Наиболее удобным для аналитического описания является так называемый экспоненциальный (или показательный) закон надежности, который выражается формулой
где - постоянный параметр.
График экспоненциального закона надежности показан на рис. 7.10. Для этого закона функция распределения времени безотказной работы имеет вид
а плотность
Это есть уже известный нам показательный закон распределения, по которому распределено расстояние между соседними событиями в простейшем потоке с интенсивностью (см. § 4 гл. 4).
При рассмотрении вопросов надежности часто бывает удобно представлять себе дело так, словно на элемент действует простейший поток отказов с интенсивностью Я; элемент отказывает в момент, когда приходит первое событие этого потока.
Образ «потока отказов» приобретает реальный смысл, если отказавший элемент немедленно заменяется новым (восстанавливается).
Последовательность случайных моментов времени, в которые проис ходят отказы (рис. 7.11), представляет собой простейший поток событии, а интервалы между событиями - независимые случайные величины, распределенные по показательному закону (3,3),
Понятие «интенсивности отказов» может быть введено не только для экспоненциального, но и для любого другого закона надежности о плотностью вся разница будет в том, что при неэкспоненциальном законе интенсивность отказов Я будет уже не постоянной величиной, а переменной.
Интенсивностью (или иначе «опасностью») отказов называется отношение плотности распределения времени безотказной работы элемента к его надежности:
Поясним физический смысл этой характеристики. Пусть одновременно испытывается большое число N однородных элементов, каждый - до момента своего отказа. Обозначим - число элементов, оказавшихся исправными к моменту , как и и раньше, - число элементов, отказавших на малом участке времени На единицу времени придется среднее число отказов
Разделим эту величину не на общее число испытываемых элементов N, а на число исправных к моменту t элементов . Нетрудно убедиться, что при большом N это отношение будет приближенно равно интенсивности отказов
Действительно, при большом N
Но согласно формуле (2.6)
В работах по надежности приближенное выражение (3.5) часто рассматривают как определение интенсивности отказов, т. е. определяют ее как среднее число отказов в единицу времени, приходящееся на один работающий элемент.
Характеристике можно дать еще одно истолкование: это есть условная плотность вероятности отказа элемента в данный момент времени t, при условии, что до момента t он работал безотказно. Действительно, рассмотрим элемент вероятности - вероятность того, что за время элемент перейдет из состояния «работает» в состояние «не работает», при условии, что до момента t он работал. В самом деле, безусловная вероятность отказа элемента на участке равна Это - вероятность совмещения двух событий:
А - элемент работал исправно до момента
В - элемент отказал на участке времени По правилу умножения вероятностей:
Учитывая, что получим:
а величина есть не что иное, как условная плотность вероятности перехода из состояния «работает» в состояние «отказал» для момента t.
Если известна интенсивность отказов , то можно выразить через нее надежность Учитывая, что запишем формулу (3.4) в виде:
Интегрируя, получим:
Таким образом надежность выражается через интенсивность отказов.
В частном случае, когда , формула (3.6) дает:
т. е. уже известный нам экспоненциальный закон надежности.
Пользуясь образом «потока отказов», можно истолковать не только формулу (3.7), но и более общую формулу (3.6). Представим себе (совершенно условно!), что на элемент с произвольным законом надежности действует поток отказов с переменной интенсивностью Тогда формула (3.6) для выражает вероятность того, что на участке времени (0, t) не появится ни одного отказа.
Таким образом, как при экспоненциальном, так и при любом другом законе надежности работу элемента, начиная с момента включения можно представлять себе так, что на элемент действует пуассоновский поток отказов; для экспоненциального закона надежности это будет поток с постоянной интенсивностью , а для неэкспоненциального - с переменной интенсивностью
Заметим, что этот образ годится только в том случае, когда отказавший элемент не заменяется новым. Если, как мы это делали раньше, немедленно заменять отказавший элемент новым, поток отказов уже не будет пуассоновским. Действительно, интенсивность его будет зависеть не просто от времени t, протекшего с начала всего процесса, а и от времени , протекшего со случайного момента включения именно данного элемента; значит, поток событий имеет последействие и пуассоновским не является.
Если же на протяжении всего исследуемого процесса данный элемент не заменяется и может отказать не более одного раза, то при описании процесса, зависящего от его функционирования, можно пользоваться схемой марковского случайного процесса, но при переменной, а не постоянной интенсивности потока отказов.
Если неэкспоненциальный закон надежности сравнительно мало отличается от экспоненциального, то можно, в целях упрощения, приближенно заменить его экспоненциальным (рис. 7.12). Параметр этого закона выбирается так, чтобы сохранить неизменным математическое ожидание времени безотказной работы, равное, как мы знаем, площади, ограниченной кривой и осями координат. Для этого нужно положить параметр показательного закона равным
где - площадь, ограниченная кривой надежности
Таким образом, если мы хотим характеризовать надежность элемента некоторой средней интенсивностью отказов, нужно в качестве этой интенсивности взять величину, обратную среднему времени безотказной работы элемента.
