Справочник от Автор24
Поделись лекцией за скидку на Автор24

Введение. Проблема надежности сложных систем

  • 👀 457 просмотров
  • 📌 379 загрузок
Выбери формат для чтения
Загружаем конспект в формате pdf
Это займет всего пару минут! А пока ты можешь прочитать работу в формате Word 👇
Конспект лекции по дисциплине «Введение. Проблема надежности сложных систем» pdf
НАДЕЖНОСТЬ ИС ВВЕДЕНИЕ. ПРОБЛЕМА НАДЕЖНОСТИ СЛОЖНЫХ СИСТЕМ Проблема обеспечения надежного функционирования технических систем возникла одновременно с появлением этого класса систем. Действительно, каждого, кто эксплуатирует техническую систему, наряду с другими качественными показателями системы в значительной степени интересует ее надежная работа. Более того, в значительном числе случаев, когда система выполняет ответственные функции, надежность является определяющим свойством. Рост важности решения проблемы надежности за последние 2-3 десятилетия обусловлен следующими причинами: I. Ростом сложности технических систем Можно констатировать рост сложности в той или иной степени всех классов технических систем, в том числе информационно-вычислительных, к которым относятся АСУ и САПР. Например: Таблица 1.1 ЭВМ Емкость ОЗУ 1-я ЭВМ в СССР МЭСМ 31 число(17 разрядное) и 63 команды 1-е поколение БЭСМ-1 1024=1К чисел (39 разрядных) 2-е поколение М-220 до 16384=16 К чисел (45 разрядных) 3-е поколение ЕС-1030 до 612 Кбайт=512/4 К слов=128 К слов (32 разрядных) 4-е поколение ПЭВМ до 1 Мбайт (16 разрядные) 5-е поколение ПЭВМ (типа IBM PC) возможность наращивания до 64 Мбайт (16 разрядные) Если не предпринимать никаких мер, то, как нами далее будет показано, рост сложности системы (нерезервируемой) ведет к понижению надежности. II. Повышением требований к техническим характеристикам и качеству функционирования систем: повышению точности, быстродействия (скорости сбора и обработки информации), помехоустойчивости (помехозащищенности), емкости запоминающих устройств и другие. 1 ВВЕДЕНИЕ. ПРОБЛЕМА НАДЕЖНОСТИ СЛОЖНЫХ СИСТЕМ Повышение требований к техническим характеристикам вызывает необходимость либо реализации новых, как правило, более сложных проектных решений в рамках имеющегося набора технических средств, либо перехода к более совершенным техническим программным и аппаратным средствам. Например: повышение быстродействия вычислительных систем последнего поколения осуществляется с помощью распараллеливания вычислительного процесса; что связано с необходимостью организации многопроцессорных систем, т.е. повышением сложности. Как правило, стремление улучшить эти показатели приводит к повышению сложности системы, что ведет к понижению надежности. Эта причина является, пожалуй, основной из стимулирующих развитие науки и надежности. III. Повышением ответственности функций, выполняемых системами, а также высокой экономической, моральной и политической ценой отказа. Все эти факторы усугубляются, если отказ системы связан с гибелью людей. Например: а) «В 1971 г. во Франции производился крупный метеорологический эксперимент. Было запущено 115 шаров-зондов с измерительными приборами в верхние слои атмосферы, а также спутник для переснятия данных между шарами и наземными станциями. Шары умели реагировать на две команды: команду чтения, по которой данные пересылались от шара к спутнику, и команду ликвидации - для взрыва помещенного в шаре заряда, если шар собьется с курса. К несчастью, в программном обеспечении системы была ошибка. В результате команды чтения была послана команда ликвидации, уничтожившая 72 шара, находившихся в поле зрения спутника.»1 б) Отказ релейной защиты в энергосистеме северо-восточной части США привел к нарушению энергоснабжения целого региона и к убытку около 500 млн. долларов. в) Неудачи в осуществлении космических программ наносят существенный экономический, моральный и политический ущерб, особенно в случае гибели космонавтов. г) «Классическим примером психологического эффекта ненадежности являются спутники «Авангард». Соединенные штаты, остро переживая успехи России, запустившей «Спутник-1», попытались вступить в соревнование, использовав для этого почти не 1 Майерс Г. Надежность программного обеспечения: М., Мир, 1980 - с.21. 2 НАДЕЖНОСТЬ ИС испытанную ракету, которой пришлось работать почти на пределе своих возможностей. Неудачи и последовавшие за этим уныние и потеря престижа были очень серьезны»2. IV. Полной или частичной автоматизацией производственных и других процессов и исключением непрерывного наблюдения и контроля за их ходом со стороны человека. Автоматизация процессов ведет к повышению производительности труда, позволяет осуществлять управление сложнейшими процессами, но в то же время исключает возможность непосредственного, непрерывного наблюдения человеком за всеми деталями хода процесса, что не позволяет в ряде случаев своевременно ликвидировать аварийные ситуации. Эта причина особенно важна для таких систем, как АСУП, АСУТП, АСНИ. Усложнением эксплуатационных условий: низкие и высокие температуры, V. высокая влажность и давление, существенные ускорения и вибрации, воздействие радиации и агрессивных средств. Проявление этих факторов обусловлено расширением диапазона применения систем: военная техника, авиационно-космические системы, глубинные аппараты, системы для проведения научных экспериментов (например: ядерных), технологические процессы со сложными физико-химическими условиями. VI. Высокой интенсивностью режимов работы системы, в частности, непрерывные режимы работы, при которых компоненты системы используются при нагрузках, близких к максимально допустимым. Например: а) Автоматизированные процессами системы управления непрерывными техническими должны обеспечивать круглосуточно безотказное управление ходом технических процессов. б) Достигнутый уровень развития силовых частей космических систем-двигателей обуславливает максимально развиваемую тягу. Тогда для увеличения доли полезного веса уменьшают вес ракеты-носителя, в частности, за счет понижения толщины ее корпуса, что, конечно, создает более напряженный режим работы последнего. 2 Ллойд Д., Линов М. Надежность. Организация исследования, методы, 3 ВВЕДЕНИЕ. ПРОБЛЕМА НАДЕЖНОСТИ СЛОЖНЫХ СИСТЕМ VII. Стремлением планирования или, по крайней мере, контролирования показателей надежности систем при их проектировании, производстве и эксплуатации. Названные причины и приведенные выше примеры указывают на то, что проблема надежности современных технических систем имеет первостепенное значение. В этой связи проблеме обеспечения надежности уделяется повышенное внимание. В нашей стране существует целый ряд документов, регламентирующих терминологию в теории надежности, методы определения характеристик надежности как на государственном (ГОСТы), так и на отраслевом уровне (ОРММ). В ряде промышленно развитых стран в государственных масштабах созданы специальные службы, комитеты по надежности. Понятно, что решение задач надежности для сложных систем возможны лишь на основе научных принципов. Общие принципы проектирования, производства и эксплуатации систем с целью обеспечения соответствующих показателей надежности разрабатываются научной дисциплиной, которая носит название теория надежности3. Теория надежности - это научная дисциплина, изучающая общие закономерности, которых следует придерживаться при проектировании, производстве, испытаниях и эксплуатации изделий для получения максимальной эффективности от их использования. Первые публикации по надежности появились в 40х-50х годах. В основном на начальном этапе разрабатывались вопросы надежности радиоэлектронных систем, что в частности объясняет тот факт, что в настоящее время эти вопросы являются наиболее проработанными. Основной вклад в развитие науки о надежности внесли ученые и инженеры СССР и США. К настоящему времени в теории надежности получены значительные результаты. Однако, следует констатировать, что настоящее состояние теории надежности еще далеко от логически завершенного. Многие прикладные, инженерные задачи не нашли еще своего решения. Наряду с общенаучной дисциплиной «Теория надежности» существуют также «отраслевые» теории надежности. Это связано в первую очередь с тем, что в различных областях науки и техники используются различные математические модели возникновения отказов. Например: математический аппарат. 4 НАДЕЖНОСТЬ ИС а) В задачах конструкционной надежности используются математические модели теории упругости, пластичности материалов, сопротивления материалов. б) В задачах исследования постепенных отказов радиоэлектронных элементов используются математические модели, описывающие процессы старения элементов, т.е. необратимого изменения физико-химических свойств материалов. Предметом нашего рассмотрения являются автоматизированные системы (АС). В каждой такой системе принято выделять аппаратное и программное обеспечение. Применительно к ним и будем рассматривать задачи надежности. Следует заметить, что если для аппаратного обеспечения, которое по существу является радиоэлектронным оборудованием, как следует из сказанного выше, вопросы надежности в значительной степени разработаны, то для программного обеспечения проблемы надежности находятся на стадии начального разрешения. В настоящее время существуют два основных подхода к определению показателей надежности: 1. Путем проведения испытаний на надежность (статистическая теория надежности). Для этого проводится серия испытаний на надежность реального изделия при реальных условиях эксплуатации. При этом расчет показателей надежности изделия сводится использованием непосредственно к соответствующей аппарата обработке математической установить результатов статистики. причинно-следственную экспериментов Достоинство: связь между с позволяет показателями надежности и факторами, ее определяющими. Недостаток: требует проведения большого числа испытаний, зачастую длительных по времени и дорогостоящих. Это не везде возможно, особенно для высоконадежных, сложных и уникальных изделий.4 2. Путем построения математической модели (аналитическая теория надежности) изделия с точки зрения задач надежности на основе некоторых априорных сведений о процессе возникновения отказов и анализа функционирования изделий и проведения расчетов показателей надежности аналитическим путем или путем моделирования на ЭВМ. Автоматизированные системы - сложные программно- Гнеденко Б.В., Беляев Ю.К,, Соловьев А.Д. Математические методы теории надежности: М.; Наука, 1965. 4 Барлоу Р., Прошан Ф. Статистическая теория надежности и испытания на безотказность: М. Наука, 1984 3 5 ВВЕДЕНИЕ. ПРОБЛЕМА НАДЕЖНОСТИ СЛОЖНЫХ СИСТЕМ аппаратные человеко-машинные системы, включающие три составляющие разной природы: комплекс технических средств, программное обеспечение и человека, - для описания которых используются математические модели принципиально разных классов. Объединение этих моделей в одну для анализа надежности представляет непростую задачу. Достоинство: понижение стоимости оценки показателей надежности путем устранения трудоемкого процесса проведения многочисленных испытаний. Недостаток: требуется построение математической модели изделия с точки зрения надежности, которая лишь частично отражает реальные процессы. Однако, этот недостаток не носит глобального характера, в ряде случаев удается получить одни и те же качественные выводы о надежности независимости от априорных данных. Возможно сочетание обоих подходов. Мы в дальнейшем будем в основном работать в рамках второго подхода. 6 НАДЕЖНОСТЬ ИС Структура курса Проектировщик автоматизированных систем при оценке надежности последних может столкнуться со следующими основными проблемами:  Оценка надежности аппаратных средств.  Оценка надежности программного обеспечения.  Оценка надежности систем с учетом надежности аппаратного и программного обеспечения.  