Иначе она может быть поставлена под сомнение и удалена.
Вы можете отредактировать эту статью, добавив ссылки на .
Эта отметка установлена 20 марта 2014 года .

Горячий резерв (англ. Hot Spare ), иногда жаргонно хотспара - технология резервирования электронного оборудования, в которой резерв подключен к системе и подменяет вышедший из строя компонент в автоматическом режиме, или, хотя бы, без прерывания работы системы. Чаще всего применяется в системах автоматизации технологических процессов (контроллеры, модули ввода-вывода, системы электропитания) и в IT-сфере (жёсткие диски, оперативная память компьютеров). В контексте некоторых систем может называться просто "spare" (подразумевая, что устройства с холодной заменой просто в системе не видны и особого термина не требуют).

Горячий резерв для систем хранения данных

Чаще всего диски горячей замены используются в сочетании с RAID -массивами. В этом случае выделяют несколько видов hotspare дисков:

• локальные (англ. local , англ. array-owned ) - диск принадлежит к конкретному массиву и используется для подмены вышедшего из строя диска только в заданном массиве, если в системе несколько массивов и диск выходит из строя в соседнем массиве, то локальный для другого массива диск не используется для подмены.
• глобальные, общие (англ. global , англ. shared ) - диск не принадлежит ни к одному массиву и может быть использован для подмены вышедшего из строя диска в любом из массивов. В сочетании глобальных и локальных хотспар бывает два алгоритма использования: либо сначала локальные, а потом глобальные, либо сначала глобальные, а потом локальные. Второй вариант позволяет формировать массивы с чуть большей надёжностью у выбранных массивов, первый - у всех.
• групповые (англ. group ) - в этом случае некоторые массивы объединяются в группу, в пределах которой может использоваться резервный диск. Массивы не в группе этот диск не получают (такой вариант, например, использует linux-raid).

Индикация

Некоторые системы и raid-контроллеры могут использовать специфическое обозначение светодиодом (либо особым видом мигания светодиода) для указания на хотспару.

Контроль состояния горячего резерва

Многие системы осуществляют периодическую проверку состояния hostspare-дисков (с помощью чтения или записи) - это позволяет убедиться, что диск для подмены находится в нормальном состоянии, и защитить от ситуации, когда диск, добавляемый в массив вместо вышедшего из строя, сам оказывается сбойным.

Аварийное перестроение массива

Часто жёсткие диски выходят из строя не полностью, а частично (в пределах нескольких секторов). Некоторые системы способны выполнять предварительное копирование данных с частично пострадавшего массива на резервный диск до того момента, когда извлекается пострадавший диск. Сбойные места перестраиваются согласно алгоритмам RAID, нормальные просто копируются с полусбойного диска. Это минимизирует время, когда массив находится в degraded состоянии и снижает нагрузку (так как не нужно пересчитывать контрольные суммы для всего массива).

До сих по мы рассматривали только случай, когда надежность каждого дублирующего элемента не зависит от того, когда включился в работу этот элемент. Этот случай, который мы условно назвали «горячим резервированием», самый простой из всех возможных. Гораздо сложнее случай, когда резервный элемент до своего включения в работу вообще не может отказывать («холодное» резервирование) или может отказывать, но с другой, меньшей плотностью вероятности, чем после включения («облегченное» резервирование).

При рассмотрении задач, связанных с холодным или облегченным резервированием, нам недостаточно будет вводить надежности системы и элементов для одного, заранее фиксированного, значения времени т; необходимо будет проанализировать весь случайный процесс функционирования системы.

Рассмотрим несколько задач, относящихся к холодному и облегченному резервированию.

Задача 1. Общий случай расчета надежности резервированной системы («облегченный» или «холодный» резерв). Система (блок) состоит из «параллельно» включенных элементов (основного и резервного). Интенсивность потока отказов первого элемента при отказе первого элемента происходит автоматическое и безотказное переключение на резервный Интенсивность потока отказов резервного элемента до его включения в работу (элемент работает в «облегченном» режиме).

После его включения в работу, в момент отказа первого элемента, интенсивность мгновенно подскакивает (рис. 7.30) и становится равной интенсивности которую естественно предполагать зависящей не только от текущего времени но и от того срока в течение которого элемент работал в облегченном режиме:

Требуется найти надежность системы

Рассмотрим совокупность двух случайных величин:

Момент отказа основного элемента,

Момент отказа резервного элемента.