Выше мы определяли величину t как площадь, ограниченную кривой Однако, если требуется знать только среднее время безотказной работы элемента, проще найти его непосредственно по статистическому материалу как среднее арифметическое всех наблюденных значений случайной величины Т - времени работы элемента до его отказа. Такой способ может быть применен и в случае, когда число опытов невелико и не позволяет достаточно точно построить кривую
Пример 1. Надежность элемента убывает со временем по линейному закону (рис. 7.13). Найти интенсивность отказов и среднее время безотказной работы элемента
Решение. По формуле (3.4) на участке ) имеем:
Согласно заданному закону надежности 4
“ Обеспечение высокой доступности ”
Цель работы:
Изучить два вида средств поддержания высокой доступности: обеспечение отказоустойчивости (нейтрализация отказов, живучесть) и обеспечение безопасного и быстрого восстановления после отказов (обслуживаемость). Получить навык работы по обеспечению высокой доступности.
1. Теоретическое введение
1.1. Доступность
1.11. Основные понятия
Информационная система предоставляет своим пользователям определенный набор услуг (сервисов). Говорят, что обеспечен нужный уровень доступности этих сервисов, если следующие показатели находятся в заданных пределах:
Эффективность услуг. Эффективность услуги определяется в терминах максимального времени обслуживания запроса, количества поддерживаемых пользователей и т.п. Требуется, чтобы эффективность не опускалась ниже заранее установленного порога.
Время недоступности. Если эффективность информационной услуги не удовлетворяет наложенным ограничениям, услуга считается недоступной. Требуется, чтобы максимальная продолжительность периода недоступности и суммарное время недоступности за некоторой период (месяц, год) не превышали заранее заданных пределов.
В сущности, требуется, чтобы информационная система почти всегда работала с нужной эффективностью. Для некоторых критически важных систем (например, систем управления) время недоступности должно быть нулевым, без всяких "почти". В таком случае говорят о вероятности возникновения ситуации недоступности и требуют, чтобы эта вероятность не превышала заданной величины. Для решения данной задачи создавались и создаются специальные отказоустойчивые системы, стоимость которых, как правило, весьма высока.
К подавляющему большинству коммерческих систем предъявляются менее жесткие требования, однако современная деловая жизнь и здесь накладывает достаточно суровые ограничения, когда число обслуживаемых пользователей может измеряться тысячами, время ответа не должно превышать нескольких секунд, а время недоступности - нескольких часов в год.
Задачу обеспечения высокой доступности необходимо решать для современных конфигураций, построенных в технологии клиент/сервер. Это означает, что в защите нуждается вся цепочка - от пользователей (возможно, удаленных) до критически важных серверов (в том числе серверов безопасности).
Основные угрозы доступности были рассмотрены нами ранее.
В соответствии с ГОСТ 27.002, под отказом понимается событие, которое заключается в нарушении работоспособности изделия. В контексте данной работы изделие - это информационная система или ее компонент.
В простейшем случае можно считать, что отказы любого компонента составного изделия ведут к общему отказу, а распределение отказов во времени представляет собой простой пуассоновский поток событий. В таком случае вводят понятие интенсивности отказов и среднего времени наработки на отказ, которые связаны между собой соотношением
i - номер компонента,
Интенсивность отказов,
Среднее время наработки на отказ.
Интенсивности отказов независимых компонентов складываются:
а среднее время наработки на отказ для составного изделия задается соотношением
Уже эти простейшие выкладки показывают, что если существует компонент, интенсивность отказов которого много больше, чем у остальных, то именно он определяет среднее время наработки на отказ всей информационной системы. Это является теоретическим обоснованием принципа первоочередного укрепления самого слабого звена.
Пуассоновская модель позволяет обосновать еще одно очень важное положение, состоящее в том, что эмпирический подход к построению систем высокой доступности не может быть реализован за приемлемое время. При традиционном цикле тестирования/отладки программной системы по оптимистическим оценкам каждое исправление ошибки приводит к экспоненциальному убыванию (примерно на половину десятичного порядка) интенсивности отказов. Отсюда следует, что для того, чтобы на опыте убедиться в достижении необходимого уровня доступности, независимо от применяемой технологии тестирования и отладки, придется потратить время, практически равное среднему времени наработки на отказ. Например, для достижения среднего времени наработки на отказ 105 часов потребуется более 104,5 часов, что составляет более трех лет. Значит, нужны иные методы построения систем высокой доступности, методы, эффективность которых доказана аналитически или практически за более чем пятьдесят лет развития вычислительной техники и программирования.
Пуассоновская модель применима в тех случаях, когда информационная система содержит одиночные точки отказа, то есть компоненты, выход которых из строя ведет к отказу всей системы. Для исследования систем с резервированием применяется иной формализм.
В соответствии с постановкой задачи будем считать, что существует количественная мера эффективности предоставляемых изделием информационных услуг. В таком случае вводятся понятия показателей эффективности отдельных элементов и эффективности функционирования всей сложной системы.
В качестве меры доступности можно принять вероятность приемлемости эффективности услуг, предоставляемых информационной системой, на всем протяжении рассматриваемого отрезка времени. Чем большим запасом эффективности располагает наличии избыточности в конфигурации системы вероятность того, что в система, тем выше ее доступность.
При рассматриваемый промежуток времени эффективность информационных сервисов не опустится ниже допустимого предела, зависит не только от вероятности отказа компонентов, но и от времени, в течение которого они остаются неработоспособными, поскольку при этом суммарная эффективность падает, и каждый следующий отказ может стать фатальным. Чтобы максимально увеличить доступность системы, необходимо минимизировать время неработоспособности каждого компонента. Кроме того, следует учитывать, что, вообще говоря, ремонтные работы могут потребовать понижения эффективности или даже временного отключения работоспособных компонентов; такого рода влияние также необходимо минимизировать.