Оценка надежности систем с учетом алгоритмов функционирования. Эта проблема обусловлена тем, что различные составные части автоматизированных систем могут использоваться с различной интенсивностью в зависимости от алгоритмов, реализуемых системами. Это приводит, например, к тому, что отказы отдельных составных частей системы не вызывают отказа системы в те моменты времени, когда первые не задействованы. Например, если в процессе непосредственного счета на ЭВМ устройства ввода не используются, следовательно, отказ устройств ввода при этом не приводит к отказу ЭВМ. Оценка надежности автоматизированных систем как систем «человек-машина». Оператор оказывает влияние на характеристики надежности системы и может либо их повышать, либо понижать. Этот перечень проблем и определяет те вопросы, которые следует рассмотреть в курсе. Наиболее разработанными являются вопросы, связанные с оценкой надежности аппаратных средств. Другие вопросы находятся на стадии начального развития. Поэтому мы начнем рассмотрение задач надежности автоматизированных систем с задач надежности аппаратных средств и уделим им большее внимание. Другие вопросы рассмотрим скорее на иллюстративном уровне, чем на рецептурном. 7 ВВЕДЕНИЕ. ПРОБЛЕМА НАДЕЖНОСТИ СЛОЖНЫХ СИСТЕМ ГЛАВА 1. ОСНОВНЫЕ ПОНЯТИЯ ТЕОРИИ НАДЕЖНОСТИ В этой главе мы определим общезначимые понятия теории надежности, некоторые из которых в дальнейшем будем интерпретировать и доопределять применительно к рассматриваемым проблемам надежности, перечисленным выше. 1.1 Основные термины и определения теории надежности Как и всякая наука, теория надежности имеет свою терминологию. Ряд определений оговорен ГОСТом5. Другие определяются более свободно. Мы приведем их в соответствии со справочником6. Объект *- предмет определенного целевого назначения, рассматриваемый в периоды проектирования, производства, эксплуатации, изучения, исследования и испытания на надежность. Объекты будем подразделять на элементы и системы. Применительно к задачам надежности дадим следующие определения элемента и системы. Система* - объект, представляющий собой совокупность элементов, взаимодействующих в процессе выполнения определенного круга задач и взаимосвязанных функционально. Элемент* (системы) - объект, представляющий собой простейшую часть системы, отдельные части которой не представляют самостоятельного интереса в рамках конкретного рассмотрения. Пусть исследуется надежность локальной сети, состоящей из  ПЭВМ. Каждая ПЭВМ включает в себя следующие составные части: центральный процессор (ЦП), оперативное запоминающее устройство (ОЗУ), винчестер (ВЗУ), устройства ввода/вывода (УВВ), сетевая карта (СК) и др. Если заданные характеристики надежности ПВЭВМ 1 позволяют определить надежность системы, то характеристики надежности их частей не представляют интереса и поэтому в данном рассмотрении за элементы следует принять ПЭВМ 1. Понятие системы и элемента определяются друг через друга и поэтому одно из них постулируется. Эти понятия относительны: объект, считавшийся системой в одном исследовании, может рассматриваться как элемент, если изучается объект большего ГОСТ 27.002-83. Надежность в технике. Термины и определения. Надежность технических систем: Справочник/ Под ред. И.А. Ушакова / Ю.К. Беляев, В.А. Богатырев, В.В. Болотин и др.: М., Радио и связь, 1985. 8 5 6 НАДЕЖНОСТЬ ИС масштаба (см.рисунок 1.1) Локальная сеть ПЭВМ ПЭВМ ПЭВМ ЦП 1ОЗУ ВЗУ УВ ЦП 2ОЗУ ВЗУ УВ СК СК В    В ЦП NОЗУ ВЗУ УВ СК В Рисунок 1.1 – Пример структуры объекта Надежность - свойство объекта (системы или элемента), заключающееся в его способности выполнять определенные задачи в определенных условиях эксплуатации. В общем случае надежность - это сложное свойство объекта, включающее в свою очередь, такие свойства как безотказность, долговечность, ремонтопригодность и сохраняемость. В частных случаях надежность может отождествляться с одним из этих свойств. R’  f ( Rб , Rд , R р , Rс ) Чаще всего надежность отождествляется с безотказностью Rн  Rб. Безотказность - свойство объекта непрерывно сохранять работоспособность. Работоспособность - состояние объекта, при котором он способен выполнять заданные функции, сохраняя значения основных параметров в пределах, установленных нормативно-технической документацией. Основной параметр объекта - технический параметр, который характеризует объект с точки зрения надежности в рамках конкретного рассмотрения. Определение основных параметров является отправным моментом при определении показателей надежности и должно быть сделано с обязательной привязкой к конкретным условиям задачи, поскольку один и тот же объект в разных условиях может иметь разный перечень основных параметров. Рассмотрим несколько примеров. Пример 1. Объект исследования - резистор. Основной параметр - номинальное значение напряжения (указано в паспортных данных Rн). На самом деле сопротивление может отклоняться в ту или иную сторону (см. рисунок 1.2) 9 ВВЕДЕНИЕ. ПРОБЛЕМА НАДЕЖНОСТИ СЛОЖНЫХ СИСТЕМ R  Rн  R, т.е. R(t ) [ Rн  R, Rн  R] Отклонения сопротивления от номинального значения случайны, но не могут превышать предельного отклонения R, в противном случае считается, что резистор теряет свою работоспособность. Поэтому R(t) - случайный процесс (СП), параметры которого зависят от Rн и R. R(t) Rн+R момент отказа Rн область работоспособных состояний Rн-R t T- время работы до отказа Рисунок 1.2 – Пример основного параметра резистора Т- непрерывная случайная величина, закон распределения которой зависит от вида СП R(t). Пример 2. Объект исследования - автоматизированная система научных исследований (АСНИ) (см. рисунок 1.3). АСНИ характеризуется двумя основными параметрами: быстродействием ЭВМ V(t) и точностью (погрешностью) измерения H(t). В зависимости от значений ОИ Х(t) ЭВМ через ИМ может управлять параметрами и характеристиками ОИ и ТУ через контур управления Zупр и Zк Погрешность в управлении напрямую зависит от точности измеренных параметров и от быстродействия ЭВМ (см. рисунок 1.4): Z упр  Zн  Z , Z  f (V , H , t ) ТУ АСНИ u(t) x(t) ОИ Датчик ИП zупр АЦП ЭВМ ИМ zк ИМ Условные обозначения: ТУ - технологическая установка; ОИ - объект исследования; ИП - измерительные преобразователи; ИМ - исполнительные механизмы; АЦП аналого-цифровой преобразователь Рисунок 1.3 – Объект - АСНИ 10 НАДЕЖНОСТЬ ИС Отказ происходит в том случае, если хотя бы один из параметров выходит за допустимые пределы. T - непрерывная случайная величина. V(t) (V0,H0)  (Vк,Hк)  Vмин H(t) Hмах Рисунок 1.4 – Пример двумерной области работоспособных состояний Пример 3. Объект - программа, выполняющая некоторую расчетную задачу (расчет функции одного переменного). При каждом запуске программы в момент времени tn n=1,2,3... (см. рисунок 1.5) на вход подаются новые данные, запуск программы осуществляется через заданный промежуток времени t. Т - время работы до отказа Z(t) (дискретная случайная величина). Zmax Отказ происходит в случае, если отказ полученная t t1 t2 t3 превышает максимально допустимую.   точность t tn=T Рисунок 1.5 – Пример дискретного времени работы до отказа Долговечность - свойство объекта сохранять работоспособность до наступления предельного состояния с необходимыми перерывами для технического обслуживания и ремонтов. Предельное состояние - состояние объекта, соответствующее технической невозможности или нецелесообразности его дальнейшей эксплуатации, обусловленное требованиями безопасности или неустранимым снижением эффективности. Ремонтопригодность - свойство объекта, заключающееся в приспособленности к выполнению его ремонтов и технического обслуживания. состояния. Приспособленность - возможность локализации причины отказа и быстрая замена 11 ВВЕДЕНИЕ. ПРОБЛЕМА НАДЕЖНОСТИ СЛОЖНЫХ СИСТЕМ неисправных частей. Сохраняемость - свойство объекта непрерывно сохранять значения установленных показателей его качества в заданных пределах в течении и после хранения и транспортирования. Если привязать эти понятия ко времени, то временная диаграмма будет выглядеть следующим образом (см. рисунок 1.6): ремонтопригодность предельное состояние начало эксплуатации t сохраняемость интервалы времени на обслуживание и ремонт Рисунок 1.6 – Время жизненного цикла объекта Таким образом, определено понятие «надежность» как сложного свойства объекта. К понятию работоспособности близко примыкает понятие исправности. Исправность - состояние объекта, при котором он соответствует всем требованиям, установленным нормативно-технической документацией. Таким образом, отличие исправности от работоспособности состоит в том, что должны выполняться все требования нормативно-технической документации, в том числе и по основным параметрам (например, по весу, габаритам, внешнему виду изделия и т.д.). Производными от понятий исправность и работоспособность являются понятия повреждения и отказа. Повреждение - событие, состоящее в нарушении исправности объекта. Отказ - событие, состоящее в нарушении работоспособности объекта. Ресурс- наработка объекта от определенного момента времени до наступления предельного состояния. 12 НАДЕЖНОСТЬ ИС 1.2. Классификация отказов В таблице 1.2 приведена классификация отказов аппаратных средств в соответствии с ГОСТ7. Таблица 1.2 № 1. Признак классификации Вид отказа Характер изменения основных параметров до 1.1 Внезапный возникновения отказа 2. 3. Возможность 1.2 Постепенный использования объекта после 2.1 Полный возникновения отказа 2.2 Частичный Связь между отказами 3.1 Независимый 3.2 Зависимый 4. Устойчивость отказа 4.1 Устойчивый 4.2 Самоустраняющийся 4.3 Сбой 4.4 Перемежающийся 5. Причина возникновения 5.1 Конструкционный 5.2 Производственный 5.3 Эксплуатационный По характеру изменения основных отказов: Внезапный отказ - отказ, характеризующийся скачкообразным изменением одного или нескольких основных параметров объекта (см. рисунок 1.7 а). x(t) x(t) Dр Dр x(0) x(0) Т Т t t a) внезапный отказ б) постепенный отказ Рисунок 1.7 – Характер изменения основного параметра объекта Постепенный отказ - отказ, характеризующийся постепенным изменением одного 7 ГОСТ 27.002-89 Надежность в технике. Основные понятия и определения 13 ВВЕДЕНИЕ. ПРОБЛЕМА НАДЕЖНОСТИ СЛОЖНЫХ СИСТЕМ или нескольких основных параметров объекта (см. рисунок 1.7 б). Внезапные отказы возникают обычно при наличии в изделиях скрытых дефектов производства, которые проявляют себя в процессе эксплуатации изделия, как правило, в случае неблагоприятного сочетания условий эксплуатации (высокая нагрузка, вибрация). Например, к внезапному отказу приводит обрыв проводника в месте спая из-за плохого качества спая; пробой полупроводникового элемента ввиду превышения номинального напряжения питания. Постепенные отказы возникают в результате постепенного износа или старения, или из-за постепенного изменения факторов, влияющих на основные параметры объекта. Возможность использования объекта после отказа: Полный отказ - отказ, после возникновения которого использование объекта по назначению невозможно до восстановления его работоспособности. Частичный отказ - отказ, после возникновения которого использование объекта по назначению возможно, но при этом значения одного или нескольких основных параметров находятся вне допустимых пределов. Например, обрыв проводника приводит к полному отказу, который устраняется только после восстановления работоспособности (проведения ремонта). Пример частичного отказа - пример 2 §1.1. Один из основных параметров быстродействие ЭВМ V(t). Если V(t)0. Однако, если  T  D T (в  частности T  3 D T ), то значениями Т<0 можно пренебречь. В противном случае необходимо использовать усеченное нормальное распределение (см. рис. 2.12), для которого  W ( t)  a 2 D T  ( t  T) 2 exp{  }, t 0,  2D T (2.26) 42 НАДЕЖНОСТЬ ИС где а - нормированный множитель, определяемый из условия     W( t)dt  1 a 1 a  1 1   ... dt  ( t  T) 2 exp{  }dt  1 2D T 2 D T 1 1  Ф(  (2.27)  T ) DT ( t) хорошо аппроксимирует ( t) на III периоде эксплуатации ( см. рис. 2.6), то есть отказы, связанные со старением и износом (постепенные). У реальных элементов совмещаются оба типа отказов. Функция надежности таких элементов P( t)  PB ( t)  Pn ( t) , где PB ( t) и Pn ( t) - вероятность того, что на [0,t] не произойдет внезапный и постепенный отказ. 