приработки. 2. Период нормальной эксплуатации. 3. Период старения объекта.

Период приработки объекта имеет повышенную интенсивность отказов, вызванную приработочными отказами, обусловленными дефектами производства, монтажа и наладки. Иногда с окончанием этого периода связывают гарантийное обслуживание объекта, когда устранение отказов производится изготовителем. В период нормальной эксплуатации интенсивность отказов практически остаётся постоянной, при этом отказы носят слуайный характер и появляются внезапно, прежде всего из-за случайных изменений нагрузки, несоблюдения условий эксплуатации, неблагоприятных внешних факторов и т.п. Именно этот период соответствует основному времени эксплуатации объекта. Возрастание интенсивности отказов относится к периоду старения объекта и вызвано увеличением числа отказов из-за износа, старения и других причин, связанных с длительной эксплуатацией. То есть вероятность отказа элемента, дожившего для момента в некотором последующем промежутке времени зависит от значений только на этом промежутке, а следовательно интенсивность отказов - локальный показатель надёжности элемента на данном промежутке времени.

ОСНОВЫ РАСЧЕТА РАСЧЕТА НАДЕЖНОСТИ ТЕХНИЧЕСКИХ СИСТЕМ ПО НАДЕЖНОСТИ ИХ ЭЛЕМЕНТОВ

Целевое назначение и классификация методов расчета

Расчеты надежности - расчеты, предназначенные для определения количественных показателей надежности. Они проводятся на различных этапах разработки, создания и эксплуатации объектов.

На этапе проектирования расчет надежности производится с целью прогнозирования (предсказания) ожидаемой надежности проектируемой системы. Такое прогнозирование необходимо для обоснования предполагаемого проекта, а также для решения организационно-технических вопросов:
- выбора оптимального варианта структуры;
- способа резервирования;
- глубины и методов контроля;
- количества запасных элементов;
- периодичности профилактики.

На этапе испытаний и эксплуатации расчеты надежности проводятся для оценки количественных показателей надежности. Такие расчеты носят, как правило, характер констатации. Результаты расчетов в этом случае показывают, какой надежностью обладали объекты, прошедшие испытания или используемые в некоторых условиях эксплуатации. На основании этих расчетов разрабатываются меры по повышению надежности, определяются слабые места объекта, даются оценки его надежности и влияния на нее отдельных факторов.

Многочисленные цели расчетов привели к большому их разнообразию. На рис. 4.5.1 изображены основные виды расчетов.

Элементный расчет - определение показателей надежности объекта, обусловленных надежностью его комплектующих частей (элементов). В результате такого расчета оценивается техническое состояние объекта (вероятность того, что объект будет находиться в работоспособном состоянии, средняя наработка на отказ и т.п.).

Рис. 4.5.1. Классификация расчетов надежности

Расчет функциональной надежности - определение показателей надежности выполнения заданных функций (например, вероятность того, что система очистки газа будет работать заданное время, в заданных режимах эксплуатации с сохранением всех необходимых параметров по показателям очистки). Поскольку такие показатели зависят от ряда действующих факторов, то, как правило, расчет функциональной надежности более сложен, чем элементный расчет.

Выбирая на рис 4.5.1 варианты перемещений по пути, указанному стрелками, каждый раз получаем новый вид (случай) расчета.

Самый простой расчет - расчет, характеристики которого представлены на рис. 4.5.1 слева: элементный расчет аппаратурной надежности простых изделий, нерезервированных, без учета восстановлений работоспособности при условии, что время работы до отказа подчинено экспоненциальному распределению.

Самый сложный расчет - расчет, характеристики которого представлены на рис. 4.5.1 справа: функциональной надежности сложных резервированных систем с учетом восстановления их работоспособности и различных законов распределения времени работы и времени восстановления.
Выбор того или иного вида расчета надежности определяется заданием на расчет надежности. На основании задания и последующего изучения работы устройства (по его техническому описанию) составляется алгоритм расчета надежности, т.е. последовательность этапов расчета и расчетные формулы.

Последовательность расчета систем

Последовательность расчета системы представлена на рис. 4.5.2. Рассмотрим основные ее этапы.

Рис. 4.5.2. Алгоритм расчета надежности

Прежде всего четко следует сформулировать задание на расчет надежности. В нем должны быть указаны: 1) назначение системы ее состав и основные сведения о функционировании; 2) показатели надежности и признаки отказов, целевое назначение расчетов; 3) условия, в которых работает (или будет работать) система; 4) требования к точности и достоверности расчетов, к полноте учета действующих факторов.
На основании изучения задания делается вывод о характере предстоящих расчетов. В случае расчета функциональной надежности осуществляется переход к этапам 4-5-7, в случае расчета элементов (аппаратурной надежности) - к этапам 3-6-7.

Под структурной схемой надежности понимается наглядное представление (графическое или в виде логических выражений) условий, при которых работает или не работает исследуемый объект (система, устройство, технический комплекс и т.д.). Типовые структурные схемы представлены на рис. 4.5.3.

Рис. 4.5.3. Типовые структуры расчета надежности

Простейшей формой структурной схемы надежности является параллельно-последовательная структура. На ней параллельно соединяются элементы, совместный отказ которых приводит к отказу
В последовательную цепочку соединяются такие элементы, отказ любого из которых приводит к отказу объекта.