Событие А - безотказная работа системы до момента t - состоит в том, что хотя бы одна из величин примет значение, большее, чем t (хотя бы один элемент будет работать к моменту ). Вероятность противоположного события - отказа системы до момента t - будет

Найдем совместную плотность распределения случайных величин обозначая ее Случайные величины зависимы, и

где - безусловная плотность распределения величины - условная плотность распределения величины (при условии, что величина приняла значение ).

Найдем обе плотности. По формуле (3.4) § 3

где - надежность элемента в силу формулы (3.6) равная

Найдем условную плотность Условная интенсивность отказов резервного элемента при условии, что будет:

При этой интенсивности найдем условную плотность распределения времени безотказной работы резервного элемента:

Таким образом, совместная плотность распределения системы случайных величин найдена:

Зная эту совместную плотность, можно найти вероятность отказа системы до момента

откуда искомая надежность системы:

При вычислении по формулам (6.5) - (6.6) необходимо иметь в виду, что выражение функции неодинаково по одну и другую сторону от прямой - биссектрисы первого координатного угла (рис. 7.31). Области интегрирования на рис. 7.31 отмечены разной штриховкой. В области I функция выражается первой из формул (6.5), в области II - второй; следовательно,

(6.7)

При заданном конкретном виде функций интеграл (6.7) может быть вычислен, в простейших случаях аналитически, чаще - численно.

Заметим, что найденное нами решение задачи оценки надежности для случая «облегченного» резерва относится и к случаю «холодного» резерва - при этом так что в формуле (6.7) остается только один интеграл - второй, да и тот тоже упростится.

Мы видим, что в случае даже одного резервного элемента, работающего в облегченном (или холодном) резерве задача оценки надежности системы довольно сложна. Если же число резервных элементов более одного, задача еще больше усложняется.

Однако задача может быть сильно упрощена, если предположить, что потоки неисправностей, действующие на все элементы (основной и резервные), представляют собой простейшие потоки, интенсивность каждого из которых постоянна (это допущение равносильно тому, что закон надежности каждого элемента - экспоненциальный, а включение элемента в работу меняет только параметр этого закона). При таком допущении надежность системы S может быть найдена путем решения дифференциальных уравнений для вероятностей ее состояний.

Задача 2. Система с холодным резервом и простейшими потоками отказов. Резервированная система (блок) 5 состоит из основного элемента Э, и двух резервных: При отказе элемента Э] в работу включается при отказе (рис. 7.32).

До включения каждый из резервных элементов находится «холодном» резерве и отказать не может. Интенсивность потока отказов основного элемента интенсивность потока отказов каждого из резервных элементов, когда они работают, одинакова и равна Все потоки отказов простейшие. Требуется определить надежность системы

Представим процесс, протекающий в системе S, как марковский случайный процесс (см. гл. 4) с непрерывным временем и с дискретными состояниями:

Работает основной элемент

Работает резервный элемент

Не работает ни один элемент.

Граф состояний системы показан на рис. 7.33. Так как восстановления элементов не происходит, все стрелки на графе ведут в одну сторону.

Система уравнений Колмогорова для вероятностей состояний будет:

К ним надо прибавить нормировочное условие:

Из первого уравнения выражаем как функцию

(начальное условие, при котором мы проинтегрировали это уравнение, ) . Подставляя (6.10) во второе уравнение, получим:

Проинтегрируем это уравнение с начальным условием получим:

Эту функцию подставим в третье уравнение (6.8); получим:

Уравнение (6.13) нужно проинтегрировать тоже при начальном условии получим:

Для нахождения функции не нужно интегрировать последнее уравнение (6.8) - ее можно найти из условия (6.9):

Задача 3. Система с облегченным резервом и простейшими потоками отказов. Резервированная система (блок) S состоит из основного элемента и трех резервных: (рис. 7.34). Основной элемент подвергается ростейшему потоку отказов с интенсивностью каждый из резервных до своего включения подвергается потоку отказов с интенсивностью после включения резервного элемента эта интенсивность мгновенно подскакивает до значения При отказе основного элемента Э, включается в работу резервный при отказе и т. д.

При вариантах «холодного» резервирования резервное оборудование находится в выключенном состоянии и включается только при подключении резерва в работу. До включения резервного оборудования его ресурс не расходуется, и «холодное» резервирование дает самую большую ВБР.