Несколько терминологических замечаний. Обычно в литературе по теории надежности вместо доступности говорят о готовности (в том числе о высокой готовности). Мы предпочли термин "доступность", чтобы подчеркнуть, что информационный сервис должен быть не просто "готов" сам по себе, но доступен для своих пользователей в условиях, когда ситуации недоступности могут вызываться причинами, на первый взгляд не имеющими прямого отношения к сервису (пример - отсутствие консультационного обслуживания).
Далее, вместо времени недоступности обычно говорят о коэффициенте готовности . Нам хотелось обратить внимание на два показателя - длительность однократного простоя и суммарную продолжительность простоев, поэтому мы предпочли термин "время недоступности" как более емкий.
Доступность
ЛЕКЦИЯ № 14. Обеспечение доступности
Информационная система предоставляет своим пользователям определенный набор услуг (сервисов). Говорят, что обеспечен нужный уровень доступности этих сервисов, если следующие показатели находятся в заданных пределах:
- Эффективность услуг . Эффективность услуги определяется в терминах максимального времени обслуживания запроса, количества поддерживаемых пользователей и т.п. Требуется, чтобы эффективность не опускалась ниже заранее установленного порога.
- Время недоступности. Если эффективность информационной услуги не удовлетворяет наложенным ограничениям, услуга считается недоступной. Требуется, чтобы максимальная продолжительность периода недоступности и суммарное время недоступности за некоторый период (месяц, год) не превышали заранее заданных пределов.
В сущности, требуется, чтобы информационная система почти всегда работала с нужной эффективностью. Для некоторых критически важных систем (например, систем управления) время недоступности должно быть нулевым, без всяких "почти". В таком случае говорят о вероятности возникновения ситуации недоступности и требуют, чтобы эта вероятность не превышала заданной величины. Для решения данной задачи создавались и создаются специальные отказоустойчивые системы, стоимость которых, как правило, весьма высока.
К подавляющему большинству коммерческих систем предъявляются менее жесткие требования, однако современная деловая жизнь и здесь накладывает достаточно суровые ограничения, когда число обслуживаемых пользователей может измеряться тысячами, время ответа не должно превышать нескольких секунд, а время недоступности – нескольких часов в год.
Задачу обеспечения высокой доступности необходимо решать для современных конфигураций, построенных в технологии клиент/сервер. Это означает, что в защите нуждается вся цепочка – от пользователей (возможно, удаленных) до критически важных серверов (в том числе серверов безопасности).
Основные угрозы доступности были рассмотрены нами ранее.
В соответствии с ГОСТ 27.002, под отказом понимается событие, которое заключается в нарушении работоспособности изделия. В контексте данной работы изделие – это информационная система или ее компонент.
В простейшем случае можно считать, что отказы любого компонента составного изделия ведут к общему отказу, а распределение отказов во времени представляет собой простой пуассоновский поток событий. В таком случае вводят понятие интенсивности отказов и среднего времени наработки на отказ, которые связаны между собой соотношением
где – номер компонента,
– интенсивность отказов,
– среднее время наработки на отказ.
Интенсивности отказов независимых компонентов складываются:
а среднее время наработки на отказ для составного изделия задается соотношением
Уже эти простейшие выкладки показывают, что если существует компонент, интенсивность отказов которого много больше, чем у остальных, то именно он определяет среднее время наработки на отказ всей информационной системы. Это является теоретическим обоснованием принципа первоочередного укрепления самого слабого звена.
Пуассоновская модель позволяет обосновать еще одно очень важное положение, состоящее в том, что эмпирический подход к построению систем высокой доступности не может быть реализован за приемлемое время. При традиционном цикле тестирования/отладки программной системы по оптимистическим оценкам каждое исправление ошибки приводит к экспоненциальному убыванию (примерно на половину десятичного порядка) интенсивности отказов. Отсюда следует, что для того, чтобы на опыте убедиться в достижении необходимого уровня доступности, независимо от применяемой технологии тестирования и отладки, придется потратить время, практически равное среднему времени наработки на отказ. Например, для достижения среднего времени наработки на отказ 10 5 часов потребуется более 10 4,5 часов, что составляет более трех лет. Значит, нужны иные методы построения систем высокой доступности, методы, эффективность которых доказана аналитически или практически за более чем пятьдесят лет развития вычислительной техники и программирования.
Пуассоновская модель применима в тех случаях, когда информационная система содержит одиночные точки отказа, то есть компоненты, выход которых из строя ведет к отказу всей системы. Для исследования систем с резервированием применяется иной формализм.
В соответствии с постановкой задачи будем считать, что существует количественная мера эффективности предоставляемых изделием информационных услуг. В таком случае вводятся понятия показателей эффективности отдельных элементов и эффективности функционирования всей сложной системы.
В качестве меры доступности можно принять вероятность приемлемости эффективности услуг, предоставляемых информационной системой, на всем протяжении рассматриваемого отрезка времени. Чем большим запасом эффективности располагает система, тем выше ее доступность.
При наличии избыточности в конфигурации системы вероятность того, что в рассматриваемый промежуток времени эффективность информационных сервисов не опустится ниже допустимого предела, зависит не только от вероятности отказа компонентов, но и от времени, в течение которого они остаются неработоспособными, поскольку при этом суммарная эффективность падает, и каждый следующий отказ может стать фатальным. Чтобы максимально увеличить доступность системы, необходимо минимизировать время неработоспособности каждого компонента. Кроме того, следует учитывать, что, вообще говоря, ремонтные работы могут потребовать понижения эффективности или даже временного отключения работоспособных компонентов; такого рода влияние также необходимо минимизировать.