На рис. 4.5.3,а представлен вариант параллельно-последовательной структуры. По этой структуре можно сделать следующее заключение. Объект состоит из пяти частей. Отказ объекта наступает тогда, когда откажет или элемент 5, или узел, состоящий из элементов 1-4. Узел может отказать тогда, когда одновременно откажет цепочка, состоящая из элементов 3,4 и узел, состоящий из элементов 1,2. Цепь 3-4 отказывает, если откажет хотя бы один из составляющих ее элементов, а узел 1,2 - если откажут оба элемента, т.е. элементы 1,2. Расчет надежности при наличии таких структур отличается наибольшей простотой и наглядностью. Однако не всегда удается условие работоспособности представить в виде простой параллельно-последовательной структуры. В таких случаях используют или логические функции, или графы и ветвящиеся структуры, по которым оставляются системы уравнений работоспособности.

На основе структурной схемы надежности составляется набор расчетных формул. Для типовых случаев расчета используются формулы, приведенные в справочниках по расчетам надежности, стандартах и методических указаниях. Прежде чем применять эти формулы, необходимо предварительно внимательно изучить их существо и области использования.

Расчет надежности, основанный на использовании параллельно-последовательных структур

Пусть некоторая техническая система D составлена из n элементов (узлов). Допустим, надежности элементов нам известны. Возникает вопрос об определении надежности системы. Она зависит от того, каким образом элементы объединены в систему, какова функция каждого из них и в какой мере исправная работа каждого элемента необходима для работы системы в целом.

Параллельно-последовательная структура надежности сложного изделия дает представление о связи между надежностью изделия и надежностью его элементов. Расчет надежности ведется последовательно - начиная от расчета элементарных узлов структуры к ее все более сложным узлам. Например, в структуре рис. 5.3,а узел, состоящий из элементов 1-2 - элементарный узел, состоящий из элементов 1-2-3-4, сложный. Эта структура может быть сведена к эквивалентной, состоящей из элементов 1-2-3-4 и элемента 5, соединенных последовательно. Расчет надежности в данном случае сводится к расчету отдельных участков схемы, состоящих из параллельно и последовательно соединенных элементов.

Система с последовательным соединением элементов

Самым простым случаем в расчетном смысле является последовательное соединение элементов системы. В такой системе отказ любого элемента равносилен отказу системы в целом. По аналогии с цепочкой последовательно соединенных проводников, обрыв каждого из которых равносилен размыканию всей цепи, мы и называем такое соединение "последовательным" (рис. 4.5.4). Следует пояснить, что "последовательным" такое соединение элементов является только в смысле надежности, физически они могут быть соединены как угодно.

Рис. 4.5.4. Блок-схема системы с последовательным соединением элементов

С позиции надежности, такое соединение означает, что отказ устройства, состоящего из этих элементов, происходит при отказе элемента 1 или элемента 2, или элемента 3, или элемента n. Условие работоспособности можно сформулировать следующим образом: устройство работоспособно, если работоспособен элемент 1 и элемент 2, и элемент 3, и элемент n.

Выразим надежность данной системы через надежности ее элементов. Пусть имеется некоторый промежуток времени (0,t ), в течение которого требуется обеспечить безотказную работу системы. Тогда, если надежность системы характеризуется законом надежности Р(t), нам важно знать значение этой надежности при t=t , т.е. Р(t ). Это не функция, а определенное число; отбросим аргумент t и обозначим надежность системы просто Р. Аналогично обозначим надежности отдельных элементов P 1 , P 2 , P 3 , ..., P n .

Для безотказной работы простой системы в течение времени t нужно, чтобы безотказно работал каждый из ее элементов. Обозначим S - событие, состоящее в безотказной работе системы за время t ; s 1 , s 2 , s 3 , ..., s n - события, состоящие в безотказной работе соответствующих элементов. Событие S есть произведение (совмещение) событий s 1 , s 2 , s 3 , ..., s n:
S = s 1 × s 2 × s 3 × ... × s n .

Предположим, что элементы s 1 , s 2 , s 3 , ..., s n отказывают независимо друг от друга (или, как говорят применительно к надежности, "независимы по отказам", а совсем кратко "независимы"). Тогда по правилу умножения вероятностей для независимых событий Р(S)=P(s 1)× P(s 2)× P(s 3)× ...× P(s n) или в других обозначениях,
Р = Р 1 × Р 2 × Р 3 × ... × Р n .,(4.5.1)
а корочеP = ,(4.5.2)
т.е. надежность (вероятность работоспособного состояния) простой системы, составленной из независимых по отказам, последовательно соединенных элементов, равна произведению надежностей ее элементов.

В частном случае, когда все элементы обладают одинаковой надежностью P 1 =P 2 =P 3 = ... =P n , выражение (4.5.2) принимает вид
Р = P n .(4.5.3)

Пример 4.5.1. Система состоит из 10 независимых элементов, надежность каждого из которых равна Р=0,95. Определить надежность системы.

По формуле (4.5.3) Р = 0,95 10 » 0,6.

Из примера видно, как резко падает надежность системы при увеличении в ней числа элементов. Если число элементов n велико, то для обеспечения хотя бы приемлемой надежности Р системы каждый элемент должен обладать очень высокой надежностью.

Поставим вопрос: какой надежностью Р должен обладать отдельный элемент для того, чтобы система, составленная из n таких элементов, обладала заданной надежностью Р?

Из формулы (4.5.3) получим:
Р = .

Пример 4.5.2. Простая система состоит из 1000 одинаково надежных, независимых элементов. Какой надежностью должен обладать каждый из них для того, чтобы надежность системы была не меньше 0,9?
По формуле (4.5.4) Р = ; lgР = lg0,9 1/1000 ; Р » 0,9999.