Недостаток холодного резервирования – включение резервной аппаратуры проходит за некоторое время, в течение которого система не управляется или неработоспособна. На этом интервале ввода в строй «холодной» резервной аппаратуры источники питания выходят на режим, аппаратура тестируется, прогревается. В нее загружается необходимая информация.

В случае «горячего» резервирования все резервные элементы включены и готовы сразу после команды включиться в работу. Это может обеспечить меньшее время переключения на резерв. Однако ресурс включенной резервной «горячей» аппаратуры расходуется и достижимая ВБР в этом методе меньше, чем в случае «холодного» резервирования. Время переключения на резерв – важный параметр, и допустимые его значения определяются конкретной прикладной задачей.

Для системы дублированной замещением с холодным резервом ВБР равна:

Данное приближение справедливо для ВБР . Для системы троированной замещением с холодным резервом ВБР равна:

Для системы дублированной замещением с горячим резервом ВБР равна:

Для системы троированной замещением с горячим резервом ВБР равна:

На графике приведены изменения Р(t) для трех случаев:

1) нерезервированная система

2) система дублированная с холодным резервом

3) система дублированная с горячим резервом

Изменение ВБР представлены в относительном времени . Это удобно, так как графики справедливы для любого . Здесь – интенсивность отказов системы

Для последовательной надежностной схемы.

Интенсивность отказа элементов, составляющих систему.

Заказчики, которые приобретают Software Assurance для серверных продуктов Microsoft , бесплатно получают дополнительную лицензию на использование сервера холодного резервирования (cold backup server) для целей аварийного восстановления в случае отказа. — это сервер, который выключен до момента возникновения аварии. Нельзя использовать этот сервер для работы приложений или сетевых сервисов.

Преимущества для клиента

• Снижение рисков и времени простоя в непредвиденных ситуациях.
• Экономия на количестве лицензий при резервировании.

Активация и использование преимущества

• Активация не требуется.
• Установка с тех же носителей, что и серверное ПО.

Условия

Данное преимущество предоставляется заказчикам с действующим Software Assurance , приобретенным для серверных продуктов Microsoft и для лицензий клиентского доступа к серверу. Использование серверного программного обеспечения по регулируется следующими условиями:

• Сервер холодного резервирования должен всегда находиться в выключенном состоянии и может включаться только:

1. для целей ограниченного тестирования и управления обновлениями;
2. при аварии.

• Копии программного обеспечения для аварийного восстановления не могут устанавливаться на сервер в одном кластере с сервером приложений.
• В случае аварии ПО может использоваться одновременно и на резервном и на основном сервере только в течение времени, необходимого на восстановление основного сервера. После восстановления основного сервера, сервер холодного резервирования должен быть выключен.
• Бесплатные серверные лицензии аварийного восстановления являются временными и истекают по окончании срока действия Software Assurance для соответствующего сервера или клиентских лицензий . В случае прекращения срока действия Software Assurance необходимо удалить любые копии программного обеспечения, установленные по лицензии аварийного восстановления.

Версия, редакция и тип серверного продукта, который используется для целей аварийного восстановления, должны соответствовать основной лицензии на серверный продукт (например, если право Software Assurance закуплено для лицензии Microsoft SQL Server 2000 Standard per processor , бесплатная лицензия на сервер холодного резервирования также будет лицензией Microsoft SQL Server 2000 Standard per processor ).

• Лицензии Software Assurance должны быть закуплены как для серверного продукта, так и для всех клиентских лицензий CAL (если применимо). Действие лицензии на сервер холодного резервирования истекает с окончанием срока действия Software Assurance .
• Данное преимущество не требует активации на сайте MVLS . Для каждой серверной лицензии с действующим Software Assurance заказчик получает право установить копию этого программного обеспечения на сервер холодного резервирования .
• Количество лицензий для аварийного восстановления, которые предоставляются клиенту, соответствует количеству закупленных лицензий Software Assurance .
• Заказчики могут установить программное обеспечение с носителей, предоставляемых по программам корпоративного лицензирования .
• Использование любого программного обеспечения по лицензии на сервер холодного резервирования регулируется соответствующими правами на использование продукта и условиями предоставления данного преимущества.
• Лицензии License & Software Assurance , приобретенные для серверного ПО и соответствующих клиентских лицензий , а также информация, которая содержится в Volume License Product List (EN) , будет являться подтверждением прав заказчика на использование серверного программного обеспечения по лицензии холодного резервирования .