Несколько терминологических замечаний. Обычно в литературе по теории надежности вместо доступности говорят о готовности (в том числе о высокой готовности). Мы предпочли термин "доступность", чтобы подчеркнуть, что информационный сервис должен быть не просто "готов" сам по себе, но доступен для своих пользователей в условиях, когда ситуации недоступности могут вызываться причинами, на первый взгляд не имеющими прямого отношения к сервису (пример – отсутствие консультационного обслуживания).
Далее, вместо времени недоступности обычно говорят о коэффициенте готовности. Нам хотелось обратить внимание на два показателя – длительность однократного простоя и суммарную продолжительность простоев, поэтому мы предпочли термин " время недоступности " как более емкий.
1.1 Вероятность безотказной работы
Вероятностью безотказной работы называется вероятность того, что при определенных условиях эксплуатации, в пределах заданной наработки не произойдет ни одного отказа.
Вероятность безотказной работы обозначается как P
(l
)
, которая определяется по формуле (1.1):
где
N
0 - число элементов в начале испытания;
r
(l
) - число отказов элементов к моменту наработки.
Следует отметить, что чем больше величина
N
0
, тем с большей точностью можно рассчитать вероятность
P
(l).
В начале эксплуатации исправного локомотива P
(0)
= 1, так как при пробеге l
= 0 вероятность того, что ни один элемент не откажет, принимает максимальное значение - 1. С ростом пробега l
вероятность P
(l
) будет уменьшаться. В процессе приближения срока эксплуатации к бесконечно большой величине вероятность безотказной работы будет стремиться к нулю P
(l
→∞)
= 0. Таким образом в процессе наработки величина вероятности безотказной работы изменяется в пределах от 1 до 0. Характер изменения вероятности безотказной работы в функции пробега показан на рис. 1.1.
Рис.2.1. График изменения вероятности безотказной работы P(l) в зависимости от наработки
Основными достоинствами использования данного показателя при расчетах является два фактора: во-первых, вероятность безотказной работы охватывает все факторы, влияющие на надежность элементов, позволяя достаточно просто судить о его надежности, т.к. чем больше величина P (l ), тем выше надежность; во-вторых, вероятность безотказной работы может быть использована в расчетах надежности сложных систем, состоящих из более чем одного элемента.
1.2 Вероятность отказа
Вероятностью отказа называют вероятность того, что при определенных условиях эксплуатации, в предела
х заданной наработки произойдет хотя бы один отказ.
Вероятность отказа обозначается как Q
(l
), которая определяется по формуле (1.2):
В начале эксплуатации исправного локомотива Q (0) = 0, так как при пробеге l = 0 вероятность того, что хотя бы один элемент откажет, принимает минимальное значение - 0. С ростом пробега l вероятность отказа Q (l ) будет увеличиваться. В процессе приближения срока эксплуатации к бесконечно большой величине вероятность отказа будет стремиться к единице Q (l →∞ ) = 1. Таким образом в процессе наработки величина вероятности отказа изменяется в пределах от 0 до 1. Характер изменения вероятности отказа в функции пробега показан на рис. 1.2. Вероятность безотказной работы и вероятность отказа являются событиями противоположными и несовместимыми.
Рис.2.2. График изменения вероятности отказа Q(l) в зависимости от наработки
1.3 Частота отказов
Частота отказов - это отношение числа элементов в единицу времени или пробега отнесенного к первоначальному числу испытуемых элементов. Другими словами частота отказов является показателем, характеризующим скорость изменения вероятности отказов и вероятности безотказной работы по мере роста длительности работы.
Частота отказов обозначается как и определяется по формуле (1.3):
где - количество отказавших элементов за промежуток пробега .
Данный показатель позволяет судить по его величине о числе элементов, которые откажут на каком-то промежутке времени или пробега, также по его величине можно рассчитать количество требуемых запасных частей.
Характер изменения частоты отказов в функции пробега показан на рис. 1.3.
Рис. 1.3. График изменения частоты отказов в зависимости от наработки
1.4 Интенсивность отказов
Интенсивность отказов представляет собой условную плотность возникновения отказа объекта, определяемую для рассматриваемого момента времени или наработки при условии, что до этого момента отказ не возник. Иначе интенсивность отказов - это отношение числа отказавших элементов в единицу времени или пробега к числу исправно работающих элементов в данный отрезок времени.
Интенсивность отказов обозначается как и определяется по формуле (1.4):
где 
Как правило, интенсивность отказов является неубывающей функцией времени. Интенсивность отказов обычно применяется для оценки склонности к отказам в различные моменты работы объектов.
На рис. 1.4. представлен теоретический характер изменения интенсивности отказов в функции пробега.
Рис. 1.4. График изменения интенсивности отказов в зависимости от наработки
На графике изменения интенсивности отказов, изображенном на рис. 1.4. можно выделить три основных этапа отражающих процесс экс-плуатации элемента или объекта в целом.
Первый этап, который также называется этапом приработки, характеризуется увеличением интенсивности отказов в начальный период эксплуатации. Причиной роста интенсивности отказов на данном этапе являются скрытые дефекты производственного характера.
Второй этап, или период нормальной работы, характеризуется стремлением интенсивности отказов к постоянному значению. В течение этого периода могут возникать случайные отказы, в связи с появлением внезапной концентрации нагрузки, превышающей предел прочности элемента.