Интенсивность отказов системы при экспоненциальном законе распределения времени до отказа легко определить из выражения
l с = l 1 + l 2 + l 3 + ... + l n ,(4.5.4)
т.е. как сумму интенсивностей отказов независимых элементов. Это и естественно, так как для системы, в которой элементы соединены последовательно, отказ элемента равносилен отказу системы, значит все потоки отказов отдельных элементов складываются в один поток отказов системы с интенсивностью, равной сумме интенсивностей отдельных потоков.

Формула (4.5.4) получается из выражения
Р = P 1 P 2 P 3 ... P n = ехр{-(l 1 + l 2 + l 3 + ... + l n )}.(4.5.5)
Среднее время работы до отказа
Т 0 = 1/ l с .(4.5.6)

Пример 4.5.3. Простая система S состоит из трех независимых элементов, плотности распределения времени безотказной работы которых заданы формулами:

при 0 < t < 1 (рис. 4.5.5).

Рис. 4.5.5. Плотности распределения времени безотказной работы

Найти интенсивность отказов системы.
Решение. Определяем ненадежность каждого элемента:
при 0 < t < 1.

Отсюда надежности элементов:
при 0 < t < 1.

Интенсивности отказов элементов (условная плотность вероятности отказов) - отношение f(t) к р(t):
при 0 < t < 1.
Складывая, имеем: l с = l 1 (t) + l 2 (t) + l 3 (t).

Пример 4.5.4. Предположим, что для работы системы с последовательным соединением элементов при полной нагрузке необходимы два разнотипных насоса, причем насосы имеют постоянные интенсивности отказов, равные соответственно l 1 =0,0001ч -1 и l 2 =0,0002ч -1 . Требуется вычислить среднее время безотказной работы данной системы и вероятность ее безотказной работы в течение 100ч. Предполагается, что оба насоса начинают работать в момент времени t =0.

С помощью формулы (4.5.5) находим вероятность безотказной работы P s заданной системы в течение 100ч:
P s (t)= .
P s (100)=е -(0,0001+0,0002) × 100 =0,97045.

Используя формулу (4.5.6), получаем

ч.

На рис. 4.5.6 представлено параллельное соединение элементов 1, 2, 3. Это означает, что устройство, состоящее из этих элементов, переходит в состояние отказа после отказа всех элементов при условии, что все элементы системы находятся под нагрузкой, а отказы элементов статистически независимы.

Рис. 4. 5.6. Блок-схема системы с параллельным соединением элементов

Условие работоспособности устройства можно сформулировать следующим образом: устройство работоспособно, если работоспособен элемент 1 или элемент 2, или элемент 3, или элементы 1 и 2, 1; и 3, 2; и 3, 1; и 2; и 3.

Вероятность безотказного состояния устройства, состоящего из n параллельно соединенных элементов определяется по теореме сложения вероятностей совместных случайных событий как
Р=(р 1 +р 2 +...р n)-(р 1 р 2 +р 1 р 3 +...)-(р 1 р 2 р 3 +р 1 р 2 р n +...)-... ± (р 1 р 2 р 3 ...р n).(4.5.7)
Для приведенной блок-схемы (рис. 4.5.6), состоящей из трех элементов, выражение (4.5.7) можно записать:
Р=р 1 +р 2 +р 3 -(р 1 р 2 +р 1 р 3 +р 2 р 3)+р 1 р 2 р 3 .

Применительно к проблемам надежности, по правилу умножения вероятностей независимых (в совокупности) событий, надежность устройства из n элементов вычисляется по формуле
Р = 1- ,(4.5.8)
т.е. при параллельном соединении независимых (в смысле надежности) элементов их ненадежности (1-p i =q i) перемножаются.

В частном случае, когда надежности всех элементов одинаковы, формула (4.5.8) принимает вид
Р = 1 - (1-р) n .(4.5.9)

Пример 4.5.5. Предохранительное устройство, обеспечивающее безопасность работы системы под давлением, состоит из трех дублирующих друг друга клапанов. Надежность каждого из них р=0,9. Клапаны независимы в смысле надежности. Найти надежность устройства.

Решение. По формуле (4.5.9)Р=1-(1-0,9) 3 =0,999.

Интенсивность отказов устройства состоящего из n параллельно соединенных элементов, обладающих постоянной интенсивностью отказов l 0 , определяется как

.(4.5.10)

Из (4.5.10) видно, что интенсивность отказов устройства при n>1 зависит от t: при t=0 она равна нулю, при увеличении t, монотонно возрастает до l 0 .

Если интенсивности отказов элементов постоянны и подчинены показательному закону распределения, то выражение (4.5.8) можно записать

Р(t) = .(4.5.11)

Среднее время безотказной работы системы Т 0 находим, интегрируя уравнение (4.5.11) в интервале :

Т 0 =
=(1/ l 1 +1/ l 2 +…+1/ l n )-(1/(l 1 + l 2 )+ 1/(l 1 + l 3 )+…)+(4.5.12)
+(1/(l 1 + l 2 + l 3 )+1/(l 1 + l 2 + l 4 )+…)+(-1) n+1 ´ .

В случае, когда интенсивности отказов всех элементов одинаковы, выражение (4.5.12) принимает вид

Т 0 = .(4.5.13)

Среднее время работы до отказа также можно получить, интегрируя уравнение (4.5.7) в интервале

Пример 4.5.6. Предположим, что два одинаковых вентилятора в системе очистки отходящих газов работают параллельно, причем если один из них выходит из строя, то другой способен работать при полной системной нагрузке без изменения своих надежностных характеристик.

Требуется найти безотказность системы в течение 400ч (продолжительность выполнения задания) при условии, что интенсивности отказов двигателей вентиляторов постоянны и равны l =0,0005ч -1 , отказы двигателей статистически независимы и оба вентилятора начинают работать в момент времени t=0.