§ 1 Введение

Целью вычислений при наличии обратимых повреждений является построение надежных систем, которые вычисляют правильные результаты даже сталкиваясь с локальными неудачами. Например, если один из модулей отказывает, скажем, из-за ошибки программирования, то другие модули продолжают вычисления, закрывая неудачу первого модуля. Будет изучен ряд новых методов, чтобы осуществить эту исключительно сильную форму модульности.

Отказ системы – отклонение фактического поведения системы от запланированного поведения. Один из разделов проектирования системы, устойчивой к ошибкам, определяет, что конкретно составляет желаемое и не желаемое поведение.

Отказы происходят из-за ошибки в модуле. Причина ошибки – дефект . Дефекты подразделяются на 4 категории:

Дефекты аппаратуры (например, отказы в работе устройств).

Дефекты программного обеспечения (погрешности проектирования).

Дефекты среды (наводнения, землетрясения)

Дефекты управления (погрешности операторов и ремонтного персонала).

Для того, чтобы оценить надежные системы, нужен метод измерения надежности. Можно моделировать срок службы модуля, как последовательность периодов правильной работы (когда модуль делает то, что предполагается делать) и неправильной работы (когда он не делает то, что предполагается делать). Таким образом, надежность системы может быть измерена, как процент времени, когда она выполняет свои функции (работает правильно).

Среднее время от начала правильного выполнения до первого отказа называется средним временем наработки на отказ , Т о. Это – статистическая величина. Время от первого отказа до момента, когда модуль снова заработает правильно, статистически определяется, как среднее время до восстановления , Т в. Надежность может быть теперь количественно определена, как Т о / (Т о + Т в). Величина Т ср = Т о + Т в иногда называется средним временем между отказами . Например, можно сравнить стандартную компьютерную систему IBM (Т ср = 9 дней, Т в = 10 минут) и компьютерную систему Tandem (Т ср = 11 лет).

Общий подход к проектированию надежных систем прост:

Обнаружение ошибок (требует планирования).

Помещение ошибок в «контейнер» (модульность и изоляция дефектов).

Исправление ошибок.

Что представляет собой общая методика исправления ошибок? Дефекты аппаратных средств могут быть преодолены с помощью копирования данных и обработки, маскирующей отказы. Чтобы сделать малым Т в, применяется самодиагностика системы. Подход к преодолению погрешностей операторов и обслуживающего персонала состоит в том, чтобы уменьшить возможность ошибок (т.е. устранить оператора, осуществлять самонастройку и самопроверку, и т.д.). Дефекты окружающей среды могут быть преодолены с помощью эффективной репликации (дополнительные источники энергоснабжения; не устанавливать систему там, где она может быть затоплена; иметь дополнительные линии связи; копировать систему полностью). Для текущего состояния технологии, главная проблема – ошибки аппаратного и программного обеспечения.

§ 2 Обеспечение надежности микропроцессорных информационно-управляющих вычислительных систем (увс).

Под надежностью изделия (элемента, узла, устройства, системы) понимается свойство последнего сохранять свое качество при определенных условиях эксплуатации в течение заданного промежутка времени, т. е. надежность - качество, развернутое во време­ни. Количественно надежность характеризуется рядом интерваль­ных, интегральных и точечных показателей.

Невосстанавливаемые изделия - изделия, поведение которых существенно лишь до первого отказа, - характеризуются следующими количественными показателями надежности: интенсивностью отказов λ (t ); частотой отказов f (t ); вероятностью безотказной ра­боты P (t ); вероятностью отказа Q (t ); наработкой на отказ Т о.

Восстанавливаемые изделия - изделия, эксплуатация которых допускает их многократный ремонт,- характеризуются следующими количественными показателями надежности: параметром потока отказов ω (t ); параметром потока восстановлений μ (t ); функцией готовности К г (t ); коэффициентом готовности К г; средним временем работы между двумя отказами t ср; средним временем восстановления t в.

Если в процессе функционирования невосстанавливаемого изделия возможен ремонт отдельных его элементов при сохранении работоспособности изделия в целом за счет резерва или если надежность функционирования восстанавливаемого изделия оценивается в интервале времени до первого отказа восстанавливаемого изделия в целом, то такие изделия характеризуются следующими количественными показателями надежности: вероятностью безотказной работы P (t ); вероятностью отказа Q (t ); наработкой на отказ Т о; параметром потока отказов элементов изделия ω (t ); параметром потока восстановлений элементов изделия μ (t ).