Третий этап, так называемый период форсированного старения. Характеризуется возникновением износовых отказов. Дальнейшая эксплуатация элемента без его замены становится экономически не рациональной.
1.5 Средняя наработка до отказа
Средняя наработка до отказа - это средний пробег безотказной работы элемента до отказа.
Средняя наработка до отказа обозначается как L
1 и определяется по формуле (1.5):
где l
i
- наработка до отказа элемента; r
i
- число отказов.
Средняя наработка до отказа может быть использована для предварительного определения сроков ремонта или замены элемента.
1.6 Среднее значение параметра потока отказов
Среднее значение параметра потока отказов характеризует среднюю плотность вероятности возникновения отказа объекта, определяемая для рассматриваемого момента времени.
Среднее значение параметра потока отказов обозначается как W
ср и определяется по формуле (1.6):
1.7 Пример расчета показателей безотказности
Исходные данные.
В течение пробега от 0 до 600 тыс. км., в локомотивном депо произведен сбор информации по отказам ТЭД. При этом количество исправных ТЭД в начале периода эксплуатации составляло N0
= 180 шт. Суммарное количество отказавших ТЭД за анализируемый период составило ∑r(600000) = 60. Интервал пробега принять равным 100 тыс. км. При этом количество отказавших ТЭД по каждому участку составило: 2, 12, 16, 10, 14, 6.
Требуется.
Необходимо рассчитать показатели безотказности и построить их зависимости изменения во времени.
Сначала необходимо заполнить таблицу исходных данных так, как это показано в табл. 1.1.
Таблица 1.1.
| , тыс. км | 0 - 100 | 100 - 200 | 200 - 300 | 300 - 400 | 400 - 500 | 500 - 600 |
| 2 | 12 | 16 | 10 | 14 | 6 | |
| 2 | 14 | 30 | 40 | 54 | 60 |
Первоначально по уравнению (1.1) определим для каждого участка пробега величину вероятности безотказной работы. Так, для участка от 0 до 100 и от 100 до 200 тыс. км. пробега вероятность безотказной работы составит:
Произведем расчет частоты отказов по уравнению (1.3).
Тогда интенсивность отказов на участке 0-100 тыс.км. будет равна:
Аналогичным образом определим величину интенсивности отказов для интервала 100-200 тыс. км.
По уравнениям (1.5 и 1.6) определим среднюю наработку до отказа и среднее значение параметра потока отказов.
Систематизируем полученные результаты расчета и представим их в виде таблицы (табл. 1.2.).
Таблица 1.2.
| , тыс.км. | 0 - 100 | 100 - 200 | 200 - 300 | 300 - 400 | 400 - 500 | 500 - 600 |
| 2 | 12 | 16 | 10 | 14 | 6 | |
| 2 | 14 | 30 | 40 | 54 | 60 | |
| P(l) | 0,989 | 0,922 | 0,833 | 0,778 | 0,7 | 0,667 |
| Q(l) | 0,011 | 0,078 | 0,167 | 0,222 | 0,3 | 0,333 |
| 10 -7 , 1/км | 1,111 | 6,667 | 8,889 | 5,556 | 7,778 | 3,333 |
| 10 -7 , 1/км | 1,117 | 6,977 | 10,127 | 6,897 | 10,526 | 4,878 |
Приведем характер изменения вероятности безотказной работы ТЭД в зависимости от пробега (рис. 1.5.). Необходимо отметить, что первой точкой на графике, т.е. при пробеге равном 0, величина вероятности безотказной работы примет максимальное значение - 1.
Рис. 1.5. График изменения вероятности безотказной работы в зависимости от наработки
Приведем характер изменения вероятности отказа ТЭД в зависимости от пробега (рис. 1.6.). Необходимо отметить, что первой точкой на графике, т.е. при пробеге равном 0, величина вероятности отказа примет минимальное значение - 0.
Рис. 1.6. График изменения вероятности отказа в зависимости от наработки
Приведем характер изменения частоты отказов ТЭД в зависимости от пробега (рис. 1.7.).
Рис. 1.7. График изменения частоты отказов в зависимости от наработки
На рис. 1.8. представлена зависимость изменения интенсивности отказов от наработки.
Рис. 1.8. График изменения интенсивности отказов в зависимости от наработки
2.1 Экспоненциальный закон распределения случайных величин
Экспоненциальный закон достаточно точно описывает надежность узлов при внезапных отказах, имеющих случайный характер. Попытки применить его для других типов и случаев отказов, особенно постепенных, вызванных износом и изменением физико-химических свойств элементов показали его недостаточную приемлемость.
Исходные данные.
В результате испытания десяти топливных насосов высокого давления получены наработки их до отказа: 400, 440, 500, 600, 670, 700, 800, 1200, 1600, 1800 ч. Предполагая, что наработка до отказа топливных насосов подчиняется экспоненциальному закону распределения.
Требуется.
Оценить величину интенсивности отказов, а также рассчитать вероятность безотказной работы за первые 500 ч. и вероятность отказа в промежутке времени между 800 и 900 ч. работы дизеля.
Во-первых, определим величину средней наработки топливных насосов до отказа по уравнению:
Затем рассчитываем величину интенсивности отказов:
Величина вероятности безотказной работы топливных насосов при наработке 500 ч составит:
Вероятность отказа в промежутке между 800 и 900 ч. работы насосов составит:
2.2 Закон распределения Вэйбулла-Гнеденко
Закон распределения Вейбулла-Гнеденко получил широкое распространение и используется применительно к системам, состоящим из рядов элементов, соединенных последовательно с точки зрения обеспечения безотказности системы. Например, системы, обслуживающие дизель-генераторную установку: смазки, охлаждения, питания топливом, воздухом и т.д.