Решение. В случае идентичных элементов формула (4.5.11) принимает вид
Р(t) = 2еxp(- l t) - еxp(-2 l t).
Поскольку l = 0,0005 ч -1 и t = 400 ч, то
Р (400) = 2еxp(-0,0005 ´ 400) - еxp(-2 ´ 0,0005 ´ 400)=0,9671.
Среднюю наработку на отказ находим, используя (4.5.13):
Т 0 = 1/l (1/1 + 1/2) = 1/l ´ 3/2 = 1,5/0,0005 = 3000 ч.

Рассмотрим самый простой пример резервированной системы - параллельное соединение резервного оборудования системы. В этой схеме все n одинаковых образцов оборудования работают одновременно, и каждый образец оборудования имеет одинаковую интенсивность отказов. Такая картина наблюдается, например, если все образцы оборудования держатся под рабочим напряжением (так называемый "горячий резерв"), а для исправной работы системы должен быть исправен хотя бы один из n образцов оборудования.

В этом варианте резервирования применимо правило определения надежности параллельно соединенных независимых элементов. В нашем случае, когда надежности всех элементов одинаковы, надежность блока определяется по формуле (4.5.9)

Р = 1 - (1-р) n .
Если система состоит из n образцов резервного оборудования с различными интенсивностями отказов, то
P(t) = 1-(1-p 1) (1-p 2)... (1-p n).(4.5.21)

Выражение (4.5.21) представляется как биноминальное распределение. Поэтому ясно, что когда для работы системы требуется по меньшей мере k исправных из n образцов оборудования, то
P(t) = p i (1-p) n-i ,где .(4.5.22)

При постоянной интенсивности отказов l элементов это выражение принимает вид

P(t) = ,(4.5.22.1)

где р = еxp(-l t).

Включение резервного оборудования системы замещением

В данной схеме включения n одинаковых образцов оборудования только один находится все время в работе (рис. 4.5.11). Когда работающий образец выходит из строя, его непременно отключают, и в работу вступает один из (n -1) резервных (запасных) элементов. Этот процесс продолжается до тех пор, пока все (n -1) резервных образцов не будут исчерпаны.

Рис. 4.5.11. Блок-схема системы включения резервного оборудования системы замещением
Примем для этой системы следующие допущения:
1. Отказ системы происходит, если откажут все n элементов.
2. Вероятность отказа каждого образца оборудования не зависит от состояния остальных (n -1) образцов (отказы статистически независимы).
3. Отказывать может только оборудование, находящееся в работе, и условная вероятность отказа в интервале t, t+dt равна l dt; запасное оборудование не может выходить из строя до того, как оно будет включено в работу.
4. Переключающие устройства считаются абсолютно надежными.
5. Все элементы идентичны. Резервные элементы имеют характеристики как новые.

Система способна выполнять требуемые от нее функции, если исправен по крайней мере один из n образцов оборудования. Таким образом, в этом случае надежность равна просто сумме вероятностей состояний системы, исключая состояние отказа, т.е.
Р(t) = еxp(- l t) .(4.5.23)

В качестве примера рассмотрим систему, состоящую из двух резервных образцов оборудования, включаемых замещением. Для того чтобы эта система работала, в момент времени t, нужно, чтобы к моменту t были исправны либо оба образца, либо один из двух. Поэтому
Р(t) = еxp(- l t) =(exp(- l t))(1+ l t).(4.5.24)

На рис. 4.5.12 показан график функции Р(t) и для сравнения приведен аналогичный график для нерезервированной системы.

Рис. 4.5. 12. Функции надежности для дублированной системы свключением резерва замещением (1) и нерезервированнойсистемы (2)

Пример 4.5.11. Система состоит из двух идентичных устройств, одно из которых функционирует, а другое находится в режиме ненагруженного резерва. Интенсивности отказов обоих устройств постоянны. Кроме того, предполагается, что в начале работы резервное устройство имеет такие же характеристики, как и новое. Требуется вычислить вероятность безотказной работы системы в течение 100 ч при условии, что интенсивности отказов устройств l =0,001 ч -1 .

Решение. С помощью формулы (4.5.23) получаем Р(t) = (exp(- l t))(1+ l t).

При заданных значениях t и l вероятность безотказной работы системы составляет

Р(t) = е -0,1 (1+0,1) = 0,9953.

Во многих случаях нельзя предполагать, что запасное оборудование не выходит из строя, пока его не включат в работу. Пусть l 1 - интенсивность отказов работающих образцов, а l 2 - резервных или запасных (l 2 > 0). В случае дублированной системы функция надежности имеет вид:
Р(t) = ехр(-(l 1 + l 2 )t) + ехр(- l 1 t) - ехр(-(l 1 + l 2 )t).

Данный результат для k=2 можно распространить на случай k=n. Действительно

Р(t) = ехр(- l 1 (1+ a (n-1))t) (4.5.25)
, где a = l 2 / l 1 > 0.

Надежность резервированной системы в случае комбинаций отказов и внешних воздействий

В некоторых случаях отказ системы возникает вследствие определенных комбинаций отказов образцов входящих в систему оборудования и (или) из-за внешних воздействий на эту систему. Рассмотрим, например, метеоспутник с двумя передатчиками информации, один из которых является резервным или запасным. Отказ системы (потеря связи со спутником) возникает при выходе из строя двух передатчиков или в тех случаях, когда солнечная активность создает непрерывные помехи радиосвязи. Если интенсивность отказов работающего передатчика равна l , а j - ожидаемая интенсивность появления радиопомех, то функция надежности системы
Р(t) = еxp(-(l + j )t) + l t еxp(-(l + j )t).(4.5.26)

Данный тип модели также применим в случаях, когда резерв по схеме замещения отсутствует. Например, предположим, что нефтепровод подвергается гидравлическим ударам, причем воздействие незначительными гидроударами происходит с интенсивностью l , а значительными - с интенсивнностью j . Для разрыва сварных швов (из-за накопления повреждений) трубопроводу следует получить n малых гидроударов или один значительный.