Количественные показатели надежности невосстанавливаемых изделий. Интервальные показатели надежности - вероятность безотказной работы P (t ) и вероятность отказа Q (t )-определяются как вероятности событий P (t )= P {τ > t } и Q (t )= P {τ ≤ t } соответ­ственно, где τ - случайный момент времени, в который происходит отказ. При этом P (t ) + Q (t ) = 1, P (0) = l, Q (0) = 0, P (∞)→0, Q (∞)→1.

Точечный (локальный) показатель надежности - интенсивность отказов λ (t )-определяется как вероятность невосстанавливаемого отказа изделия в единицу времени после момента времени при условии, что до этого момента времени отказ не возникал, т.е.

при
и с учетом (1) интенсивность отказов

, (2)

Интегрируя левую и правую части выражения (2) в пределах от 0 до t , нетрудно получить другую форму связи между вероятно­стью безотказной работы и интенсивностью отказов изделия:

. (3)

Рис. 1. Графическая зависи­мость интенсивности отказов изделий от времени

Интенсивность отказов λ (t ) -один из наиболее удобных коли­чественных показателей надежности изделий электроники: инте­гральных схем, радиоэлектронных изделий (транзисторов, диодов, резисторов, конденсаторов и т. п.). Изменение интенсивности отка­зов λ (t ) во времени большинства изделий электронной техники име­ет существенно нелинейный характер (рис. 1), тем не менее на большом по времени участке работы интенсивность отказов изде­лия обычно мало изменяется и принимается в практических расче­тах постоянной.

Следует помнить, что λ (t ), оставаясь постоянной во времени на основном участке работы, существенно зависит от условий эксплу­атации изделия (климатических, механических и радиационных воздействий, электрической нагрузки и т. п.), т. е.

где a i - поправочный коэффициент i -гo эксплуатационного факто­ра; λ 0 - интенсивность отказов изделия при номинальных (лабо­раторных) условиях эксплуатации.

Частота отказов f (t ) -плотность вероятности времени работы изделия до первого отказа:

. (4)

С вероятностью безотказной работы частота отказов связана соотношением

(5)

Одной из часто используемых на практике интегральных харак­теристик надежности является наработка на отказ Т о - математи­ческое ожидание случайного момента времени τ , в который проис­ходит отказ, т. е.

. (6)

Учитывая свойство преобразования Лапласа, заметим, что если известно изображение вероятности безотказной работы P (s ), то

. (7)

Для экспоненциального закона вероятности безотказной работы изделия, т. е. при λ (t ) = const и P (t ) = exp (– λt ), наработка на от­каз равна величине, обратной интенсивности отказов:

.

Количественные показатели надежности восстанавливаемых из­делий. Точечный (локальный) показатель надежности - параметр потока отказов ω (t ) -удельная вероятность появления хотя бы од­ного отказа в единицу времени, т. е.

,

где П o (t )-поток отказов - последовательность отказов, наступа­ющих в случайные моменты времени.

Точечный (локальный) показатель надежности- параметр пото­ка восстановлений μ (t ) -удельная вероятность хотя бы одного вос­становления в единицу времени, т. е. где П в (t ) -поток восстановлений - последовательность восстанов­лений, наступающих в случайные моменты времени.

Среди множества различных отказов (восстановлений) в тео­рии надежности особое место занимает простейший поток отказов (восстановлений), поскольку наиболее важные для практики ре­зультаты получены в теории надежности именно для случая про­стейших потоков. Это объясняется тем, что поведение изделия как системы массового обслуживания при простейших потоках отказов и восстановлений описывается системой дифференциальных урав­нений с постоянными коэффициентами, методы решения которой хорошо разработаны.

Для практики расчетов надежностных показателей изделий очень важна связь между параметром потока отказов ω (t ) восста­навливаемого изделия и интенсивностью отказов λ (t ) того же из­делия, рассматриваемого как невосстанавливаемое, т. е. функцио­нирующее до первого отказа.

В показано, что

, (8)

где f (t )= λ (t )P { t ) -частота отказов невосстанавливаемого изде­лия.

Решение дифференциального уравнения (8) в предположении, что поток отказов соответствующего восстанавливаемого изделия простейший, дает ω (t ) = λ (t ).

Если учесть, что на практике в большинстве случаев предпола­гается, что λ (t )= λ =const, то ω (t ) = λ , т. е. численно параметр по­тока отказов восстанавливаемого изделия равен интенсивности от­казов соответствующего невосстанавливаемого изделия.