3. Закон Вейбулла (Шведский математик) (t) P( t)  exp( t  ) >1 =1 ( t)      t  1 При   1 - экспоненциальное <1 распределение t рис.2.13 4. Гамма распределение 2 W ( t)   t  1  exp( t) Г() (t) >1 =1..2 =1 Г() - гамма функция. При  1 экспоненциальные <1 рис.2.14 t распределение. 43 ГЛАВА 1. ОСНОВНЫЕ ПОНЯТИЯ ТЕОРИИ НАДЕЖНОСТИ § 2.5. Параметрическая надежность невосстанавливаемого элемента. Выше мы рассмотрели определение одних надежности, то есть характеристик времени показателей Т , через другие показатели, которые полагались известными. В § 2.1 говорилось, что определение характеристик времени Т может быть также осуществлено на основе априорного знания свойств траекторий СП, описывающих поведение элемента в фазовом пространстве D. Математически содержанием таких задач является определение характеристик времени Т первого достижения границ допусковой области Dp траекториями СП (см. рис. 2.10). Для случая одномерного фазового пространства может быть дана следующая общая математическая формулировка этого класса задач. Постановка задачи:  Пусть значение случайного процесса х(t) в начальный момент времени t0=0 принадлежит области работоспособных состояний х(t0)Dp(t)=(V1(t), V2(t)), ограниченной границами V1(t)< V2(t) , то есть х(t0)  Dp(t0). При этом х(t0) может быть определено следующим образом: 1) с P=1 принимает совершенно определенное (точное) значение; 2) распределяется по какому-либо закону в интервале (V1(t0), V2(t0)). n  Заданы необходимые характеристики (FT ( t), WT ( t),MT ) времени первого достижения траекториями СП х(t) границы V1(t) или V2(t) области Dp(t). Неверно!!! Решение этого класса задач в общем случае представляет серьезные математические трудности. К настоящему времени найдены решения лишь для узкого класса СП и границ области. Рассмотрим некоторые из них. 44 НАДЕЖНОСТЬ ИС 1. х(t) - квазидетерминированный СП. Квазидетерминированным называется СП, траектории которого описываются функциями времени данного вида, содержащими один или K несколько случайных параметров { k } k 1 , то есть i-ая траектория СП х(t) может быть записана K x (i ) (t )  x (t ,{k(i ) }k 1 ) где (2.28),  (ki) -i-ая реализация случайного параметра  k . Задача определения характеристик времени Т может быть решена для целого ряда квазидетерминированных СП. Общая схема решения:  Определяются условия наступления отказа   X (i ) ( t ,  k(i ) )  Г Dp k 1, K t  T ( i ) (2.29)  Из условия (2.29) определяется момент выхода на Г D p     T (i )    Г D p ,  k(i )   k  1, K  (2.30) В случае, если функция (2.29) не строго монотонна, то необходимо выбрать корень с минимальным значением. В случае строгой монотонности функции уравнение имеет единственное решение.  Так как функция (2.30) зависит от СВ , то есть является функцией случайного аргумента, то все ее вероятностные и числовые характеристики можно определить, используя формулы теории вероятностей* Частный случай. Основной параметр - линейная функция одной * Фейхтенгольц 45 ГЛАВА 1. ОСНОВНЫЕ ПОНЯТИЯ ТЕОРИИ НАДЕЖНОСТИ переменной с начальным значением X(0) x(i) ( t)  x(0)   (i)  t , где  ( i) -реализация (2.31) случайной величины , имеющей плотность распределения W ( x ), x 0 {0,x 0 . Допустимая область Dp представляет собой интервал ( , х 0 ) . Этот случай соответствует ситуации, когда основной параметр элемента в работоспособном состоянии не должен достигать порогового Нетрудно видеть, границы Х0  (i) значения что X(t) Х 0. пересечение Dнр Х0 имеет место в случае >0. Из (2.31) для момента Т (i) X(0)  получим Откуда Т (i) ( i) T(i) x ( t)  x(0)    Т  х0 (i) ( i) х 0  х(0) (i)  при  >0. ( i)  Dp (i) рис. 2.10 Для определения вероятных характеристик времени достижения может быть использованы правила нахождения законов распределения и моментов функции случайных аргументов. Так, например среднее время до отказа  Т  МТ()    ( х 0  х(0)) W( x)dx х дисперсия времени до отказа 46 НАДЕЖНОСТЬ ИС   x  x (0)   x0  x (0)  2 2 DT  MT  ( MT )    W ( x )dx   W ( x )dx    x x    0 частота отказов 2 в соответствии с формулой из 2 теории вероятностей   g ( y)  Fk  1 ( y)   1 ( y) '  X  X ( 0)  X 0  X ( 0) W (t )  W  0    t t2 функция ненадежности (функция распределения времени работы до отказа) определяется в соответствии с рис. 2.15  X  X (0)  Q(t )  FT (t )  P{T  t}  P 0  T < t  a   a  X  X ( 0)   P 0    a   W ( x )dx a   X 0  X ( 0) a Квазидетерминированные математической моделью процессы основных являются хорошей параметров элемента, изменяющихся вследствие износа или дрейфа под воздействием внешних факторов. T t X 0  X ( 0) a X 0  X ( 0) t a  рис. 2.15 2. х(tn), n=0,1,... - случайная последовательность с 47 ГЛАВА 1. ОСНОВНЫЕ ПОНЯТИЯ ТЕОРИИ НАДЕЖНОСТИ независимыми выборками Для этого случая совместная плотность вероятностей N выборок х(t1),.., х(tN) случайной последовательности х(tn), n=0,1,... может быть записана в виде N W( х1,.., хN )  где n  1,N W(xn), -  W( x n 1 n ), (2.32) X(t) одномерная V1 (t) плотность вероятности n-ой выборки Dp х(tn), n  1,N . В этом случае задача t по V2 (t) определению вероятностных харакt теристик времени Т первого выхода t1 случайной последовательности из t2  tk T области Dp может быть решена (по крайней мере численно) для любого вида распределений W(xn), n=0,1,... и границ области Dp. Например, найдем при произвольных W(xn), n=0,1,... вероятность события T>tn, которая применительно к задачам невосстанавливаемого элемента может трактоваться как функция надежности этого элемента. Полагая, что P{х(t0)  Dp(t0)}=1 получим P{ T > tn}= P{ х(tn)  Dp(tn), n=1,..,N}= =  D p ( t1 ) Это ..  N W( x1,.., xN )dx1.. xN   Dp ( tN ) выражение  W( x )dx n1 Dp ( tn ) справедливо n для n любой случайной последовательности с зависимыми отсчетами, но вычисление N мерных интегралов в общем случае представляет серьезные трудности. Эти интегралы могут быть уже легко вычислены по крайней мере на ЭВМ. Пример. х(tn), n=1,2,... - стационарная случайная последователь48 НАДЕЖНОСТЬ ИС ность, то есть W(хn)=W(x), n=1,2,... V1(t)= V1, V2(t)= V2 V2 N N [ W ( x ) dx ]  P P{ T > tn}=  , Tn=nT0. V1     n1 n1 n1 Т   t n  P{ T  t N }   t n [P{ T  t n1 }  P{ T  t n }]   t n [P0n1  P0n ]  Однако, использование случайной T0 1P 0 последовательности с независимыми отсчетами в качестве математической модели основного параметра х(t) весьма ограничено, поскольку полагается независимость х(tn), n  1,N , а это сильное предположение. Более оправданной моделью является марковские СП, у которых уже имеется статистическая взаимосвязь между отдельными сечениями процесса. Задача. Рассмотрим конкретный пример нахождения показателей надежности - погрешность запуска произвольной программы в системе реального времени. Пусть необходимо в произвольный момент времени tN многократно запустить программу через установленный период t tN=+nt, где  - время, через которое необходимо запустить программу первый раз. В реальной ситуации задача будет запускаться не в номинальные моменты времени tN , а в реальные, которые будут отличаться от номинальных по следующим причинам: * частота сети отличается от номинальной (f=50 Гц); * директива запуска задачи RUN реализуется через некоторые системные директивы, на выполнение которых также затрачивается некоторое время (от 0.01 до 1 мсек). 49 ГЛАВА 1. ОСНОВНЫЕ ПОНЯТИЯ ТЕОРИИ НАДЕЖНОСТИ часы минуты секунды тики программа-счетчик Счетчик Счетчик Счетчик часов минут секунд задача Делитель Сетевой 1/50 таймер ОС РВ Директива запуска RUN ,<>,<t>,... рис. 2.16 50 НАДЕЖНОСТЬ ИС 3. Х(t) - дифференцируемый случайный процесс. Дифференцируемость здесь будем понимать в смысле дифференцируемости с P=1 выборочных функций СП. Точные методы определения характеристик времени Т первого достижения границ области не разработаны. Используется ряд приближенных, один из которых состоит в следующем.* Метод решения: Найдем среднее число выходов траекторий СП Х(t) из области Dp=(V1, V2 ), ограниченной прямыми V1< V2 (см. рис.2.17). X(t) Dнр V2 X(2)(t) X(0) Dp X(1)(t) V1 (1) (2) рис. 2.17 Будем считать, что на интервале времени [0,t] произошел выход из области работоспособных состояний Dp в момент времени  , если (i) найдется такое >0, что x(i) ( t) D p в интервале (  -  ,  ) и x ( t) D p в ( i) интервале (  ,  +  ). Заметим, что число выходов траектории x ( t) V равно сумме чисел пересечений уровня V1 сверху вниз N  1  и уровня V2 (снизу вверх) N  V2  : V V N (t )  N  1   N  2  * Болотин В.В. Применение методов теории вероятностей и теории надежности в расчетах сооружений. М., 1971, с.94 51 ГЛАВА 1. ОСНОВНЫЕ ПОНЯТИЯ ТЕОРИИ НАДЕЖНОСТИ Для пересечений уровней можно дать аналогичные определения тем, которые даны для выходов из областей. Тогда среднее число выходов траекторий СП Х(t) из области Dp=(V1,V2)   N( t )  n P n n 0 ( t)  Полагаем, что этот ряд сходится, то есть N( t ) - конечно. Это, в частности будет выполняться в случае , если Х(t) - стационарный гауссовский СП с непрерывными выборочными функциями.* Поскольку этот ряд имеет положительные члены, тогда согласно предположения является абсолютно сходящимся и, следовательно, его члены можно группировать произвольным образом.      n 0 n1 n1 n1 N( t)   n  Pn ( t)   (n  1  1)  Pn ( t)  Pn ( t)   (n  1)  Pn ( t)      n 0 n 1 n 2 Pn ( t)  P0 ( t)   (n  1)  Pn ( t)  1 P0 ( t)   (n  1)  Pn ( t) (2.33) Если t мало настолько, что вероятностями Pn ( t) при n  2 можно пренебречь, то из (2.33) следует, что  N( t)  1  P0 ( t) P0 ( t)  P{N( t)  0}  P( t) - функция надежности элемента. Тогда  1  P( t)  F(t)  N( t) (2.34) Эта формула позволяет определить Р(t) и F(t) через среднее число  выходов N( t ) из области Dp, которое можно уже найти для любых дифференцируемых случайных процессов.* Из (2.33), (2.34) следует, что (2.34) дает для F(t) оценку сверху, а * Крамер Г., Литберггер М. Стационарные случайные процессы. М.: Мир, 1969 52 НАДЕЖНОСТЬ ИС следовательно для Р(t) - оценку снизу (что хорошо). Этот метод применяется для оценки надежности достижении траекториями высоконадежных элементов. Рассмотренные случайных здесь процессов задачи границ о области имеют многочисленные приложения, далеко выходящие за рамки теории надежности. Пример 1. Исследование нестабильности времени срабатывания порогового устройства из-за наличия помехи. Пример 2. Исследование срыва слежения в сходящих системах (ошибка слежения достигает предельного значения). Заметим, что если Х(0) СВ с распределением W(х0), x 0 ( V1 , V2 ) , то характеристики времени Т сначала определяются при фиксированном Х(0), а затем производится усреднение. V2 Например  T( x )W(x )dx . V1 Частный случай: Пусть X(t) - стационарный гауссовский СП с заданным математическим ожиданием mx(t), среднеквадратическим отклонением x и корреляционной функцией Rx(t). Тогда среднее число выходов определяется как 2 2    t  R  (0)   1  V1  mx (t )     1  V2  mx (t )    N (t )  exp     exp    2 2 x 2 x             , где R  ( 0)  d 2 R(t ) dt 2 (2.35). t0 § 2.6. Показатели долговечности и сохраняемости невосстанавливаемого элемента. 53 ГЛАВА 1. ОСНОВНЫЕ ПОНЯТИЯ ТЕОРИИ НАДЕЖНОСТИ Определения долговечности, ресурса и сохраняемости см. в §1.1. Для того, чтобы определить критерии наступления предельного состояния должны быть учтены следующие факторы: 1. возможность выполнения объектом возложенных на него функций; 2. эффективность выполнения этих функций; 3. безопасность работы. Показатели долговечности: 1. Средний ресурс    t pW (t )dt p T0   1  Fp (t ) dt p  (2.36) где Fp ( t ) - функция распределения времени ресурса. 2. Гамма-процентный ресурс - наработка объекта, в течение которой объект не достигнет своего предельного состояния с вероятностью , выраженной в процентах 1  Fp ( t )  t 1  Wp (t p )dt p   100  100  t (2.37) (2.38) 3. Назначенный ресурс - момент времени, в который объект должен быть снят с эксплуатации (выбирается из расчета 95% 99% от ресурса Тр). Показатели сохраняемости: 1. Среднее время сохраняемости  T0   1  Fc (t )dt c (2.39) где Fc ( t ) - функция распределения времени хранения объекта. 