Исходные данные.
Время простоя тепловозов в неплановых ремонтах по вине вспомогательного оборудования подчиняется закону распределения Вейбулла-Гнеденко с параметрами b=2 и a=46.
Требуется.
Необходимо определить вероятность выхода тепловозов из неплановых ремонтов после 24 ч. простоя и время простоя, в течение которого работоспособность будет восстановлена с вероятностью 0,95.
Найдем вероятность восстановления работоспособности локомотива после простоя его в депо в течение суток по уравнению:
Для определения времени восстановления работоспособности локомотива с заданной величиной доверительной вероятности также используем выражение:
2.3 Закон распределения Рэлея
Закон распределения Рэлея используется в основном для анализа работы элементов, имеющих ярко выраженный эффект старения (элементы электрооборудования, различного рода уплотнения, шайбы, прокладки, изготовленные из резиновых или синтетических материалов).
Исходные данные.
Известно, что наработки контакторов до отказа по параметрам старения изоляции катушек можно описать функцией распределения Рэлея с параметром S = 260 тыс.км.
Требуется.
Для величины наработки 120 тыс.км. необходимо определить вероятность безотказной работы, интенсивность отказов и среднюю наработку до первого отказа катушки электромагнитного контактора.
3.1 Основное соединение элементов
Система, состоящая из нескольких независимых элементов, связанных функционально таким образом, что отказ любого из них вызывает отказ системы, отображается расчетной структурной схемой безотказной работы с последовательно соединенными событиями безотказной работы элементов.
Исходные данные.
Нерезервированная система состоит из 5 элементов. Интенсивности их отказов соответственно равны 0,00007; 0,00005; 0,00004; 0,00006; 0,00004 ч-1
Требуется.
Необходимо определить показатели надежности системы: интенсивность отказов, среднее время наработки до отказа, вероятность безотказной работы, частота отказов. Показатели надежности P(l) и a(l) получить в интервале от 0 до 1000 часов с шагом в 100 часов.
Вычислим интенсивность отказа и среднюю наработку до отказа по следующим уравнениям:
Значения вероятности безотказной работы и частоты отказов получим, используя уравнения приведенные к виду:
Результаты расчета P(l) и a(l) на интервале от 0 до 1000 часов работы представим в виде табл. 3.1.
Таблица 3.1.
| l , час | P(l) | a(l) , час -1 |
| 0 | 1 | 0,00026 |
| 100 | 0,974355 | 0,000253 |
| 200 | 0,949329 | 0,000247 |
| 300 | 0,924964 | 0,00024 |
| 400 | 0,901225 | 0,000234 |
| 500 | 0,878095 | 0,000228 |
| 600 | 0,855559 | 0,000222 |
| 700 | 0,833601 | 0,000217 |
| 800 | 0,812207 | 0,000211 |
| 900 | 0,791362 | 0,000206 |
| 1000 | 0,771052 | 0,0002 |
Графическая иллюстрация P(l) и a(l) на участке до средней наработки до отказа представлена на рис. 3.1, 3.2.
Рис. 3.1. Вероятность безотказной работы системы.
Рис. 3.2. Частота отказов системы.
3.2 Резервное соединение элементов
Исходные данные.
На рис. 3.3 и 3.4 показаны две структурные схемы соединения элементов: общего (рис. 3.3) и поэлементного резервирования (рис. 3.4). Вероятности безотказной работы элементов соответственно равны P1(l) = P ’1(l) = 0,95; P2(l) = P’2(l) = 0,9; P3(l) = P ’3(l) = 0,85.
Рис. 3.3. Схема системы с общим резервированием.
Рис. 3.4. Схема системы с поэлементным резервированием.
Вероятность безотказной работы блока из трех элементов без резервирования рассчитаем по выражению:
Вероятность безотказной работы той же системы при общем резервировании (рис. 3.3) составит:
Вероятности безотказной работы каждого из трех блоков при поэлементном резервировании (рис. 3.4) будут равны:
Вероятность безотказной работы системы при поэлементном резервировании составит:
Таким образом, поэлементное резервирование дает более существенное увеличение надежности (вероятность безотказной работы возросла с 0,925 до 0,965, т.е. на 4%).
Исходные данные.
На рис. 3.5 представлена система с комбинированным соединением элементов. При этом вероятности безотказной работы элементов имеют следующие значения: P1=0,8; Р2=0,9; Р3=0,95; Р4=0,97.
Требуется.
Необходимо определить надежность системы. Также необходимо определить надежность этой же системы при условии, что резервные элементы отсутствуют.
Рис.3.5. Схема системы при комбинированном функционировании элементов.
Для расчета в исходной системе необходимо выделить основные блоки. В представленной системе их три (рис. 3.6). Далее рассчитаем надежность каждого блока в отдельности, а затем найдем надежность всей системы.
Рис. 3.6. Сблокированная схема.
Надежность системы без резервирования составит:
Таким образом, система без резервирования является на 28% менее надежной, чем система с резервированием.
Надежность и живучесть бортовых вычислительных систем (БЦВС).
Надежность – это свойство изделий выполнять требуемые функции, сохраняя свои эксплуатационные показатели в заданных пределах в течение требуемого промежутка времени.