Здесь состояние процесса разрушения представляется числом ударов (или повреждений), причем один мощный гидроудар равносилен n малых. Надежность или вероятность того, что трубопровод не будет разрушен действием микроударов к моменту времени t равна:

Р(t) = еxp(-(l + j )t) .(4.5.27)

Анализ надежности систем при множественных отказах

Рассмотрим метод анализа надежности нагруженных элементов в случае статистически независимых и зависимых (множественных) отказов. Следует заметить, что этот метод может быть применен и в случае других моделей и распределений вероятностей. При разработке этого метода предполагается, что для каждого элемента системы существует некоторая вероятность появления множественных отказов.

Как известно, множественные отказы действительно существуют, и для их учета в соответствующие формулы вводится параметр a . Этот параметр может быть определен на основе опыта эксплуатации резервированных систем или оборудования и представляет собой долю отка ов, вызываемых общей причиной . Другими словами, параметр а можно рассматривать как точечную оценку вероятности того, что отказ некоторого элемента относится к числу множественных отказов. При этом можно считать, что интенсивность отказов элемента имеет две взаимоисключающие составляющие, т. е. l = l 1 + l 2 , где l 1 - постоянная интенсивность статистически независимых отказов элемента, l 2 - интенсивность множественных отказов резервированной системы или элемента. Поскольку a = l 2 / l , то l 2 = a/ l , и следовательно, l 1 =(1- a ) l .

Приведем формулы и зависимости для вероятности безотказной работы, интенсивности отказов и средней наработки на отказ в случае систем с параллельным и последовательным соединением элементов, а также систем с k исправными элементами из п и систем, элементы которых соединены по мостиковой схеме.

Система с параллельным соединением элементов (рис. 4.5.13) - обычная параллельная схема, к которой последовательно подсоединен один элемент. Параллельная часть (I) схемы отображает независимые отказы в любой системе из n элементов, а последовательно соединенный элемент (II) - все множественные отказы системы.

Рис. 4.5.13. Модифицированная система с параллельным соединением одинаковых элементов

Гипотетический элемент, характеризуемый определенной вероятностью появления множественного отказа, последовательно соединен с элементами, которые характеризуются независимыми отказами. Отказ гипотетического последовательно соединенного элемента (т.е. множественный отказ) приводит к отказу всей системы. Предполагается, что все множественные отказы полностью взаимосвязаны. Вероятность безотказной работы такой системы определяется как R р ={1-(1-R 1) n } R 2 , где n - число одинаковых элементов; R 1 - вероятность безотказной работы элементов, обусловленная независимыми отказами; R 2 - вероятность безотказной работы системы, обусловленная множественными отказами.

l 1 и l 2 выражение для вероятности безотказной работы принимает вид

R р (t)={1-(1-e -(1- a ) l t ) n }e - al t ,(4.5.28)
где t - время.

Влияние множественных отказов на надежность системы с параллельным соединением элементов наглядно демонстрируется с помощью рис. 4.5.14 – 4.5.16; при увеличении значения параметра a вероятность безотказной работы такой системы уменьшается.

Параметр a принимает значения от 0 до 1. При a = 0 модифицированная параллельная схема ведет себя как обычная параллельная схема, а при a =1 она действует как один элемент, т. е. все отказы системы являются множественными.

Поскольку интенсивность отказов и среднее время наработки на отказ любой системы можно определить с помощью (4.3 .7 ) и формул
,
,
с учетом выражения для R р (t ) получаем, что интенсивность отказов (рис. 4.5.17) и средняя наработка на отказ модифицированной системы соответственно равны
,(4.5.29)
,где .(4.5.30)

Рис. 4.5.14. Зависимость вероятности безотказной работы системы с параллельным соединением двух элементов от параметра a

Рис. 4.5.15. Зависимость вероятности безотказной работы системы с параллельным соединением трех элементов от параметра a

Рис. 4.5.16. Зависимость вероятности безотказной работы системы с параллельным соединением четырех элементов от параметра a

Рис. 4.5.17. Зависимость интенсивности отказов системы с параллельным соединением четырех элементов от параметра a

Пример 4.5.12. Требуется определить вероятность безотказной работы системы, состоящей из двух одинаковых параллельно соединенных элементов, если l =0,001 ч -1 ; a =0,071; t=200 ч.

Вероятность безотказной работы системы, состоящей из двух одинаковых параллельно соединенных элементов, для которой характерны множественные отказы, равна 0,95769. Вероятность безотказной работы системы, состоящей из двух параллельно соединенных элементов и характеризуемой только независимыми отказами, равна 0,96714.

Система с k исправными элементами из п одинаковых элементов включает в себя гипотетический элемент, соответствующий множественным отказам и соединенный последовательно с обычной системой типа k из n, для которой характерны независимые отказы. Отказ, отображаемый этим гипотетическим элементом, вызывает отказ всей системы. Вероятность безотказной работы модифицированной системы с k исправными элементами из n можно вычислить по формуле

,(4.5.31)

где R 1 - вероятность безотказной работы элемента, для которого характерны независимые отказы; R 2 - вероятность безотказной работы системы с k исправными элементами из n , для которой характерны множественные отказы.