54 НАДЕЖНОСТЬ ИС 2. Гамма процентный срок сохраняемости t 1   Wp (t p )dt p   100  t (2.40) ГЛАВА 3 НАДЕЖНОСТЬ ВОССТАНАВЛИВАЕМОГО ЭЛЕМЕНТА В главе 2 рассмотрена работа элемента, работающего до первого отказа. Теперь будем полагать, что после отказа элемент может быть восстановлен. Восстановление - процесс обнаружения и устранения отказа с целью восстановления работоспособности объекта. Восстанавливаемый объект - объект, работоспособность которого в случае возникновения отказа подлежит восстановлению в рассматриваемой ситуации. Пример: Ретранслятор в системе космического телевидения может рассматриваться как восстанавливаемый объект в случае отказов типа сбоев. При определении типа объекта (восстанавливаемый или невосстанавливаемый) следует учитывать его назначение в данном конкретном применении. Объекты могут быть в принципе ремонтируемыми, но в данном рассмотрении невосстанавливаемыми. Пример. При решении расчетной задачи на ЭЦВМ она должна рассматриваться как невосстанавливаемый объект, так как после восстановления ЭВМ не может продолжить выполнение возложенных на нее функций (выполнение расчета). Процесс восстановления может носить различный характер: * объект подвергается ремонту; * заменяется новым. Замечание 1: Будем считать, что после восстановления объект полностью восстанавливает все свои исходные свойства. С точки зрения анализа 55 ГЛАВА 1. ОСНОВНЫЕ ПОНЯТИЯ ТЕОРИИ НАДЕЖНОСТИ надежности несущественно, каким образом происходит восстановление, важным является лишь то, что свойства объекта полностью восстанавливаются. Математические модели восстанавливаемых объектов: С точки зрения математических моделей процесса восстановления объектов ВЭ разделяют на две группы: * мгновенно восстанавливаемые элементы (МВЭ), у которых время восстановления пренебрежимо мало по сравнению с временем работы   до отказа   T ; * элементы с конечным временем восстановления (ЭКВВ), у которых    и T соизмеримы. Подразделение восстанавливаемых элементов на мгновенно восстанавливаемые и с конечным временем восстановления зависит от конкретной постановки задачи исследования на надежность. Пример: при сбоях ретранслятор в системе космического телевидения может рассматриваться как мгновенно восстанавливаемый элемент; в то же время при сбоях буферной ЭВМ (см. рис. 4,5) необходимо рассматривать ее как элемент с конечным временем восстановления, поскольку сбой приводит к значительной потере рабочего времени центральной ЭВМ. § 3.1. ОПРЕДЕЛЕНИЕ ПРОЦЕССА ВОССТАНОВЛЕНИЯ ДЛЯ МГНОВЕННО ВОССТАНАВЛИВАЕМОГО ЭЛЕМЕНТА (МВЭ) Оговорим математическую модель процесса восстановления для МВЭ. Пусть элемент начал работать в момент t=0 и проработав случайное время Т1 отказал в момент t1= Т1 и тут же мгновенно восстановился. Проработав случайное время Т2 отказал в момент времени t2= Т1+Т2 и тут же мгновенно восстановился. Этот процесс неограниченно продолжается. N Моменты времени t N   TN n 1 называются моментами отказов или восстановлений. Они образуют случайный поток сложных событий, состоящих 56 НАДЕЖНОСТЬ ИС в очередном отказе и восстановлении. Этот случайный поток событий назовем процессом восстановления для МВЭ. Заметим, что этот поток однородный, поскольку состоит из событий одного типа. Для определения характеристик потока восстановления необходимо ввести исходные допущения и предположения: 1. Времена работы до отказа Тn , n=1,2,... - независимые случайные величины. 2. Времена работы до отказа Тn , n=1,2,... - одинаково распределенные случайные величины с функцией и плотностью распределения соответственно  n=1,2,... Fт (t)=P{ Тn  t}=1-P(t), W(t)=F'т(t)=-P'(t) , где P(t) функция - (3.1) надежности невосстанавливаемого элемента, положенного в основу модели МВЭ. Отсюда следует, что для определения характеристик времен до отказа Тn , n=1,2,... мы можем воспользоваться формулами, полученными в гл. 2 для невосст. эл-та. В частности, средняя длительность работы восстанавливаемого элемента между (n-1) - ым и n - ым отказом может быть определена по ф-ле (2.8)    T n   P( t)dt   [1  F(t)]dt,n  12 , ,... (3.2) а дисперсия этой длительности по ф-ле (2.9)   D Tn  2 t  P( t)dt  [  P( t)dt] 2 ,n  12 , ,... ( 3.3) При введенных допущениях процесс восстановления наз. простым. Существуют и др. более сложные математические модели процесса восстановления для МВЭ, в которых, например, времена Тn , n=1,2,... распределены неодинаково и являются зависимыми случайными величинами. § 3.2. ОСНОВНЫЕ ПОКАЗАТЕЛИ НАДЕЖНОСТИ ДЛЯ МВЭ. 1. Распределение числа отказов N(t) на интервале [0,t] и момента tN N-го 57 ГЛАВА 1. ОСНОВНЫЕ ПОНЯТИЯ ТЕОРИИ НАДЕЖНОСТИ восстановления. Сделаем сначала замечание о характере случайного процесса N(t) и случайной величины tN. Условимся считать, что если t=tN, то N-ый отказ (восстановление) произошел. Случайный процесс N(t)=max{N: tN  t} имеет ступенчатые непрерывные справа траектории с единичными скачками в моменты отказа (восстановления). При фиксированном t N(t) следует рассматривать как дискретную случайную величину со спектром значений N(t)=0,1,2,,... N Случайная величина t N   TN будет непрерывной в силу непрерывности n 1 с.в. Тn , n=1,2,... Найдем распределение числа отказов N(t) на инт. [0,t]. Поскольку N(t) дискретная с.в., то необходимо найти вероятности P{N(t)=N} при 0,1,2,..., которые исчерпывающе характеризуют с.в. N(t). Для этого определим вероятность N P{N(t)  N}=P{ tN  t}=P{  TN  t }=FN(t) (3.4) n1 где FN(t) - ф-я распределения с.в. При N=1 получим из (3.4) P{N(t)  1}= P{ t1  t}= P{ T1  t}=F(t)=1-P(t)= F1(t), (3.5) где F(t) и P(t) определяются из (3.1) N Пусть теперь N  2. С.в. t N   TN n 1 представляет собой сумму N независимых одинаково распределенных с.в. Тn , n=1,2,... Из теории вероятностей известно, что ф-я распределения суммы N независимых одинаково распределенных с.в. определяется N - мерной сверткой их одномерных законов распределений. Символически N - мерная свертка ф-ий распределения F(t) записывается в виде 58 НАДЕЖНОСТЬ ИС FN(t)=F(t)• F(t) •...• F(t) (3.6) N раз а в развернутом t FN(t)=(s)  FN1 ( t  )dF( ) , N  2 (3.7) где FN-1( ) - (N-1)-мерная свертка ф-ий распределения F(t). Здесь приведенный интеграл понимается как интеграл Стилтьеса ф-ии FN-1( ) по ф-ии F( ). Известно, что если FN-1( ) непрерывна, а F( ) имеет ограниченное изменение maxF()  minF(),  [0, t]   то интеграл Стилтьеса существует. Эти условия в данном случае выполняются. Также известно, что если FN-1( ) - интегрируема в смысле Римана на [0,t], а F( ) - непрерывная во всем промежутке [0,t] и имеет в нем, исключая быть может лишь конечное число точек производную F'(t), которая в [0,t] абсолютно интегрируема1), то t  t  FN(t)=(s) FN1 ( t  )dF( ) = (R) FN1 ( t  )F ( )d (3.8) В (3.7) последний интеграл понимается в смысле Римана. Т.о. найденные соотношения (3.5) - (3.8) определяют ф-ию распределения с.в. tN. Ее плотность распределения WN(t)= FN'(t) (3.9) Определим хар-р изменения FN(t) с изменением t и N. Из (3.4) следует, что а) с увеличением t при фиксированном N FN(t) увеличивается и lim FN (t )  1 t  б) с увеличением N при фиксированном t FN(t) уменьшается и lim FN ( t)  0 N 59 ГЛАВА 1. ОСНОВНЫЕ ПОНЯТИЯ ТЕОРИИ НАДЕЖНОСТИ FN(t) по N дискретно, а по t непрерывно Найдем теперь распределение числа отказов N(t) на инт. [0,t], определив вероятность появления N отказов на инт. [0,t] PN ( t)  P{N( t)  N}  P{N( t)  N}  P{N( t)  N  1}  P{ tN  t}  P{ tN1  t}   FN ( t)  FN1 ( t),N  01 , ,... (3.10 ) где FN(t) определяется из (3.5)-(3.8) в частности при N=0 P0 (t)  F0 (t)  F1 (t)  1  F(t)  P( t) где P(t) - ф-я надежности соответствующего невосстанавливаемого элемента. 60 НАДЕЖНОСТЬ ИС 2. Функция восстановления - среднему числу отказов, происшедших на инт. [0,t]   n1 n1  H( t)  N( t)  MN( t)   n  Pn ( t)   n  [FN ( t)  FN1 ( t)]  Можно показать, что H(t) всегда конечна при t   , т.е. ряды сходятся, причем абсолютно. Тогда можно произвольным образом группировать их члены.   F1 ( t)  F2 ( t)  2F2 ( t)  2F3 ( t)  3F3 ( t)  3F4 ( t)   Fn ( t) n1 (3.11 ) где Fn ( t) определяются из (3.5)-(3.8). H(t) - неубывающая ф-я. 3. Плотность восстановления. Если существует производная H'(t), то плотность восстановления   n=1 n1 h( t)  H (t) = ( Fn ( t))    Wn ( t) (3.12) Определим физический смысл h(t) H( t)  H( t)t  o( t) Отсюда H( t)  h( t)  H( t) ,[h( t)]  [ t] 1 t т.е. h(t) численно равна среднему числу отказов на интервале единичной длины, при условии, что эта единица мала. 4. Среднее число отказов на [t1, t2]    N( t 1, t 2 )  M [N( t 2 )  N( t1 )]  N( t 2 )  N( t1 )  H( t 2 )  H( t1 ) (3.13) § 3.3. ПОКАЗАТЕЛИ НАДЕЖНОСТИ МВЭ ПРИ ЭКСПОНЕНЦИАЛЬНОМ И НОРМАЛЬНОМ РАСПРЕДЕЛЕНИИ ДЛИТЕЛЬНОСТЕЙ ИНТЕРВАЛОВ МЕЖДУ МОМЕНТАМИ ОТКАЗОВ 61 ГЛАВА 1. ОСНОВНЫЕ ПОНЯТИЯ ТЕОРИИ НАДЕЖНОСТИ Вычисление N - кратных сверток в общем случае представляет значительные трудности. В конечном виде результаты м.б. получены только для некоторых элементов надежности. Рассмотрим один из них. 1. Пусть длительности интервалов Тn , n=1,2,... распределены по экспоненциальному закону F(t)  1  e  t При этом поток восстановления будет простейшим (стационарным, одинарным, без последствия). Для такого потока вероятность того, что на [0,t] произойдет N событий (отказов) определяется ф-лой Пуассона. (t)N t P{N( t)  N}  e N! (3.14 ) т.е. распределение числа отказов на инт. [0,t] найдено сразу. Ф-я восстановления (t)n t  (t)n t H( t)   n  Pn ( t)   n  e  e  t n! n1 n1 n1 (n  1)!   (3.15) Плотность восстановления h(t)=H'(t)=  (3.1 6) Среднее число отказов на [t1, t2]  N( t 1, t 2 )  H(t2)- H(t1)= ( t2- t1) (3.17 ) Момент N - го отказа tN распределен по закону Эрланга (N-1) - го порядка (t)N1 t WN ( t)  e (N  1)! 62 НАДЕЖНОСТЬ ИС (3.18 ) 2. Пусть длительности интервалов Тn , n=1,2,... распределены по нормальному закону  t  ( t  T) 2 tT F(t)    exp{  }  Ф( ) 2D T 2D T  DT 1 Сумма двух независимых нормальных с.в. имеет нормальное распределение со средним, равным сумме средних слагаемых и дисперсией, равной сумме дисперсии слагаемых. Тогда по индукции для произвольного числа слагаемых N  t NT  FN ( t)  Ф( t  NT ND T ND T 1 )  2  t2 exp(  )dt 2  P{N( t)  N}  FN ( t)  FN1 ( t)  Ф(   n 1 n1  ND T  )  Ф( t  (N  1) T (N  1)D T )  H( t)   Fn ( t)   Ф( t  nT nD T   t  nT n1 nD T h( t)  H( t)   Ф ( t  NT )  )  n1 N( t 1, t 2 )  H(t2)- H(t1)=  [Ф( n 1  1 2ND T exp{  t2  n T nD T ( t  n T) 2 2 nD T }  )  Ф( t1  n T nD T )] § 3.4. АСИМПТОТИЧЕСКОЕ ПОВЕДЕНИЕ ПРОЦЕССА ВОССТАНОВЛЕНИЯ ДЛЯ МВЭ Выше нами были получены соотношения, характеризующие процесс восстановления для МВЭ в общем случае. Было указано, что при этом 63 ГЛАВА 1. ОСНОВНЫЕ ПОНЯТИЯ ТЕОРИИ НАДЕЖНОСТИ вычисление характеристик потока восстановления представляет серьезные трудности. Эти трудности могут быть в значительной мере преодолены, если интервал наблюдения [0,t] велик, т.е. когда можно считать, что до момента t произошло значительное число отказов. Изучение характеристик потока восстановления при t   связано с рассмотрением его асимптотических свойств. Рассмотрим некоторые из них. Эти свойства, вообще говоря, будут приведены при более широких условиях, чем оговоренные ранее (непрерывность с.в. T и дифференцируемость F(t)). 1. Для любого закона распределения F(t) времени до отказа Т H( t) 1   t t T lim (3.1 9)   где T  MT  , 1   0, если T   T Это свойство м.б. сформулировано следующим образом: для большого временного интервала среднее число отказов, приходящихся на единицу времени  величине, обратной среднему времени до отказа элемента. Т.е. среднее число отказов, приходящихся на единицу времени при t   не зависит от t и =const 2. Теорема Блекуэлла Если время до отказа Т распределено непрерывно, то при любом t  0 lim[H( t  t)  H( t)]  t t T (3.20 )   Здесь также не требуется, чтобы T было конечным, если T   , то t   0 . T 64 НАДЕЖНОСТЬ ИС Таким образом (3.20) означает, что среднее число отказов, происшедших на интервале фиксированной длительности t , не зависит от t. 3. Теорема Смита Если время до отказа Т распределено непрерывно, а R(t) невозрастающая и интегрируемая (по Риману) на (0,  ) функция (т.е. принадлежащая классу (0, ) ), то  t 1 lim  R( t  )dH( )   R( t)dt t T0  (3.21) Здесь по прежнему м.