В предположении, что поток восстановлений изделия простей­ший, на практике параметр потока восстановлений изделия находят как μ (t ) = l / Т в =const, где Т в - эмпирическое (опытное) значение среднего времени восстановления (ремонта) изделия.

Точечный (локальный) показатель восстанавливаемого изде­лия- функция готовности K г (t )-определяется как вероятность того, что в любой момент времени t изделие оказывается в рабо­тоспособном состоянии, т. е.

, если
, и
, если
. (9)

где P i (t ). и P j { t ) -вероятности нахождения системы в момент вре­мени t в i -м исправном и j -м отказовом состоянии соответственно; N + 1 - общее число, a k - число исправных состояний изделия.

Предел функции готовности K Г (t ) при t →  называется коэффи­циентом готовности К Г и служит интегральным показателем на­дежности восстанавливаемого изделия:

. (10)

Поскольку коэффициент готовности является финальной вероят­ностью пребывания системы в исправном состоянии, его можно вы­числить, используя изображения Лапласа соответствующих веро­ятностей:

Обычно изображение функции готовности K Г (s ) имеет вид

причем n ≥ m ; поэтому

(12)

Интегральные показатели надежности - среднее время работы между двумя отказами T cp и среднее время восстановления T в , т. е. математическое ожидание времени между соседними отказами и восстановлениями соответственно. Показатели T cp и T в можно опре­делить, если известны финальные вероятности пребывания изде­лия во всех возможных состояниях и интенсивности переходов из отказовых в предотказовые состояния:

; (13)

, (14)

где
-финальная вероятность нахождения изделия в l -м рабочем состоянии, l = 0 ... L ;

Финальная вероятность нахождения изделия в (L + i ) -м отказовом состоянии, L + i = L + l , ..., L + N ; μ L + i , l - интенсивность перехода из (L +i )-гo отказового состояния в l -е предотказовое состояние.

Иными словами, среднее время между двумя отказами T cp опре­деляется как отношение суммы финальных вероятностей нахожде­ния системы в рабочих состояниях к сумме финальных вероятно­стей нахождения системы в отказовых состояниях, непосредствен­но связанных с рабочими состояниями и умноженных на соответ­ствующую эквивалентную интенсивность восстановления. Послед­няя есть сумма интенсивностей восстановления, с которыми возмо­жен переход из данного нерабочего состояния L + i , где i=l ÷N , во все связанные с ним рабочие состояния. При вычислении сред­него времени восстановления T в в числителе отношения берется сумма финальных вероятностей нахождения системы во всех отка­зовых состояниях, в знаменателе - сумма, аналогичная выражению T cp . Заметим, что

.

Классификация методов резервирования. При расчете надеж­ности сложного изделия (узла, устройства, системы) полезно соста­вить расчетную надежностную схему.

Если изделие состоит из N элементов и отказ изделия в целом наступает при отказе любого одного из его элементов, то говорят об основном (последовательном) соединении этих элементов, условное изображение расчетной надежностной схемы которого приведено на рис. 2, а. Так как каждый i элемент характеризуется в общем случае интенсивностью отказов λ i (t ) и вероятностью безотказной работы
, то вероятность безотказной работы изделия в целом

. (15)

Для экспоненциального закона вероятности, безотказной рабо­ты отдельных элементов, т. е. при λ i = const, вероятность безотказ­ной работы изделия в целом

и наработка на отказ Т о = 1 / λ Σ , где

.

Если изделие состоит из N элементов и отказ изде­лия в целом наступает лишь в случае, когда откажут все N входящих в него элемен­тов, то говорят о парал­лельном соединении этих элементов, расчетная на­дежностная схема которого приведена на рис. 2, б. В этом случае вероятность без­отказной работы

а наработка на отказ Т о и интенсивность отказов изделия вычисляются по (6) и (2) соответственно.

а)

Рис. 2. Условное изображение в надеж­ностных схемах последовательного (а), па­раллельного (б) и параллельно-последова­тельного (в) соединений изделий.

В общем случае изделие с точки зрения надежности может быть представлено параллельно - последовательной рабочей надежностной схемой, в которой последовательное соединение элементов отражает поведение элементов, отказ которых приводит к отказу изделия в целом, а параллельное соединение элементов отражает поведение элементов, отказ которых приводит к отказу изделия в це­лом, если откажут все элементы параллельного соединения. На рис. 2, в приведен пример параллельно-последовательной надежностной схемы.