Живучесть - способность вычислительной системы выполнять свои основные функции, несмотря на полученные повреждения и вышедшие из строя элементы аппаратуры.
К надежности и живучести БУВМ и БЦВС предъявляются более жесткие требования, чем к надежности и живучести универсальных и персональных ЭВМ. При отказе БЦВМ нарушается работоспособность системы, и не выполняются поставленные задачи, что может привести к непоправимым последствиям, в том числе и к человеческим жертвам.
Повторное решение задачи после восстановления БЦВМ и БЦВС часто невозможно. Так, например, при сбое в работе БЦВС зенитно-ракетного комплекса будет уничтожен обороняемый объект. И, если вы в короткий срок восстановите работу системы, то разрушения не удастся вернуть так же, как и потерянные жизни. Сбой в авионике может привести к крушению самолета или самопроизвольному сходу ракет. В этом случае восстановление работы БЦВС так же не позволит исправить последствия ошибки.
Обеспечение высокой надежности и живучести БЦВС усложняется условиями работы аппаратуры на борту при больших колебаниях температуры, влажности, действии механических нагрузок и в условии высокой запыленности. Так же ограничение накладывается на габариты и массу аппаратуры. Это в основном относится к авиации, но так же большое значение имеет и для БЦВС других направлений.
Таким образом, проблема надежности и живучести БЦВМ и БЦВС имеет ряд особенностей, обусловленных своеобразием структуры БЦВМ и характером выполняемых ими функций.
Задача обеспечения в сложной системе высокой надежности и живучести может оказаться весьма дорогостоящей, сложной и требующей больших затрат времени, хотя затруднения с выпуском продукции и проблемы, возникающие во время эксплуатации, в связи с необходимостью обеспечения и поддержания требуемого уровня надежности, могут вызвать еще большие затруднения.
Например, при уменьшении надежности ракетной системы на 10% для обеспечения одной и той же степени поражения цели потребуется увеличение, по меньшей мере, на 10% фактического количества боевых ракет. Для этих ракет нужны дополнительные пусковые площадки, испытательная аппаратура, оборудование для пуска, обслуживающий персонал и вспомогательное оборудование, что связано с большими затратами денежных средств и времени.
Чем сложнее структура вычислительной системы, тем труднее обеспечить надежность и живучесть. Следует заметить, что большинство отказов, имевших место при пусках управляемых ракет и искусственных спутников в США, не было вызвано неисправностью какого-либо экзотического устройства, конструкция которого ускорила прогресс современного уровня техники. Напротив, многие отказы были вызваны неисправностью функциональных и конструктивных элементов ранее апробированной конструкции. Иногда элементы были изготовлены неправильно, а в других случаях имели место ошибки в работе программистов или обслуживающего персонала. Нет такой мелочи, которая была бы слишком ничтожной для того, чтобы не оказаться возможной причиной отказа. Высокие потенциальная и практически достижимая надежности в значительной степени являются результатом глубокого и пристального внимания к мелочам.
Проблема повышения надежности и отказоустойчивости свойственна не только БЦВС, но и коммерческой аппаратуре. Например, в кластере Google в среднем происходит отказ 1 компьютера в день (то есть за год аварии происходят примерно на 3% компьютеров). Конечно, за счет резервирования данных и кода эти сбои пользователям незаметны, но для программиста они являются большой проблемой.
Случай, когда вычислительная система или ее часть вышли из строя, и дальнейшая работа невозможна без ремонта - называется отказом.
Теория надежности различает 3 характерных признака отказов, которые могут быть присуще аппаратуре и проявляются без всякого воздействия со стороны людей.
1. Приработные отказы. Эти отказы происходят в течение раннего периода эксплуатации и в большинстве случаев вызваны недостатком технологии производства и дефектами при изготовлении элементов вычислительных систем. Эти отказы могут быть исключены процессом отбраковки, приработки и технологического тестирования готового изделия.
2. Дефектные или постепенные отказы. Это - отказы, возникающие из-за износа отдельных параметров или частей аппаратуры. Они характеризуются постепенным изменением параметров изделия или элементов. В начале эти отказы могут проявляется как временные сбои. Однако, по мере того, как износ возрастает, временные сбои превращаются в серьезные отказы аппаратуры. Эти отказы являются признаком старения БЦВС. Они частично могут быть устранены при правильной эксплуатации, хорошей профилактике и своевременной замене изношенных элементов аппаратуры.
3. Внезапные или катастрофические отказы. Эти отказы не могут быть устранены ни при отладке аппаратуры, ни правильным обслуживанием, ни профилактикой. Внезапные отказы возникают случайно, никто не может их предсказать, однако, они подчиняются определенным законам вероятности. Так что частота внезапных отказов в течение достаточно большого периода времени становится примерно постоянной. Это происходит в любой аппаратуре. Примером случайных отказов является обрыв или замыкание цепей. Такой отказ приводит, обычно, к тому, что на выходе устанавливается постоянно либо 0, либо 1. При возникновении случайных отказов необходимо заменять элементы, в которых они произошли. Для этого вычислительная система должна быть ремонтопригодной и позволять быстро проводить профилактические работы в полевых условиях.
В отдельную группу можно выделить перемежающиеся отказы или сбои. Под сбоем подразумевается кратковременное нарушение нормальной работы БЦВМ, при котором один или несколько ее элементов, при выполнении одной или нескольких смежных операции, дает случайный результат. После сбоя вычислительная система может нормально функционировать в течение длительного времени.