б. T   . Эта теорема примечательна тем, что с ее помощью возможно изучение различных предельных свойств процесса восстановления путем использования различных ф-ий R(t). W( t)  0 , то 4. Если lim t lim h( t)  t 1  T (3.2  2) Здесь также м.б. T   . 5. Вероятность безотказной работы на инт. [t,t+  t] lim P( t, t  t)  t 1   1   [1  F(t)]dt   P( t)dt ,  T t T t (3.23) где P(t) и F(t) - соответственно ф-я надежности и интегральная ф-я распределения времени Т. 6. Число отказов N(t) имеет асимптотически нормально распределение со D t средним t  и дисперсией T  3 , т.е. T T N( t)  lim P{ t  DT t  3 t  T  N}  N x2  exp(  2 )dx 2   1 (3.24) T 65 ГЛАВА 1. ОСНОВНЫЕ ПОНЯТИЯ ТЕОРИИ НАДЕЖНОСТИ Сделаем 2 замечания 1. является h(t) точечной (локальной) характеристикой процесса восстановления, а H(t) - интервальной. Поэтому, очевидно, свойство 4 более общее, из него должны следовать свойства 1,2. Доказать самостоятельно. Док-во1-го свойства: Из определения плотности восстановления h(t)=H'(t) t t t  h( )d H( t)  h()d   H()d t H( t) lim  lim t  t t   h( )d t  lim h( t)  t  1  T Док-во 2-го свойства: lim[H( t  t)  H( t)]  lim[ t t t  t t t t  t t t  h()d   h()d]  lim[ h()d   h()d   h()d]  t t  t  lim t   h( )d  t Произведем замену y    t  {   tt,yt0,y  t , d  dy,   y  t t t  lim  h( y  t)dy   lim h( y  t)dy  t  2. Свойства t 1,2,4,5 t  T выполняются для экспоненциального закона надежности при произвольном t. Показать самостоятельно 1-е свойство H( t) t 1    t t T 2-е свойство 66 НАДЕЖНОСТЬ ИС H( t  t)  H( t)  ( t  t)  ( t)    t  t  T 4-е свойство h( t)    1  T 5-е свойство P( t, t  t)  1    e t dt   T t 1 1  t   t e | t = e    T В то же время из результатов п.1 § 2.1. P( t, t  t)  e  t § 3.5. ОПРЕДЕЛЕНИЕ ПРОЦЕССА ВОССТАНОВЛЕНИЯ ДЛЯ ЭЛЕМЕНТА С КОНЕЧНЫМ ВРЕМЕНЕМ ВОССТАНОВЛЕНИЯ (ЭКВВ) Ранее мы полагали, что восстановление отказавшего элемента происходит мгновенно. Это, естественно, является идеализированным случаем, поскольку зачастую восстановление требует времени, которым нельзя пренебречь. Время восстановления складывается из времени обнаружения неисправного элемента и времени замены отказавшего элемента новым или его ремонта. Оговорим математическую модель процесса восстановления для ЭКВВ. Пусть элемент начал работать в момент времени t=0. Проработав случайное время Т1 отказал в момент времени t10=Т1. Восстанавливается в случайное время  1 до момента t1В=Т1+  1 . Этот процесс неограниченно продолжается. На рис.23 обозначено: Тn , n=1,2,... - время работы элемента перед n-ым отказом;  n , n=1,2,... - время n-го восстановления N1 tN0= ТN +  ( Tn   n ) - момент N-го отказа N=1,2,... N1 N1 tNB=  ( Tn   n ) - момент N-го восстановления N=1,2,... N1 67 ГЛАВА 1. ОСНОВНЫЕ ПОНЯТИЯ ТЕОРИИ НАДЕЖНОСТИ Момент времени tN0, tNB образуют случайный поток событий типа “отказ” и “восстановление”. Этот случайный поток назовем процессом восстановления до ЭКВВ. Этот процесс будет неоднородным. Для определения характеристик потока восстановления необходимо ввести исходные допущения и ограничения: 1. Время работы до отказа Тn , n=1,2,... и времена восстановления  n , n=1,2,... взаимно независимые случайные величины 2. Времена работы до отказа Тn , n=1,2,... - одинаково распределенные случайные величины с ф-ей плотностью распределения соответственно FT ( t)  P{ Tn  t}  1  P( t) , n=1,2,... (3.25 ) WT ( t)  FT  ( t)  P ( t) где P(t) - ф-я надежности соответствующего невосстанавливаемого элемента, положенного в основу модели ЭКВВ. Отсюда следует, что в данном случае справедливы также (3.2), (3.3) 3. Времена восстановления  n , n=1,2,... одинаково распределенные случайные величины с ф-ей и плотностью распределения соответственно F ( t)  P{ n  t} (3.26 ) W ( t)  F  ( t) При введенных ограничениях процесс восстановления для ЭКВВ наз. простым альтернирующим. Существует и др. более сложные модели процесса восстановления для ЭКВВ, в которых, например, времена Тn ,  n , n=1,2,... распределены неодинаково и являются зависимыми случайными величинами. § 3.6. ОСНОВНЫЕ ПОКАЗАТЕЛИ НАДЕЖНОСТИ ДЛЯ ЭЛЕМЕНТА С ЭКВВ 68 НАДЕЖНОСТЬ ИС Поток восстановления является неоднородным, Поэтому в общем случае необходимо было бы изучать вероятностные характеристики числа отказов N0(t) и числа восстановлений NВ(t), происшедших на интервале [0,t]. Однако, NВ(t)= N0(t) либо NВ(t)= N0(t)-1, т.е. NВ(t) и N0(t) отличаются не более, чем на 1. Это дает основание остановиться на рассмотрении одной из названных величин. Далее будем рассматривать однородный поток событий, происходящих в моменты tNB, N=1,2,..., т.е. займемся изучением вероятностных характеристик с.в. NВ(t) и моментов tNB. При этом поток восстановления для ЭКВВ преобразуется к виду рис. 23б. Из рис. 19,23 видно, что поток восстановления для ЭКВВ визуально напоминает поток восстановления для МВЭ с той лишь разницей, что Тn заменяется на Тn+  n . Однако, кроме этого из допущений, принятых в выполняются § 3.5. относительно Тn,  n , n=1,2,... следует, что ограничения для с.в. Т n+  n , n=1,2,..., аналогичные сформированным относительно с.в. Тn, n=1,2,... в § 3.1. Это замечание дает основание в задачах анализа характеристик потока восстановления для ЭКВВ использовать результаты, полученные для МВЭ с учетом замены Тn на Тn+  n , n=1,2,... 1. Распределение числа восстановлений NВ(t) на инт. [0,t] и момента tNB N-го восстановления Здесь остаются в силе все предварительные замечания, сделанные в п.1 § 3.2. Руководствуясь сделанным в начале настоящего § замечанием, определим функцию распределения с.в. Тn+  n , n=1,2,... t t F(t)   FT ( t  )dF ( )   F ( t  )dFT ( ) (3.27) из (3.5) - (3.9) получим : - ф-я распределения момента t1B первого восстановления P{NB ( t)  1}  P{ t1B  t}  F(t)  F1B ( t) 69 ГЛАВА 1. ОСНОВНЫЕ ПОНЯТИЯ ТЕОРИИ НАДЕЖНОСТИ (3.28 ) - ф-я распределения момента tNB, N=2,3,... N-го восстановления FNB(t)=F(t)• •F(t) F(t)•... (в символическом виде) (3.29 ) t t FNB(t)= (S) FN1 ( t  )dF( )  (R) FN1 ( t  )F ( )d (в развернутом виде) (3.30) -плотность распределения моментов tNB, N=1,2,... WNB(t)= F'NB(t) (3.31 ) где F(t) определяется из (3.27), FN-1( ) - (N-1) - мерная свертка ф-ий распределения F(t) Т.о. (3.28) - (3.31) определяют закон распределения с.в. tNB, N=1,2,... Относительно характера изменения FNB(t) с изменением t и N справедливы замечания, аналогичные сделанным в § 3.2. относительно характера изменения FN(t). Из (3.10) вероятность появления N восстановлений на [0,t] PNB(t)=P{ NB(t)=N}= FNB(t)- FN+1,B(t) (3.32 ) где FNB(t) определяются из (3.28)-(3.30) 2. Функция восстановления равна среднему числу восстановлений, происшедших на [0,t]. Из (3.11)   n 1 n1 H( t)  MNB ( t)   n  P{NB ( t)  n}  FnB ( t) (3.33) где FnB(t) определяются из (3.28)-(3.30) 3. Плотность восстановления равна среднему числу восстановлений на интервале единичной длины, при условии, что эта единица мала 70 НАДЕЖНОСТЬ ИС  h( t)  H( t)  (  FnB ( t))   n 1  W nB n 1 ( t) (3.34 ) где WnB(t) определяется из (3.31) 4. Среднее число восстановлений на [t1, t2]  NB ( t 1 , t 2 )  M[NB ( t 2 )  NB ( t 1 )]  H( t 2 )  H( t 1 ) (3.35) 5. Среднее и дисперсия времени между соседними моментами восстановления   M( Tn   n )  T   (3.36 ) D  D T  D (3.37 ) К числу характеристик потока восстановления для ЭКВВ также относятся коэффициенты готовности и простоя. Определим их несколько ниже, т.к. для их вывода необходимы некоторые асимптотические свойства. § 3.7. АСИМПТОТИЧЕСКОЕ ПОВЕДЕНИЕ ПРОЦЕССА ВОССТАНОВЛЕНИЯ ДЛЯ ЭКВВ Определим асимптотические свойства процесса восстановления для ЭКВВ при t   , используя доказанные асимптотические свойства для МВЭ. 1. Для любого закона распределения F(t) с.в. Тn+  n из (3.19) H( t)  t  t lim  1  (3.38) где T    ,  1   T    ( T  )   0 , если T     2. Теорема Блекуэлла Если с.в. Тn+  n распределена непрерывно, то при любом t  0 из (3.20) 71 ГЛАВА 1. ОСНОВНЫЕ ПОНЯТИЯ ТЕОРИИ НАДЕЖНОСТИ lim[H( t  t)  H( t)]  t   t   T   (3.39) где T     3. Теорема Смита Если с.в. Тn+  n распределена непрерывно, а R(t) невозрастающая и интегрируемая (по Риману) на (0,+  ) ф-я (т.е. принадлежит классу L1 (0, ) ), то из (3.21) t lim  R( t  )dH( )  t   1   T   R( t)dt (3.40   ) где T     WT  ( t)  0 , то из (3.22) 4. Если lim t  lim h( t)  t  1   T  (3.41   ) где T     5. Вероятность безотказной работы на инт. [ t, t  t ] из (3.23) lim P( t, t  t)  t   1   T   [1  F T ( t)]dt t (3.42) где F(t) - ф.р. с.в. Тn, определяемая из (3.27) 6. Число восстановлений NB(t) имеет асимптотически нормальное распределение со средним t   ( T  ) и дисперсией (D T  D  )t   ( T  ) 3 72 НАДЕЖНОСТЬ ИС   t NB ( t)      ( T  )    lim   t  ( D  D ) t T        3   ( T   )   N x2  exp(  2 )dx 2   1 (3.43) § 3.8. КОЭФФИЦИЕНТЫ ГОТОВНОСТИ И ПРОСТОЯ Различают нестационарный и стационарный коэффициенты готовности. Нестационарный коэффициент готовности КГ(t) равен вероятности того, что объект окажется работоспособным в заданный момент времени t. Стационарный коэффициент готовности КГ(t) равен вероятности того, что объект окажется работоспособным в момент времени t   , т.е. в установившемся стационарном режиме работы. Найдем КГ(t). Обозначим А - событие, состоящее в том, что в момент t элемент исправен. Это событие может иметь место в момент времени t>0 после того, как произошло N=0,1,2,... восстановлений (рис. 24). Тогда по формуле полной вероятности:  КГ(t)=P{A}=  P{ A NB ( t)  N}P{NB ( t)  N}  N 0  t = P( t)    P{ A,NB ( t)  N N1 0 tNB  } WNB ( )d (3.44) Определим P{ A,NB ( t)  N tNB  } = P{ TN1  tNB  t tNB  }  = P{ TN1  t  tNB tNB  }   Поскольку ТN+1 не зависит от t NB   Tn   n , то условие можно опустить n 1 =P { TN1  t  }  P( t  ) (3.45) 73 ГЛАВА 1. ОСНОВНЫЕ ПОНЯТИЯ ТЕОРИИ НАДЕЖНОСТИ Подставляя (3.45) в (3.44) получим t t  N1 0 N1  КГ(t)= P( t)    P( t  )WNB ( )d  P( t)   P( t  ) WNB ( )d = h(t) t t t = P( t)   P( t  )h( )d P( t)   P( t  )H( )d P( t)   P( t  )dH( ) (3.46 ) Найдем КГ по определению t t   K г ( t)  limP( t)   P( t  )dH( )  lim P( t)  lim  P( t  )dH( ) = КГ= lim t  t  t    t = 1   T    T T   P( t)dt    (3.47) Таким образом, может быть второе определение КГ. Стационарный коэффициент готовности - доля времени, в течении которого объект находится в работоспособном состоянии на интервале [0,t] при t   . Действительно, N 1 N  Tn lim  Tn  N N T n 1 n 1 lim N     N N t  1 1 N T  ( Tn   n ) lim  Tn  lim   n  N N N N n 1 n 1 n 1 Подчеркнем, что полученный результат справедлив для любых законов распределения Т,  . Для мгновенно восстанавливаемого элемента КГ(t)= КГ=1 Найдем КГ процесса восстановления при экспоненциальных законах времен Т,  . 74 НАДЕЖНОСТЬ ИС   T1 КГ=    1 1  T   T   T  T Определим коэффициенты простоя. Нестационарный коэффициент простоя КП(t) равен вероятности того, что объект окажется неработоспособным в заданный момент времени КП(t)=1- КГ(t) Стационарный коэффициент простоя КП равен вероятности того, что восстанавливаемый элемент окажется неработоспособным в момент времени t   , т.е. в установившемся стационарном режиме работы. K П ( t) =1- КГ КП= lim t Рассмотренные процессы восстановления в настоящей главе имеют широкое приложение в качестве математических моделей многих процессов, далеко выходящих за рамки теории надежности. Например: а) альтернирующий процесс восстановления м.б. использован в задаче наблюдения за множеством “целей” с КА. При этом интервалам времени, в которые цель наблюдается, можно приписать событие “работа” ЭКВВ, а интервалам времени, в которые цель не наблюдается - событие “восстановление” ЭКВВ. б) пусть с помощью счетчика регистрируется кол-во некоторых частиц, попавших в определенный объем. Тогда, если задать распределение интервала времени между моментами появления частиц и считать эти интервалы независимыми, то распределение количества частиц, зарегистрированных на определенном интервале, м.б. определено как число отказов МВЭ, происшедших на этом интервале времени. Глава IV. НАДЕЖНОСТЬ СИСТЕМ Система - объект, представляющий собой совокупность элементов, взаимодействующих в процессе выполнения определенного круга задач и взаимосвязанных функционально. 