При постоянных интенсивностях l 1 и l 2 полученное выражение принимает вид

.(4.5.32)

Зависимость вероятности безотказной работы от параметра a для систем с двумя исправными элементами из трех и двумя и тремя исправными элементами из четырех показаны на рис. 4.5.18 - 4.5.20. При увеличении параметра a вероятность безотказной работы системы уменьшается на небольшую величину (l t).

Рис. 4.5.18. Вероятность безотказной работы системы, сохраняющей работоспособность при отказе двух из n элементов

Рис. 4.5.19. Вероятность безотказной работы системы, сохраняющей работоспособность при отказе двух из четырех элементов

Рис. 4.5.20. Вероятность безотказной работы системы, сохраняющей работоспособность при отказе трех из четырех элементов

Интенсивность отказов системы с k исправными элементами из n и средняя наработка на отказ могут быть определены следующим образом:

,(4.5.33)

где h = {1-e -(1-b )l t },

q = e (r a -r- a ) l t

.(4.5.34)

Пример 4.5.13. Требуется определить вероятность безотказной работы системы с двумя исправными элементами из трех, если l =0,0005 ч - 1 ; a =0,3; t =200 ч.

С помощью выражения для R kn находим, что вероятность безотказной работы системы, в которой происходили множественные отказы, составляет 0,95772. Отметим, что для системы с независимыми отказами эта вероятность равна 0,97455.

Система с параллельно-последовательным соединением элементов соответствует системе, состоящей из одинаковых элементов, для которых характерны независимые отказы, и ряда ветвей, содержащих воображаемые элементы, для которых характерны множественные отказы. Вероятность безотказной работы модифицированной системы с параллельно-последовательным (смешанным) соединением элементов можно определить с помощью формулы R ps ={1 - (1-) n } R 2 , где m - число одинаковых элементов в ответвлении, n - число одинаковых ответвлений.

При постоянных интенсивностях отказов l 1 и l 2 это выражение принимает вид

R рs (t) = e - bl t . (4.5.39)

(здесь А=(1- a ) l ). Зависимость безотказной работы системы R b (t) для различных параметров a показана на рис. 4.5.21. При малых значениях l t вероятность безотказной работы системы с элементами, соединенными по мостиковой схеме, убывает с увеличением параметра a .

Рис. 4.5.21. Зависимость вероятности безотказной работы системы, элементы которой соединены по мостиковой схеме, от параметра a

Интенсивность отказов рассматриваемой системы и средняя наработка на отказ могут быть определены следующим образом:
l + .(4.5.41)

Пример 4.5.14. Требуется вычислить вероятность безотказной работы в течение 200 ч для системы с одинаковыми элементами, соединенными по мостиковой схеме, если l =0,0005 ч - 1 и a =0,3.

Используя выражение для R b (t), находим, что вероятность безотказной работы системы с соединением элементов по мостиковой схеме составляет примерно 0,96; для системы с независимыми отказами (т.е. при a =0) эта вероятность равна 0,984.

Модель надежности системы с множественными отказами

Для анализа надежности системы, состоящей из двух неодинаковых элементов, для которых характерны множественные отказы, рассмотрим такую модель, при построении которой были сделаны следующие допущения и приняты следующие обозначения:

Допущения (1) множественные отказы и отказы других типов статистически независимы; (2) множественные отказы связаны с выходом из строя не менее двух элементов; (3) при отказе одного из нагруженных резервированных элементов отказавший элемент восстанавливается, при отказе обоих элементов восстанавливается вся система; (4) интенсивность множественных отказов и интенсивность восстановлений постоянны.

Обозначения
P 0 (t) - вероятность того, что в момент времени t оба элемента функционируют;
P 1 (t) - вероятность того, что в момент времени t элемент 1 вышел из строя, а элемент 2 функционирует;
P 2 (t) - вероятность того, что в момент времени t эл мент 2 вышел из строя, а элемент 1 функционирует;
P 3 (t) - вероятность того, что в момент времени t элементы 1 и 2 вышли из строя;
P 4 (t) - вероятность того, что в момент времени t имеются специалисты и запасные элементы для восстановления обоих элементов;
a - постоянный коэффициент, характеризующий наличие специалистов и запасных элементов;
b - постоянная интенсивность множественных отказов;
t - время.

Рассмотрим три возможных случая восстановления элементов при их одновременном отказе:

Случай 1. Запасные элементы, ремонтный инструмент и квалифицированные специалисты имеются для восстановления обоих элементов, т. е. элементы могут быть восстановлены одновременно .

Случай 2. Запасные элементы, ремонтный инструмент и квалифицированные специалисты имеются только для восстановления одного элемента, т. е. может быть восстановлен только один элемент.

Случай 3 . Запасные элементы, ремонтный инструмент и квалифицированные специалисты отсутствуют, и, кроме того, может существовать очередь на ремонтное обслуживание.

Математическая модель системы, изображенной на рис. 4.5.22, представляет собой следующую систему дифференциальных уравнений первого порядка:

P" 0 (t) = - ,
P" 1 (t) = -(l 2 + m 1 )P 1 (t)+P 3 (t)

Рис. 4.5.22. Модель готовности системы в случае множественных отказов

Приравнивая в полученных уравнениях производные по времени нулю, для установившегося режима получаем

- ,
-(l 2 + m 1 )P 1 +P 3 m 2 +P 0 l 1 = 0,

-(l 1 + m 2 )P 2 +P 0 l 2 +P 3 m 1 = 0,

P 2 = ,

P 3 = ,

P 4 = .