Причиной возникновения сбоев могут быть электромагнитные наводки, механические воздействия и др. Часто сбои не приводит к выходу из строя комплекса, а только изменяют ход работы программного обеспечения из-за неверного выполнения одной или нескольких команд, что может привести к катастрофическим последствиям. Отличие сбоев от отказов в том, что при обнаружении последствий от сбоя, необходимо восстанавливать не аппаратуру, а информацию, искаженную сбоем.
Рассказывая о сбоях, необходимо упомянуть о, так называемых, Шрёдинбагах. Шрёдинбаг – это ошибка, при которой вычислительная система долгое время функционирует нормально, однако, при определенных условиях, например, задании нестандартных параметров работы, возникает сбой. При анализе этого сбоя оказывается, что программное обеспечение вычислительной системы имеет принципиальную ошибку, из-за которой оно в принципе не должно было функционировать.
Шрёдинбаг может быть образован сложной комбинацией парных ошибок (когда ошибка в одном месте компенсируется ошибкой противоположного действия в другом месте). При определенном стечении обстоятельств баланс ошибок разрушается, что приводит к парализации работы.
Таким образом, для БЦВС характерно еще одно свойство, определяющее ее надежность – безошибочность или достоверность функционирования. Следовательно, надежность БЦВС – это совокупность безотказности, достоверности функционирования, живучести и ремонтопригодности.
В качестве параметров надежности применяют:
1. Интенсивность отказов –
2. Средняя наработка на отказ –
3. Вероятность безотказной работы в течение заданного времени – Р
4. Вероятность отказа – Q
Интенсивность отказов
Интенсивность отказов – это частота, с которой происходят отказы. Если аппаратура состоит из нескольких элементов, то ее интенсивность отказов равна сумме интенсивности отказов всех элементов, отказы которых приводят к неисправности оборудования.
Кривая интенсивности отказов, в зависимости от времени эксплуатации, изображена на рисунке ниже.
При начале эксплуатации (в момент времени t = 0) вводится в действие большое количество элементов. Эта совокупность элементов в начале может имеет большую интенсивность отказов, за счет дефектных образцов. Поскольку дефектные элементы отказывают один за другим, интенсивность отказов относительно быстро уменьшается в течение периода приработки и становится приблизительно постоянной к моменту нормальной эксплуатации (Т норм), когда дефектные элементы уже отказали, и были заменены на работоспособные.
Совокупность элементов, прошедших период приработки, имеет самый низкий уровень отказов, который сохраняется примерно постоянным до начала выхода из строя элементов, из-за износа (Т износа). С этого момента интенсивность отказов начинает возрастать.
Средняя наработка на отказ
Средняя наработка на отказ – это отношение общего отработанного времени к общему числу отказов. В течение периода нормальной эксплуатации, когда интенсивность отказов примерно постоянна, средняя наработка на отказ представляет собой величину обратную интенсивности отказов:
Вероятность безотказной работы.
Вероятностью безотказной работы называется вероятное или ожидаемое число устройств, которое будет безотказно функционировать в течение заданного периода времени:
Эта формула справедлива для всех устройств, которые прошли приработку, но не испытывают влияние износа. Следовательно, время t не может превышать периода нормальной эксплуатации устройств.
График, показывающий вероятность безотказной работы в зависимости от времени нормальной эксплуатации, приведен ниже:
Вероятность отказа.
Вероятность отказа – это величина обратная вероятности безотказной работы.
Номинальная интенсивность отказов.
Элементы аппаратуры проектируют так, чтобы они могла выдерживать определенные номинальные: напряжение, силу тока, температуру, вибрации, влажность и так далее. Когда аппаратура в процессе работы подвергается влиянию таких воздействий, наблюдается некая определенная интенсивность отказов. Ее называют номинальной интенсивностью отказов.
При увеличении общей рабочей нагрузи или некоторых частных нагрузок, или вредных воздействий окружающей среды сверх номинальных уровней, интенсивность отказов возрастает довольно резко по сравнению со своим номинальным значением. И наоборот, интенсивность отказов уменьшается, когда нагрузка становится ниже номинального уровня.
Например, если элемент должен работать при номинальном значении температуры 60 градусов, то путем понижения температуры, в результате применения принудительной системы охлаждения, можно снизить интенсивность отказов. Однако, если снижение температуры влечет за собой слишком большое увеличение количества элементов и веса аппаратуры, то более выгодным может оказаться выбор элементов с увеличенным номинальным значением рабочей температуры и применение их при температуре, ниже номинальной. В этом случае аппаратура может стать дешевле, а масса меньше (что принципиально при работе в летательном аппарате), чем при применении принудительной системы охлаждения.
Методы определения надежности БЦВС.
Когда проектируются и создаются новые изделия механическими, электрическими, химическими или другими измерениями, нельзя определить значение интенсивности отказов. Интенсивность отказов можно определить путем сбора статистических данных, полученных при испытании на надежность этого или аналогичных изделий.
Вероятность безотказной работы в течение любого момента времени испытаний выражается формулой:
Интенсивность отказов определяется формулой:
При измерении интенсивности отказов необходимо поддерживать постоянное число элементов, участвующих в испытании, путем замены отказавших элементов новыми.
Таким образом, для получения данных о количественных характеристиках надежности аппаратуры, необходимо изготовить специальный образец аппаратуры для испытаний на надежность. Испытания на надежность должны проводиться в условиях, соответствующих реальным условиям эксплуатации оборудования по внешним воздействиям, периодичности включения и изменения параметров питания.