75 ГЛАВА 1. ОСНОВНЫЕ ПОНЯТИЯ ТЕОРИИ НАДЕЖНОСТИ Элемент (системы) - объект, представляющий простейшую часть системы, отдельные части которого не представляют самостоятельного интереса в рамках конкретного рассмотрения. Существуют два класса задач математической надежности систем: I. Задачи анализа, в которых характеристики надежности систем могут быть определены двумя способами: a) по априорным сведениям о поведении системы в фазовом пространстве (при этом для описания этого поведения должны анализироваться элементы системы, в противном случае система была бы элементом); б) по известным характеристикам надежности элементов. 2. Задачи синтеза, в которых определяются условия, обеспечивающие наилучшие значения показателей надежности систем в рамках существующих ограничений. Также как и при исследовании надежности элемента исходным моментом решения задач надежности в рамках математической теории систем является задание математической модели системы в смысле надежности. Можно выделить следующие основные этапы построения математических моделей систем: 1 этап. Определение показателя надежности системы. 2 этап. Определение фазового пространства элементов и системы Если решение задачи надежности осуществляется в рамках способа а),то завершающим будет 3 этап. Определение случайного процесса X( t ) , описывающего поведение системы в фазовом пространстве. Если решение задачи надежности осуществляется в рамках способа б),то необходимы еще два этапа. 4 этап . Установление связи между отказом системы и отказами элементов. 76 НАДЕЖНОСТЬ ИС Сделать это не всегда просто. В дальнейшем будем полагать, что связь между отказами системы и элементов может быть однозначно установлена. Математически такая связь может быть описана несколькими способами.В зависимости от применяемого способа описания различают следующие методы расчета: I. С использованием структурных схем надежности, которые подразделяются на: а) последовательные структурные схемы , б) параллельные приводимые к в) последовательно-параллельные простейшим г) структурные схемы, не приводимые к простейшим. 2. С использованием порядковых статистик. 3. С использованием булевых функций. 4. С использованием графа состояний системы. Наиболее простыми являются I и 2 методы расчета. Однако, они не являются универсальными. 1  3-й методы применяются для анализа надежности невосстанавливаемых систем. 4-й метод - восстанавливаемых. Наиболее универсальным является 4-й метод. Но он наиболее громоздкий. Иногда необходимо комбинировать методы. 5 этап . Задание характеристик надежности элементов. 77 ГЛАВА 1. ОСНОВНЫЕ ПОНЯТИЯ ТЕОРИИ НАДЕЖНОСТИ § 4.1 Надежность невосстанавливаемой системы с независимыми элементами Будем полагать, что элементы являются независимыми в смысле надежности, т.е. имеют место независимые отказы элементов. Систему назовем невосстанавливаемой, если все элементы системы невосстанавливаемые. Если хотя бы один элемент системы восстанавливаемый, то и вся система восстанавливаемая. Рассмотрим методы расчета, основанные на использование структурных схем надежности. При этом параллельно покажем, как можно использовать аппарат порядковых статистик. I. Надежность системы с последовательной структурной схемой (основное соединение) Будем говорить, что система состоит из последовательно соединенных в смысле надежности элементов, если отказ любого элемента вызывает отказ всей системы. Структурная схема в случае последовательного соединения изображается следующим образом Отметим, что структурная схема системы, определенная в смысле надежности, в общем случае не связана однозначно со структурной схемой, определенной в обычном смысле. Например а) Пусть система представляет собой параллельное соединение резисторов R 1 R  RN с ис т . Если отказ системы есть событие, состоящее в том, что   Rmin ,Rmax любого из , то при отказе типа «короткое замыкание» или «обрыв» резисторов наступит отказ системы. Т.е. имеет место последовательная структурная схема надежности системы. б) Пусть система представляет собой параллельное соединение индуктивности L и емкости C. Если отказ системы есть событие, состоящее в 78 НАДЕЖНОСТЬ ИС том, что полное сопротивление Z контура L-C на частоте f Z  Z , Z  , то min max при отказе типа «короткое замыкание» или «обрыв» индуктивности или емкости наступит отказ системы. Т.е. имеет место последовательная структурная схема надежности. Определим I. функцию надежности системы с последовательно соединенными элементами. Обозначим: А - событие, состоящее в том, что система работоспособна на [ 0,t ] А - событие, состоящее в том, что n-ый элемент системы работоспособен n на [ 0,t ] Из определения системы с последовательно соединенными элементами следует, что для безотказной работы системы на [ 0,t ] необходимо, чтобы на [0,t ] все элементы проработали безотказно. Функция надежности системы N  N P t  PA  P An   P n=1  n=1 N N A   P t  1 F t где P  t n и F  t n n n=1 n n=1 (4.1) n - соответственно функция надежности и функция распределения времени до отказа T n n -го элемента. Из (4.1) следует, что при последовательном соединении надежность системы меньше надежности любого входящего в нее элемента и уменьшается с ростом N (при естественном предположении P  t  I , n = 1,N ; т.к. если бы для какого-либо n P t   1 , n n то этот бы элемент отсутствовал бы на структурной схеме) 2. Функция ненадежности системы 79 ГЛАВА 1. ОСНОВНЫЕ ПОНЯТИЯ ТЕОРИИ НАДЕЖНОСТИ N N n=1 n=1   Q t  F t  1- P t  1  Pn t  1   1  Fn  t  N    1   1  Qn  t n=1 (4.2) где F t - функция распределения времени до отказа T системы, Q  t n функция ненадежности n -го элемента. 3. Частота отказов системы   N  N  N  W  t  F'  t  1- Pn t   Pn t  Pn'  Pi t  in n 1  n=1   n=1  i=1,n N       W n  tdt Pi t   W n t Pi t in n 1  t n 1  in N i=1,n где i=1,n W  t - частота отказов n (4.3) n -ого элемента 4. Интенсивность отказов системы N P t  Pn t n=1 из (2.14) следует, что  t  N  t  exp   tdt   exp  n  tdt  0  n=1  0  (4.4) t  0,  где  n - интенсивность отказов n -ого элемента. Логарифмируя и дифференцируя это равенство, получим 80 НАДЕЖНОСТЬ ИС N  t   n  tdt (4.5) n 1 Отсюда следует, что интенсивность отказов системы при последовательном соединении элементов больше интенсивности отказов любого входящего в нее элемента. 5. Среднее время до отказа системы из (2.15)  T   P tdt    t    t  dt e  dt  t  e N  t  dt   n dt n 1 (4.6) Если все элементы системы равнонадежны, т.е.    Pn  t  P t  1  F t      t   , n , w  t  W  t , n n  1,N то (4.1)  (4.6) преобразуется к виду  P t  P     t  1  Ft   N N N (4.7)     Q t  1  1  F t  1  1  Q t       N (4.8)  N1  W  t  NW  t p  t (4.9)   t   N  t   T t   N   t  dt e (4.10) dt (4.11) 81 ГЛАВА 1. ОСНОВНЫЕ ПОНЯТИЯ ТЕОРИИ НАДЕЖНОСТИ Проиллюстрируем применение аппарата порядковых примере определения функции ненадежности статистик системы (рис. 25) на с равнонадежными элементами. Пусть из генеральной совокупности, определяемой случайной величиной  X с функцией распределения F t , в результате N независимых опытов получена выборка объема N X ,X (1) т.е. ( 2) , , X(N) априори (4.12) это последовательность распределенных случайных величин независимых одинаково X ,n  1,N . Упорядоченная по величине n последовательность выборочных значений X (1)  X( 2)   X(N) (4.13) X называется вариационным рядом. Члены вариационного ряда (n) , n  1,N называются порядковыми статистиками. Пусть X(1)  min Tn Тогда задача определения функции ненадежности последовательной структурной схемой и  функцией ненадежности может быть N независимыми элементами с Q( t)  F t в терминах порядковых статистик следующим образом: распределения наименьшей порядковой статистики 1 1 x  1 P n системы с  сформулирован F t  Px n Q(t)  найти функцию X . Известно, что (1) x  X   X  F1 X  1  P  N  x, n  1,N  1  P x n 1   x  1 N   1F X    что совпадает с (4.8). 82 НАДЕЖНОСТЬ ИС Рассмотрим случай, когда элементы имеют экспоненциальный закон надежности и   t   n n . Тогда из (4.4) N t n   t P t  e  n 1 e (4.14) N где    n  const  интенсивность отказов системы n1 Т.е. при экспоненциальном законе надежности (4.15) элементов система с последовательно соединенными элементами будет также экспоненциально надежной. Тогда из (4.6)   t e T dt  1   1 N  n 1 где T n  n 1 N  n 1 1 T (4.16) n - среднее время до отказа n -го элемента 2. Надежность системы с параллельной структурной схемой Рассмотрим теперь второй простейший случай соединения элементов в системе. Будем говорить, что система состоит из параллельного соединенных в смысле надежности элементов, если отказ системы наступает только тогда, когда отказывают все входящие в систему элементы. Структурная схема в случае параллельного соединения элементов изображается следующем образом Пример: 2-е ЭЦВМ решающие одну и ту же задачу. Отказ системы - задача не будет решена ни на одной ЭВМ. Отказ элемента (ЭВМ) - задача не будет решена на этой ЭВМ. I. Функция ненадежности системы (рис.26) Обозначим: 83 ГЛАВА 1. ОСНОВНЫЕ ПОНЯТИЯ ТЕОРИИ НАДЕЖНОСТИ A A n -событие, состоящее в том, что откажет система на n - событие, состоящее в том, что откажет n -ый элемент на Согласно определению системы с параллельно соединенными элементами функция ненадежности N  N Q t  P A  P An   n1  n1  где P  t n и Q  t n A    Q t  1 P t N n n1 N n n1 n (4.17) - соответственно функция надежности и ненадежности n -ого элемента. 84 НАДЕЖНОСТЬ ИС 2 1 N рис.28 11 21 N1 12 22 N2 1M 2M NM рис.29 1 2 N R 1 R 2 R N рис.25 1 2 N 85 ГЛАВА 1. ОСНОВНЫЕ ПОНЯТИЯ ТЕОРИИ НАДЕЖНОСТИ рис.26 2. Функция надежности. N P t  1  Q t  1   1  Pn  t (4.18) n1 Из определения (4.17) следует, что при параллельном соединении вероятность отказа системы меньше вероятности отказа любого входящего в нее элемента, а, следовательно, с учетом (4.18) надежность системы - выше.  P  t  P t , то из (4.17), (4.18) Если все элементы равнонадежны, т.е. Q t  n    Q  t  1Pt    N    P t  1  1P t   N (4.19) N (4.20) Проиллюстрируем применение аппарата порядковых примере определения функции ненадежности системы статистик рис.26 с  равнонадежными элементами, имеющими функцию ненадежности на  Qt Ft . Эта задача может быть сформулирована следующим образом: найти функцию распределения наибольшей порядковой статистики X (N) вариационного ряда (4.13). Известно, что X Q t  P     X  F  t  Q  t что совпадает с (4.19) (N) N N Если к тому же справедлив экспоненциальный закон надежности, то из (4.19), (4.20) Q t     t  1 e    N (4.21) 86 НАДЕЖНОСТЬ ИС    t   P t  1  1 e N   (4.22) т.е. при параллельном соединении элементов с экспоненциальным законом надежности надежность системы не будет подчиняться экспоненциальному закону надежности N        1 N 1   t T   P tdt   11 e     n 0      n1    3.  Надежность системы с (4.23) последовательно-параллельной структурной схемой Будем говорить, что система имеет последовательно-параллельную структурную схему, если в ней любая группа элементов, в том числе и вся система, может рассматривается как последовательное или параллельное соединение элементов или других групп элементов. Пример: система коллективного пользования. рис.27 87 ГЛАВА 1. ОСНОВНЫЕ ПОНЯТИЯ ТЕОРИИ НАДЕЖНОСТИ ЦВК Общее ВЗУ Мощная ЭЦВМ1 Межмашинный адаптер Мощная ЭЦВМ2 Коллективный адаптер M M Линии M M связи M M Периферийные ЦВМ а) Структурная схема системы. ЭЦВМ1 Коллект. адаптер ВЗУ ЭЦВМ2 б) Структурная схема надежности ЦВК (межмашинный адаптер абсолютно надежный). рис.27 88 НАДЕЖНОСТЬ ИС Рассмотрим два примера расчета надежности систем, с параллельнопоследовательной структурной схемой. Пусть структурная схема содержит M параллельных групп, каждая из которых состоит из N одинаковых (в смысле надежности) элементов с  функцией надежности P t Надежность каждой группы из (4.7) P t  1  1Pг t M    N  1  1P   M t (4.25) При увеличении числа M параллельных групп надежность возрастает и в пределе при M  P t  1. При увеличении числа элементов N в группе надежность уменьшается и при N   P t  0 . Пусть структурная схема содержит N последовательно соединенных групп, каждая из которых состоит из M параллельных элементов. Надежность группы из (4.20) (4.26) Надежность системы из (4.7) M N     1 1Pt    При M  P t  1. При N   P t  0 . P t  PГ  t  N  (4.27) В значительном числе случаев структурная схема система может быть разделена на совокупность последовательных и параллельных ветвей различной степени сложности и поэтому расчет надежности может быть проведен аналогичными способами. В произвольном случае метод расчета последовательно-параллельной структурной схемы состоит в следующем: 89 ГЛАВА 1. ОСНОВНЫЕ ПОНЯТИЯ ТЕОРИИ НАДЕЖНОСТИ 1) В структурной схеме выделяют фрагменты, представляющие собой последовательное или параллельное соединение элементов 2) Определяется надежность фрагментов в соответствии с разделами п.4.1.1 и 4.1.2. 