Стационарный коэффициент готовности может быть вычислен по формуле

Надежность и живучесть бортовых вычислительных систем (БЦВС).

Надежность – это свойство изделий выполнять требуемые функции, сохраняя свои эксплуатационные показатели в заданных пределах в течение требуемого промежутка времени.

Живучесть - способность вычислительной системы выполнять свои основные функции, несмотря на полученные повреждения и вышедшие из строя элементы аппаратуры.

К надежности и живучести БУВМ и БЦВС предъявляются более жесткие требования, чем к надежности и живучести универсальных и персональных ЭВМ. При отказе БЦВМ нарушается работоспособность системы, и не выполняются поставленные задачи, что может привести к непоправимым последствиям, в том числе и к человеческим жертвам.

Повторное решение задачи после восстановления БЦВМ и БЦВС часто невозможно. Так, например, при сбое в работе БЦВС зенитно-ракетного комплекса будет уничтожен обороняемый объект. И, если вы в короткий срок восстановите работу системы, то разрушения не удастся вернуть так же, как и потерянные жизни. Сбой в авионике может привести к крушению самолета или самопроизвольному сходу ракет. В этом случае восстановление работы БЦВС так же не позволит исправить последствия ошибки.

Обеспечение высокой надежности и живучести БЦВС усложняется условиями работы аппаратуры на борту при больших колебаниях температуры, влажности, действии механических нагрузок и в условии высокой запыленности. Так же ограничение накладывается на габариты и массу аппаратуры. Это в основном относится к авиации, но так же большое значение имеет и для БЦВС других направлений.

Таким образом, проблема надежности и живучести БЦВМ и БЦВС имеет ряд особенностей, обусловленных своеобразием структуры БЦВМ и характером выполняемых ими функций.

Задача обеспечения в сложной системе высокой надежности и живучести может оказаться весьма дорогостоящей, сложной и требующей больших затрат времени, хотя затруднения с выпуском продукции и проблемы, возникающие во время эксплуатации, в связи с необходимостью обеспечения и поддержания требуемого уровня надежности, могут вызвать еще большие затруднения.

Например, при уменьшении надежности ракетной системы на 10% для обеспечения одной и той же степени поражения цели потребуется увеличение, по меньшей мере, на 10% фактического количества боевых ракет. Для этих ракет нужны дополнительные пусковые площадки, испытательная аппаратура, оборудование для пуска, обслуживающий персонал и вспомогательное оборудование, что связано с большими затратами денежных средств и времени.

Чем сложнее структура вычислительной системы, тем труднее обеспечить надежность и живучесть. Следует заметить, что большинство отказов, имевших место при пусках управляемых ракет и искусственных спутников в США, не было вызвано неисправностью какого-либо экзотического устройства, конструкция которого ускорила прогресс современного уровня техники. Напротив, многие отказы были вызваны неисправностью функциональных и конструктивных элементов ранее апробированной конструкции. Иногда элементы были изготовлены неправильно, а в других случаях имели место ошибки в работе программистов или обслуживающего персонала. Нет такой мелочи, которая была бы слишком ничтожной для того, чтобы не оказаться возможной причиной отказа. Высокие потенциальная и практически достижимая надежности в значительной степени являются результатом глубокого и пристального внимания к мелочам.

Проблема повышения надежности и отказоустойчивости свойственна не только БЦВС, но и коммерческой аппаратуре. Например, в кластере Google в среднем происходит отказ 1 компьютера в день (то есть за год аварии происходят примерно на 3% компьютеров). Конечно, за счет резервирования данных и кода эти сбои пользователям незаметны, но для программиста они являются большой проблемой.

Случай, когда вычислительная система или ее часть вышли из строя, и дальнейшая работа невозможна без ремонта - называется отказом.

Теория надежности различает 3 характерных признака отказов, которые могут быть присуще аппаратуре и проявляются без всякого воздействия со стороны людей.

1. Приработные отказы. Эти отказы происходят в течение раннего периода эксплуатации и в большинстве случаев вызваны недостатком технологии производства и дефектами при изготовлении элементов вычислительных систем. Эти отказы могут быть исключены процессом отбраковки, приработки и технологического тестирования готового изделия.

2. Дефектные или постепенные отказы. Это - отказы, возникающие из-за износа отдельных параметров или частей аппаратуры. Они характеризуются постепенным изменением параметров изделия или элементов. В начале эти отказы могут проявляется как временные сбои. Однако, по мере того, как износ возрастает, временные сбои превращаются в серьезные отказы аппаратуры. Эти отказы являются признаком старения БЦВС. Они частично могут быть устранены при правильной эксплуатации, хорошей профилактике и своевременной замене изношенных элементов аппаратуры.

3. Внезапные или катастрофические отказы. Эти отказы не могут быть устранены ни при отладке аппаратуры, ни правильным обслуживанием, ни профилактикой. Внезапные отказы возникают случайно, никто не может их предсказать, однако, они подчиняются определенным законам вероятности. Так что частота внезапных отказов в течение достаточно большого периода времени становится примерно постоянной. Это происходит в любой аппаратуре. Примером случайных отказов является обрыв или замыкание цепей. Такой отказ приводит, обычно, к тому, что на выходе устанавливается постоянно либо 0, либо 1. При возникновении случайных отказов необходимо заменять элементы, в которых они произошли. Для этого вычислительная система должна быть ремонтопригодной и позволять быстро проводить профилактические работы в полевых условиях.

В отдельную группу можно выделить перемежающиеся отказы или сбои. Под сбоем подразумевается кратковременное нарушение нормальной работы БЦВМ, при котором один или несколько ее элементов, при выполнении одной или нескольких смежных операции, дает случайный результат. После сбоя вычислительная система может нормально функционировать в течение длительного времени.