Если надежностная схема изделия содержит параллельное соединение, т. е. если в изделии повышение надежности обеспечивается использованием функционально избыточных элементов, то говорят, что в изделии имеет место резерв. При этом различают поэлементный, общий и скользящий резерв.

Рис. 3. Классификация способов резервирования изделий

Поэлементный резерв - резерв, при котором функционально избыточные элементы предусматриваются на случай отказа отдельных элементов или групп элементов изделия.

Общий резерв - резерв, при котором функционально избыточные элементы предусматриваются на случай отказа изделия в целом.

Скользящий резерв - резерв, при котором функции элемента неизбыточного изделия передаются резервному элементу только после отказа основного элемента, причем основные элементы резервируются одним или несколькими резервными элементами; каждый из которых может заменить любой отказавший основной элемент.

Общий, поэлементный и скользящий резерв в зависимости от того, в каком режиме (включенном или выключенном) используются резервные элементы до момента начала их функционирования вместо отказавших основных элементов, подразделяют на нагруженный (горячий) и ненагруженный (холодный) резерв.

В случае нагруженного (горячего) резерва резервные элементы находятся в том же рабочем режиме, что и основные.

В случае ненагруженного (холодного) резерва резервные элементы до момента их использования вместо основных элементов практически не несут нагрузок, находятся в выключенном состоянии.

Классификация способов резервирования невосстанавливаемых и восстанавливаемых изделий (узлов, устройств, систем ЭВМ) в зависимости от режима работы и способа включения резервных элементов приведена на рис. 3.

Методы расчета количественных показателей надежности изделий. Расчет показателей надежности невосстанавливаемых из­делий с нагруженным общим или поэлементным резервом в предположении внезапных отказов элементов с постоянными во времени интенсивностями отказов элементов проводится с использованием соотношений (6), (15), (16). Например, для расчетной надежности схемы, показанной на рис. 2, в,

Расчетная надежностная схема для невосстанавливаемых из­делий с нагруженным скользящим резервом (рис. 4, а) содержит п основных элементов и т резервных. В предположении, что вероятности безотказной работы всех элементов (основных и резервных) одинаковы и равны p (t ), вероятность безотказной работы изделий в целом P (t ) определяется как вероятность события, что за время t в изделии произойдет не более т отказов, т. е.

, (17)

где p (t ) в случае внезапных отказов с постоянной во времени интенсивностью λ равна ехр (-λ t ).

На практике с целью повышения надежности сложных вычислительных устройств широкое распространение получило мажорирование, которое можно рассматривать как частный случай скользящего нагруженного резервирования.

При мажорировании изделие l -кратно резервируется; причем l нечетно. Результат работы всех изделий сравнивается в специальном устройстве - мажорирующем элементе (рис. 4, б)-и за истинное значение принимается такое, которое имеет место на выходе большинства изделий, т. е. на выходе (l -1)/2+1 изделий. Вероятность безотказной работы l -кратно мажорированного изделия в предположении, что мажорирующий элемент абсолютно надежен, можно оценить, используя соотношение (17), если в нем положить

Рис. 4. Расчетные надежностные схемы для случаев невосстанавливаемых изделий с нагруженным скользящим резервом (а ) и мажорирования (б ).

m + n = l , m = (l -1)/2, т.е.

.

При l =3, 5 и 7 соответственно получим Р 3 (t ) = р 2 (t )(3-2р (t )]; P 5 (t )= р 3 (t ); P 7 (t )= р 4 (t ) .

Показатели надежности невосстанавливаемых изделий при нагруженном общем, поэлементном и скользящем резерве либо восстанавливаемых изделий при ненагруженном или нагруженном общем, поэлементном и скользящем резерве можно вычислить, описывая «старение» таких изделий случайным марковским процессом с дискретными состояниями .

Случайный процесс называется марковским случайным процессом (процессом без последействия), если дальнейшее поведение процесса определяется его состоянием в данный момент времени и не зависит от его предыстории. Случайный марковский процесс называется процессом с дискретными состояниями, если возможные состояния изделия S 1 , S 2 , S 3 , ... можно перечислить (перенумеровать) одно за другим, а сам процесс состоит в том, что время от времени изделие S скачком (мгновенно) переходит из одного состояния в другое под действием простейших потоков отказов и восстановлений отдельных элементов изделия.