3) Итерационно повторяются расчеты в соответствии с п.4.1.1 и 4.1.2. Пример: Система коллективного пользования (см. рисунок) Пусть система представляет собой вычислительную систему коллективного пользования и включает в себя ЦВК - центральный вычислительный комплекс и N периферийных ЭВМ для пользователей. ЦВК содержит 2 мощные ЭВМ1 и ЭВМ2 с общим полем памяти (ЗУ). МА - межмашинный адаптер (абсолютно надежен КА (МПФ) мультиплексор PMA  t  1) передачи данных (коллективный адаптер) М - модем (устройство согласования с радио или телефонным каналом ) Пользователи имеют в своем распоряжении маломощные ЭВМ. ЭВМ1 и ЭВМ2 функционируют в 2-х режимах 1) параллельный (обмен данными через МА) 2) автономный Т.к. существует 2 -ой режим, следовательно, при отказе одной ЭВМ всю нагрузку берет на себя вторая ЭВМ. Представим структурную схему надежности ЗУ, МПД (КА) - включено последовательно ЭВМ1, ЭВМ2 - между собой параллельно, в общей схеме последовательно. 4. Надежность систем со структурной схемой, не приводимой к простейшей. а) Надежность системы с мостиковой структурной схемой. 90 НАДЕЖНОСТЬ ИС Пусть система состоит из двухпроцессорной ЭЦВМ с общим полем памяти, состоящей из 2 -х ЗУ. Положим, что обмен данными между двумя процессорами Пр1 и Пр2 может осуществляться следующими путями I. ЛСIЗУIЛС3 2. ЛС2ЗУ2ЛС4 3. ЛСI ЗУIЛС5ЗУ2ЛС-4 4. ЛС2ЗУ2ЛС5ЗУIЛС-3 Пусть требуется определить надежность передачи данных из ПРI в ПР2. Отказ системы может произойти, если произошли одни из следующих групп отказов (считаем, что в ЗУ I и 2 потеря или сбой данных исключен, т.е. они абсолютно надежны): I. ЛСI и ЛС2 3. ЛСI, ЛС5, ЛС4 Метод особого 2.ЛС3 и ЛС4 4. ЛС2, ЛС5, ЛС3 элемента Структурная схема надежности может быть представлена следующим образом (рис.31). Она является не приводимой к простейшей. ЛС1 Пр 1 ЗУ1 ЛС ЛС 2 ЛС3 5 Пр 2 ЗУ 2 ЛС4 рис.30 ЛС 1 ЛС 3 ЛС ЛС 2 5 ЛС 4 рис.31 91 ГЛАВА 1. ОСНОВНЫЕ ПОНЯТИЯ ТЕОРИИ НАДЕЖНОСТИ ЛС 1 ЛС 3 ЛС 2 ЛС 4 рис.32 ЛС 1 ЛС 3 ЛС 2 ЛС 4 рис.33 Определим функцию надежности такой системы. Обозначим P  t - n вероятность безотказной работы ЛС, n=I, ... ,5 на интервале [0, t]. А работоспособна система, A n - работоспособен n -й элемент. Для определения P( t) воспользуемся формулой полной вероятности, для чего выделим два возможных состояния ЛС5: работоспособное и неработоспособное (метод разложения относительно особого элемента ЛС-5)   A   P( t)  P P   A5   A  5   A    P P   A5   A  5 (4.28) Если ЛС5 работоспособна, то структурная схема рис.31 преобразуется в структурную схема рис.32 Тогда: 92 НАДЕЖНОСТЬ ИС  A    P   1  1  P1 t 1  P2  t  1  1  P3  t 1  P4  t   An           (4.29) Если ЛС5 неработоспособна, то структурная схема рис.25 преобразуется к структурной схеме рис.33. Тогда:   A   P   1  1  P1 tP3  t 1  P2  tP4  t   A5      (4.30) Представляя (4.29),(4.30) в (4.28) с учетом A   P t , P A   1 P t получим P 5 5 5 5     P t  PA  1  1  P1( t) 1  P2 ( t) 1  1  P3  1  P4  P5 ( t)  t  t               1  1  P1( t)P3 ( t) 1  P2 ( t)P4 ( t) 1  P5 ( t) Вместо ЛС5 в качестве особого элемента может быть взят любой другой. б) Надежность системы с сетевой структурной схемой. Найдем функцию надежности сети рис.36, приняв в качестве ее вероятность наличия связи между вершинами I и 3 P 13 ( t) . 93 ГЛАВА 1. ОСНОВНЫЕ ПОНЯТИЯ ТЕОРИИ НАДЕЖНОСТИ 1 3 6 7 5 8 4 рис. 34 1 6 7 3 5 8 4 рис. 35 2 1 2 6 5 1 5 7 3 8 4 3 4 рис. 36 94 НАДЕЖНОСТЬ ИС A  Обозначим: Pn ( t) - функция надежности n -ого элемента = P Q ( t) n n A  - функция ненадежности n -ого элемента = P Выделим n следующие восемь возможных состояний группы элементов I, 5, 4 и приведем для них структурные схемы надежности (p н -работоспособное, - неработоспособное) P 13 ( t)  P1( t)P5 ( t)P4 ( t)P13 ( t )  ( t) ( t ) ( t) AA A Q P P P 1 5 4 5 1 4 13 P1( t) Q5 ( t)P4 ( t)P13 ( t A A A )  P (t)P (t) Q (t)P  Q1( t) Q5 ( t)P4 ( t)P13 ( t A A A )  Q (t)P (t) Q (t)P 1 1 5 5 4 4 1 5 5 1  P1( t) Q5  t Q4  tP13 t 13 4 1 5 4 (t A A A ) (t A A A ) 13 4 A A A ) (t 1 5 1 4 5 4 AAA 1 5 4 Найдем теперь функцию надежности сети рис.36, приняв в качестве ее вероятность наличия связи между вершинами I и 4 P14 ( t) N состояния состояние структурная схема P P i элементов 13  ti  i 1 5 4 2 6 1,2,5,4 1 р р р 2,4,5 7 3 3 1,5,4 6 2 н р р 8 петлей можно пренебречь 3 2 7 3 95 ГЛАВА 1. ОСНОВНЫЕ ПОНЯТИЯ ТЕОРИИ НАДЕЖНОСТИ 2 6 3 р н 7 р 8 3 2 4 р р н 7 8 3 6 н 5 н р 2 8 7 3 6 6 н р 2 н 7 8 3 2 7 р н н 6 7 8 8 н н 3 н Выделим два состояния 2 -го элемента P 14 ( t)  P14 ( t A )P (t)  P 2 2 14 (t A ) Q  t 2 2 Если 2 элемент работоспособен, то структурная схема Если 2 элемент неработоспособен, то структурная схема 1 способ - лобовой (с выделением 3 -х особенных элементов). 96 НАДЕЖНОСТЬ ИС Будем считать, что в каждой из вершин находятся вычислительные мощности, которые сообщаются по линиям связи. Необходимо передать информацию из узла 1 в узел 3, в качестве функции надежности вероятность безошибочной передачи данных, ошибки могут быть только в линиях связи. Формула полной вероятности 7 P( t)   P( t )P(i) i i 1 2 способ - в более рациональном выборе особого элемента. 8 -ой элемент особый 1 2 A 8 2 - элемент работоспособен 1 2 6 1 5 5 4 A 8 7 4 3 5 3 4 6 7 3 - элемент неработоспособен 1 1 2 5 4 3 3 Метод «условного» элемента Данный метод состоит в расчете функции надежности P( t) по структурной схеме последовательно-параллельного типа. Суть подхода в том, что выделяются все ситуации, приводящие к отказу системы. Каждой ситуации ставится в соответствие условный элемент. Поскольку отказ системы наступает в каждой из выделенных ситуаций, то “условные” элементы соединены последовательно. Даже каждый условный элемент структурно определяется через элементы системы на основании установленной взаимосвязи между отказами. 97 ГЛАВА 1. ОСНОВНЫЕ ПОНЯТИЯ ТЕОРИИ НАДЕЖНОСТИ Смотрите мостиковую структурную схему надежности. Усл 1. ЛС1ЗУ1ЛС2 (4*) Усл 2. ЛС3ЗУ2ЛС4 Усл 3. ЛС1ЗУ1ЛС5ЗУ2ЛС4 Усл 4. ЛС3ЗУ2ЛС5ЗУ1ЛС2 Из (4*) получаем, что существует 4 ситуации, которые приводят к отказу, следовательно, на первом этапе структурная схема системы будет состоять из 4 -х условных элементов усл.1 усл.2 усл.3 усл.4 Преобразуем эту схему, учитывая, что только отказ системы наступает только при одновременном отказе элементов системы, входящих в условные элементы, следовательно они соединены в смысле надежности параллельно. 1 2 1 2 5 5 4 3 3 4 рис.4 Задание 1(самостоятельно) Рассчитать функцию надежности по рис. ..., показать, тождественность результатов с полученными ранее. Замечание: Для целого ряда структурных схем надежности, не приводимым к простейшим, определение показателей надежности могут быть громоздким (особенно в случае большого количества “особых” элементов). Поэтому ограничиваются получением оценок (нижней и верхней). При построении оценок используют 2 утверждения: 1. Исключение из структурной схемы для каждого элемента с заменой его на абсолютнонадежный всегда повышает надежность всей системы в целом; 2. Исключение из структурной схемы для каждого элемента с заменой его на абсолютно ненадежный всегда снижает надежность всей системы. 98 НАДЕЖНОСТЬ ИС Указанные выше утверждения применяются последовательно для одного или нескольких ОЭ, причем при получении нижней и верхней оценок эти элементы, в принципе, могут быть разными. Применим результаты к мостиковой структурной схеме. Выделим 5 ОЭ. Применяя правило, получим: - оценка сверху следует из рис. ... и определяется соотношением (4. ..) - оценка снизу следует из рис. 4... и определяется соотношением (4. ...) Задание 2 (самостоятельно) Показать аналитически, что (4. ..) и (4. ...) являются оценками снизу и сверху. (взять результаты (4. ..) и (4. ...) и сравнить их с безусловной ф. н.) при полной подстановке всех величин. § 4.3 Надежность восстанавливаемой системы с независимыми и мгновенно восстанавливаемыми элементами Задачу исследования надежности систем будем рассматривать при следующих допущениях: I. Элементы системы взаимно независимы в смысле надежности; 2. После отказа каждый элемент системы восстанавливается мгновенно, причем исходные свойства каждого элемента восстанавливаются полностью; 3. Потоки восстановления каждого из элементов удвлетворяют требованиям введенным в § 3.1. 4. Структурная схема системы, содержащей N элементов, является последовательной. Если система состоит из последовательно соединенных в смысле надежности элементов, то отказ любого элемента приводит к отказу всей системы. рис.37. Тогда поток восстановлений системы будет равен сумме N потоков восстановлений элементов. Найдем некоторые характеристики потока восстановления системы. 1. Распределение числа отказов системы N( t) , происшедших на [0,t] 99 ГЛАВА 1. ОСНОВНЫЕ ПОНЯТИЯ ТЕОРИИ НАДЕЖНОСТИ Распределение числа отказов системы из N последовательно соединенных элементов P ( t)  PN( t)  K  PN (t)  ...  N ( t)  K   PN ( t)  K PN ( t)  K  ... PN ( t)  K  K  1 1 K1, ... ,KN K1 ... KNK 1 N 2 2 N N формулу можно упростить лишь для конкретных условий: функция системы и характеристик надежности элементов,   где P Nn ( t)  Kn , n = 1,N определяются согласно (3.10). Функция распределения момента t 1 первого отказа системы F (t)  Pt  t  1 Pt  t  1 PT 1 F K 1 1 n  N T  t  t, n = 1,N  1  P ( t) , при К  2 могут быть найдены по известным n1 n P ( t) , к =I,2, ... и F1( t) из K выражений (последовательно) P ( t)  F K K ( t)  FK 1( t) , n =1, 2, ... Хинчин показал, что при N   , t   поток восстановления системы переходит в простейший. 2. Функция восстановления системы равна среднему числу отказов системы на интервале (0,t). Очевидно, что N N( t)  Nn ( t) (4.33) n 1 где N ( t) n - функция восстановления n -ого элемента на интервале (0,t). Осредняя (4.33), получим N( t)  N N ( t ) n 1 H( t)  n N H ( t ) n 1 n (4.34) 100 НАДЕЖНОСТЬ ИС где Hn ( t) - функция восстановления n -ого элемента. 3. Плотность восстановления системы N N n 1 n 1 h( t)  H( t)  Hn ( t)   hn ( t) (4.35) где h ( t) - плотность восстановления n -ого элемента. n 4. Вероятность безотказной работы на произвольном интервале ( t, t + t) N P( t, t + t) = Pn( t, t + t) (4.36) n1 где P ( t, t + t) n - вероятность безотказной работы n -ого элемента на интервале ( t, t + t) . Пусть закон надежности каждого элемента системы - экспоненциальный, т.е. в соответствии с (3.16) h ( t)   n n Тогда N h ( t)    n n 1 n    const (4.37) т.е. поток восстановления системы является пуассоновским, как и для каждого элемента, и, следовательно, для системы справедливы результаты §3.3 с учетом (4.37). Асимптотические свойства потока восстановления системы полностью определяются асимптотическими свойствами потоков восстановления каждого из элементов. Т.е. можно сформулировать асимптотические свойства по аналогии с приведенными в §3.4 для МВ7. Например, lim t  N N 1 1 h t   lim  hn t   T t  n 1 n 1 T n (4.38) т.е поток восстановления системы, как и для МВ7. с течением времени переходит в стационарный. 