Причиной возникновения сбоев могут быть электромагнитные наводки, механические воздействия и др. Часто сбои не приводит к выходу из строя комплекса, а только изменяют ход работы программного обеспечения из-за неверного выполнения одной или нескольких команд, что может привести к катастрофическим последствиям. Отличие сбоев от отказов в том, что при обнаружении последствий от сбоя, необходимо восстанавливать не аппаратуру, а информацию, искаженную сбоем.

Рассказывая о сбоях, необходимо упомянуть о, так называемых, Шрёдинбагах. Шрёдинбаг – это ошибка, при которой вычислительная система долгое время функционирует нормально, однако, при определенных условиях, например, задании нестандартных параметров работы, возникает сбой. При анализе этого сбоя оказывается, что программное обеспечение вычислительной системы имеет принципиальную ошибку, из-за которой оно в принципе не должно было функционировать.

Шрёдинбаг может быть образован сложной комбинацией парных ошибок (когда ошибка в одном месте компенсируется ошибкой противоположного действия в другом месте). При определенном стечении обстоятельств баланс ошибок разрушается, что приводит к парализации работы.

Таким образом, для БЦВС характерно еще одно свойство, определяющее ее надежность – безошибочность или достоверность функционирования. Следовательно, надежность БЦВС – это совокупность безотказности, достоверности функционирования, живучести и ремонтопригодности.

В качестве параметров надежности применяют:

1. Интенсивность отказов –

2. Средняя наработка на отказ –

3. Вероятность безотказной работы в течение заданного времени – Р

4. Вероятность отказа – Q

Интенсивность отказов

Интенсивность отказов – это частота, с которой происходят отказы. Если аппаратура состоит из нескольких элементов, то ее интенсивность отказов равна сумме интенсивности отказов всех элементов, отказы которых приводят к неисправности оборудования.

Кривая интенсивности отказов, в зависимости от времени эксплуатации, изображена на рисунке ниже.

При начале эксплуатации (в момент времени t = 0) вводится в действие большое количество элементов. Эта совокупность элементов в начале может имеет большую интенсивность отказов, за счет дефектных образцов. Поскольку дефектные элементы отказывают один за другим, интенсивность отказов относительно быстро уменьшается в течение периода приработки и становится приблизительно постоянной к моменту нормальной эксплуатации (Т норм), когда дефектные элементы уже отказали, и были заменены на работоспособные.

Совокупность элементов, прошедших период приработки, имеет самый низкий уровень отказов, который сохраняется примерно постоянным до начала выхода из строя элементов, из-за износа (Т износа). С этого момента интенсивность отказов начинает возрастать.

Средняя наработка на отказ

Средняя наработка на отказ – это отношение общего отработанного времени к общему числу отказов. В течение периода нормальной эксплуатации, когда интенсивность отказов примерно постоянна, средняя наработка на отказ представляет собой величину обратную интенсивности отказов:

Вероятность безотказной работы.

Вероятностью безотказной работы называется вероятное или ожидаемое число устройств, которое будет безотказно функционировать в течение заданного периода времени:

Эта формула справедлива для всех устройств, которые прошли приработку, но не испытывают влияние износа. Следовательно, время t не может превышать периода нормальной эксплуатации устройств.

График, показывающий вероятность безотказной работы в зависимости от времени нормальной эксплуатации, приведен ниже:

Вероятность отказа.

Вероятность отказа – это величина обратная вероятности безотказной работы.

Номинальная интенсивность отказов.

Элементы аппаратуры проектируют так, чтобы они могла выдерживать определенные номинальные: напряжение, силу тока, температуру, вибрации, влажность и так далее. Когда аппаратура в процессе работы подвергается влиянию таких воздействий, наблюдается некая определенная интенсивность отказов. Ее называют номинальной интенсивностью отказов.

При увеличении общей рабочей нагрузи или некоторых частных нагрузок, или вредных воздействий окружающей среды сверх номинальных уровней, интенсивность отказов возрастает довольно резко по сравнению со своим номинальным значением. И наоборот, интенсивность отказов уменьшается, когда нагрузка становится ниже номинального уровня.

Например, если элемент должен работать при номинальном значении температуры 60 градусов, то путем понижения температуры, в результате применения принудительной системы охлаждения, можно снизить интенсивность отказов. Однако, если снижение температуры влечет за собой слишком большое увеличение количества элементов и веса аппаратуры, то более выгодным может оказаться выбор элементов с увеличенным номинальным значением рабочей температуры и применение их при температуре, ниже номинальной. В этом случае аппаратура может стать дешевле, а масса меньше (что принципиально при работе в летательном аппарате), чем при применении принудительной системы охлаждения.

Методы определения надежности БЦВС.

Когда проектируются и создаются новые изделия механическими, электрическими, химическими или другими измерениями, нельзя определить значение интенсивности отказов. Интенсивность отказов можно определить путем сбора статистических данных, полученных при испытании на надежность этого или аналогичных изделий.

Вероятность безотказной работы в течение любого момента времени испытаний выражается формулой:

Интенсивность отказов определяется формулой:

При измерении интенсивности отказов необходимо поддерживать постоянное число элементов, участвующих в испытании, путем замены отказавших элементов новыми.

Таким образом, для получения данных о количественных характеристиках надежности аппаратуры, необходимо изготовить специальный образец аппаратуры для испытаний на надежность. Испытания на надежность должны проводиться в условиях, соответствующих реальным условиям эксплуатации оборудования по внешним воздействиям, периодичности включения и изменения параметров питания.