При анализе поведения изделия во времени в процессе износа (старения) удобно пользоваться графом состояний, содержащим столько вершин, сколько различных состояний возможно у изделия. Ребра графа состояний отражают возможные переходы из некоторого состояния во все остальные в соответствии с параметрами потоков отказов или восстановлений. Если для каждого состояния изделия, другими словами, для каждой вершины графа вычислить вероятность нахождения изделия именно в этом состоянии в любой произвольный момент времени P i (t ), то, зная эти вероятности, можно оценить интересующие на практике показатели надежности, используя соотношения (2),(6),(9)- (14).

Связь между вероятностями нахождения изделия во всех его возможных состояниях, в свою очередь, выражается системой дифференциальных уравнений Колмогорова . Структура уравнений Колмогорова построена по вполне определенному правилу: в левой части каждого уравнения Колмогорова записывается производная вероятности нахождения изделия в рассматриваемом состоянии вершины графа, а правая часть содержит столько членов, сколько ребер графа состояний связано с данной вершиной графа (если ребро направлено из данной вершины, соответствующий член: имеет знак минус, если в данную вершину - знак плюс). Каждый член равен произведению параметра потока отказа (восстановления), связанного с данным ребром, на вероятность нахождения в той вершине графа, из которой исходит ребро. Система уравнений Колмогорова включает столько уравнений, сколько вершин в графе состояний изделия. Решение системы уравнений Колмогорова при конкретных начальных условиях, определяемых спецификой эксплуатации изделия, дает значения искомых вероятностей P i (t ).

В общем случае применение теории случайных марковских процессов к решению задач оценки показателей надежности восстанавливаемых и невосстанавливаемых изделий включает: 1) составление списка всех возможных состояний изделия; 2) вычисление параметров потоков отказов и восстановлений для каждого состояния; 3) составление графа состояний; 4) запись системы дифференциальных уравнений Колмогорова; 5) решение системы уравнений Колмогорова и определение количественных показателей надежности по соотношениям (2), (6), (9)-(14).

Пути повышения надежности УВС. Надежность УВС растет по мере совершенствования элементной базы. Так, применение микропроцессорных наборов БИС, БИС ЗУ, матричных кристаллов ведет к уменьшению числа элементов, числа межсоединений (паек, сварок) в средствах вычислительной технике. Однако из-за тенденции постоянного увеличения функциональных возможностей средств вычислительной техники число элементов в системах остается достаточно большим.

Если резерв в УВС отсутствует, то практически невозможно достичь приемлемых показателей надежности. Поскольку в инженерной практике считают, что вычислительное средство надежно, если вероятность безотказной работы Р (Δt ) в течение некоторого интервала времени Δt равна 0,997, постольку при λ = 10 -4 ÷10 -7 1/ч и числе элементов в системе n = 10 4 ÷10 5 время безотказной рабо­ты в указанном выше смысле составляет лишь единицы часов:

Например, при λ = 10 -7 1/ч и n =10 4 Δt ≤3 ч. Так как существенно уменьшить п и λ нельзя, то и увеличить Δt без применения резерва практически не удается. Опыт эксплуатации электронной техники показывает, что интенсивность отказов элементов при ее хранении примерно на порядок ниже, чем при работе в реальных условиях эксплуатации, т. е.

λ xp ≈ 0,1λ . Это означает, что применение ненагруженного резерва без восстановления может снизить n λΔt не более чем в 10 раз. Такой подход дает возможность создавать средства вычислительной техники, работающие безотказно практически лишь в течение десятков часов, что не решает проблемы резкого повышения надежности УВС.

Теоретически введением избыточности в структуру УВС можно создать сколь угодно надежную вычислительную систему. Но не всегда это практически выполнимо. Для подтверждения этого тезиса сравним количественные показатели надежности: 1) нерезервированной УВС, характеризуемой параметром потока отказов ω = λ и параметром потока восстановлений μ; 2) дублированной УВС (общее резервирование) с восстановлением отказавших ЭВМ; 3) дублированной УВС (поэлементное резервирование) с восстановлением отказавших элементов; 4) УВС, состоящей из п основных и m резервных равнонадежных ЭВМ с параметром потока отказов, каждый из которых равен λ (предполагается, что восстановление отказавших элементов с параметром μ возможно в процессе работы системы).

Для нерезервированной УВС

Р (t ) = ехр (–λ t ); К Г = μ / (μ + λ); T cp = 1 / λ.