101 ГЛАВА 1. ОСНОВНЫЕ ПОНЯТИЯ ТЕОРИИ НАДЕЖНОСТИ § 4.4 Надежность восстанавливаемой системы с независимыми ЭКВВ Допустим: I. Система состоит из N последовательно соединенных независимых в смысле надежности элементов. Потоки отказов каждого элемента удовлетворяют ограничениям, 2. введенным в § 3.5. Можно указать различные варианты осуществления восстановления. Рассмотрим 2 примера. Пример I. Дополнительно положим, что во время восстановления любого элемента остальные продолжают работать. Из рис.38 следует, что поток восстановления системы не равен сумме потоков восстановления элементов. Поэтому здесь исключена возможность определения показателей надежности системы по аналогии с § 4.3. В частности, H( t)  N H  t  n 1 h( t)  N  h  t n 1 Определим К Г n n ( t) . Обозначим А - событие, состоящее в том, что система работоспособна в момент времени t . A n - событие, состоящее в том, что n -ый элемент работоспособен в момент времени t . По определению: N N  P КГ ( t)  PA  Pn1 An   n1 N A   КГ t  n n1 n 102 НАДЕЖНОСТЬ ИС t     Pn ( t)   Pn ( t  )dHn ( ) n 1   N где К Гn ( t) , P ( t) n и H ( t) n (4.39) - соответственно коэффициент готовности, функция надежности и функция восстановления n -ого элемента. Определим КГ . N К  limК ( t)  lim К Г где К Г t Гn , t n1 T , n n N Гn T N ( t)  КГ   n n1 n1 n Tn  n (4.40) - соответственно коэффициент готовности, среднее время работы до отказа и среднее время восстановления n-ого элемента. С другой стороны, по аналогии с (3.47) К где T и Q Г  T T - соответственно среднее время работы до отказа и среднее время восстановления системы. Из (4.40), (4.41) получаем тождество N T   Tn T n 1 T   n n которое позволяет определить одну из величин по другим, например:  T  T  T N n n 1 T  n n N N   T n   T 1    Tn   n 1 T    n 1 T    n n n n N   T n   T   1    n 1 T     n n 1  T T  N n n 1 n n 103 ГЛАВА 1. ОСНОВНЫЕ ПОНЯТИЯ ТЕОРИИ НАДЕЖНОСТИ Пример 2. Теперь положим, что при восстановлении вся система заменяется новой. Это соответствует, например, случаю, когда с целью уменьшения времени восстановления не ищут неисправный элемент. Пусть время восстановления системы распределено по закону F ( t) со средним  . Найдем функцию распределения времен N  T n , n =1,2,... на основании (4.2)  Q( t)  FT ( t)  1   1  Fn ( t) n 1 (4.42) тоесть образованая, функция (4.42) не зависит от № отказавшего элемента, а только от количества элементов, т.е. функция распределения F T ( t) - стационарна и одинакова для различных номеров отказов. Поток восстановления системы будет аналогичен потоку восстановления для ЭКВВ. Тогда здесь можно использовать все результаты, полученные в § 3.5 с учетом (4.42), в том числе и асимптотические свойства. ГЛАВА V. РЕЗЕРВИРОВАНИЕ СИСТЕМ Одной из фундаментальных задач теории надежности является задача разработки методов повышения надежности систем. Таким методом являются резервирование систем. Резервирование - метод повышения надежности объекта путем введения избыточности. Избыточность - дополнительные средства или возможности сверх минимально необходимых для выполнения объектом заданных функций. Различают следующие виды избыточности : 1.Временная избыточность. Предусматривает использование объектом избыточного времени для выполнения заданных функций. То есть при этом виде избыточности заданные функции могут быть выполнены объектом, вообще говоря, за более короткий промежуток времени. Пример: ЭЦВМ может непрерывно выполнять ряд задач, но с целью повышения надежности можно проводить диагностику отказов. 2.Информационная избыточность. Предусматривает использование избыточной информации. Например: а) повторение посылок сообщения в канале с помехами с целью повышения 104 НАДЕЖНОСТЬ ИС достоверности передачи информации, б) удержание лишнего числа значащих цифр при расчетах, в) помехоустойчивое избыточное кодирование, г) контрольная сумма. 3.Нагрузочная избыточность имеет место в том случае , когда объект функционирует в режиме более легком, чем нормальный. Например: коэффициент нагрузки элемента Kn < I. 4.Структурная избыточность состоит в том, что объект включает избыточные элементы. Например, ЭЦВМ обычно включает несколько устройств ввода и вывода. § 5.1 Классификация методов резервирования Условимся для удобства в дальнейшем говорить резервировании элемента, понимая под словом как сам элемент, так и любую часть системы, в том числе и всю систему. Дадим следующие определения. Основной элемент - элемент минимально необходимый для обеспечения работоспособности системы. Резервный элемент - элемент, предназначенный для обеспечения работоспособности системы в случае отказа основного элемента. Совокупность основного и его резервных элементов будем называть резервной группой. Пример: ЭЦВМ с несколькими устройствами ввода и вывода. Одно устройство ввода и одно вывода - основные элементы, другие устройства ввода и вывода - резервные. Все устройства ввода и устройства вывода представляют собой две резервные группы. Резервная группа - это совокупность основного элемента и всех его резервных. Признак классификации Вид резервирования Использование отказавшего элемента I. Резервирование с восстановлением (основного или резервного) I. Схема включения резервного Резервирование без восстановления Общее резервирование элемента Раздельное резервирование Способ включения резервного Постоянное резервирование (пассивное) элемента Резервирование замещением (активное) 105 ГЛАВА 1. ОСНОВНЫЕ ПОНЯТИЯ ТЕОРИИ НАДЕЖНОСТИ Состояние резерва (для методов Ненагруженный (холодный) резерв активного резервирования Нагруженный (горячий) резерв Облегченный (теплый) резерв Распределение нагрузки между не отказавшими элементами С неизменной нагрузкой (для методов пассивного резервирования) С перераспределением нагрузки Фиксация резерва (для методов Фиксированное резервирование активного резервирования) Скользящее резервирование Однородность резервирования Однородное резервирование Смешанное резервирование Если основной или резервный элемент после отказа подвергается восстановлению , то резервирование будет с восстановлением. В противном случае - без восстановления. Общее резервирование - когда резерв предусматривается на случай отказа всей системы в целом (рис. 40). Рис. 40 Раздельное резервирование - когда резерв предусматривается на случай отказа отдельных элементов объекта или их групп (см. рис. 41). Пример: ЭЦВМ+ЭЦВМ - общее резервирование. устройство ввода+ устройство ввода, АУ+АУ ,УУ+УУ, ,ЗУ+ЗУ, устройство вывода+ устройство вывода - раздельное резервирование. 106 НАДЕЖНОСТЬ ИС Рис. 41 резервная группа Постоянное резервирование - резервирование, при котором резервные элементы участвуют в функционировании объекта наравне с основными. Структурная схема постоянного резервирования изображена на рис. 40 Резервирование замещением - резервирование , при котором функции основного элемента передаются резервному только после отказа основного элемента . Структурная схема приведена на рис.42 ( вариант а) - раздельное резервирование, вариант б) - общее резервирование). Пример: ЭЦВМ имеет несколько устройств вывода(АЦПУ). Если информация выводится сразу на все (АЦПУ), то имеем постоянное резервирование. Если резервные АЦПУ подключается только после отказа основного, то имеем резервирование замещением. 107 ГЛАВА 1. ОСНОВНЫЕ ПОНЯТИЯ ТЕОРИИ НАДЕЖНОСТИ 10 20 10 20 10 20 1 1 10 20 b) a) Рис.42 При резервировании замещением появление отказа элемента вызывает перестройку системы. Эта перестройка осуществляется с помощью переключателей, которые отключают отказавшие элементы и подключают работоспособные. Различают два вида постоянного резервирования: 1. С неизменной нагрузкой, когда при отказе одного или нескольких элементов резервной группы нагрузка на оставшиеся исправными элементы не меняется. Пример: Когда АЦПУ основное и резервные все время подключены и на каждый из них выводится один и тот же материал, устройства отображения. 2. С перераспределением нагрузки, когда при отказе хотя бы одного элемента резервной группы изменяется нагрузка на элементы, оставшиеся исправными. Пример: В отсутствии отказов перфокарты вводятся равномерно с нескольких устройств ввода. При отказе хотя бы одного устройства ввода нагрузка на оставшиеся возрастает. В зависимости от того, в каком состоянии находятся резервные элементы до момента включения их в работу, активное резервирование подразделяется на несколько видов: 1. Нагруженный резерв - когда резервные элементы находятся в том же режиме, что и основной элемент. 2. Ненагруженный резерв - когда резервные элементы находятся в выключенном состоянии. До момента включения резервные не могут отказать. 3. Облегченный резерв - когда резервные элементы находятся в менее нагруженном, чем основной. Во время ожидания резервные элементы могут отказать, но с вероятностью меньшей, чем вероятность основного элемента. Очевидно, облегченный резерв является наиболее общим видом активных резервов, т.к. 1-й и 2-й получаются как частные из облегченных. Фиксированное резервирование - резервирование замещением, при котором место подключения каждого резервного элемента строго определено заранее (рис.42а). 108 НАДЕЖНОСТЬ ИС Скользящее резервирование - резервирование замещением, при котором группа основных элементов резервируется одним или несколькими резервными элементами, каждый из которых может заменить любой отказавший основной элемент (рис.43). Применяется только для однородных систем. N0 20 10 10 20 N0 Рис. 43 Рис. 43 Смешанное резервирование - при котором совмещается несколько различных видов резервирования в одной системе. Однородное резервирование - при котором используется лишь один вид резервирования. Рассмотрим далее несколько задач исследования надежности резервированных систем. При этом всегда, кроме тех случаев, где это особо оговорено, будем полагать: элементы (основные и резервные) независимы переключатель абсолютно ненадежен, т.е. Pn( t )  1 система невосстанавливаемая * элементы (основные и резервные) равнонадежны и функция надежности = P ( t ) Сравнение надежности резервированной и нерезервированной систем будем производить по показателю K Pp ( t ) P( t ) где P p ( t ) и P ( t ) - функции надежности резервированной и нерезервированной системы. 109 ГЛАВА 1. ОСНОВНЫЕ ПОНЯТИЯ ТЕОРИИ НАДЕЖНОСТИ § 5.2 Надежность системы с нагруженным активным резервированием и пассивным резервированием без распределения нагрузки Пусть система содержит N последовательно соединенных основных элементов. 1. Случай общего резервирования Пусть группа основных элементов резервируется M группами резервных элементов, каждая из которых содержит N последовательно соединенных элементов (см. рис. 44). Далее условно примем, что группа основных элементов есть нулевая группа резервных элементов, т.е. имеем M+1 группу элементов. частный случай 1 2 N 1 ... M ... ... Рис.44 Рассмотрим временную диаграмму функционирования резервированной системы на частном случае N=2, M=1. Она приведена на рис. 45. На ней Tmn - время работы до отказа n -го элемента в m - ой резервной группе, в общем случае m  0 , M , n  1, N T01 t T02 t Tрг t 1 T11 t T12 t Tрг t 2 Tсист t Рис. 45 110 НАДЕЖНОСТЬ ИС а) Рассмотрим случай активного резервирования. Найдем функцию надежности системы. Видно, что ее структурная схема надежности является последовательно-параллельной и имеет M+1 параллельно соединенные группы, каждая из которых содержит N элементов. Тогда из (4.25) надежность резервированной системы Pp ( t )  1  ( 1  P* N ( t ) ) M  1 *N где P (5.1) ( t ) функция надежности элемента. б) Для случая пассивного резервирования без перераспределения нагрузки диаграммы будут аналогичны с рис.45 и Pp ( t ) будет определятся из (5.1) Из (5.1) следует: 1. Надежность системы не зависит от порядка включения резервных элементов . 2. Надежность системы в момент времени t определяется величинами надежности элементов в этот же момент t и совершенно не зависит от того, как менялась надежность до момента времени. 3. Надежность резервированной системы выше надежности нерезервированной. Действительно, легко проверить K Pp ( t ) P( t )  1  ( 1  P* N ( t ) ) M  1 P* N ( t ) 1 Tc  max Tг рm  max minTmn , где Tmn - время работы до отказа, m - номер резервной m m n группы, n - номер элемента в резервной группе m  0 , M , n  1, N Рассмотрим далее две задачи. * Задача 1. Пусть задана надежность P ( t ) элемента и требуется определить такое M число групп резервных элементов, при котором надежность резервированной системы будет не меньше P0 Pp ( t )  P0 1  ( 1  P* N ( t ) ) M  1  P0 ( 1  P* N ( t ) ) M  1  1  P0 ( M  1) Ln( 1  P* N ( t ) )  Ln( 1  P0 ) 111 ГЛАВА 1. ОСНОВНЫЕ ПОНЯТИЯ ТЕОРИИ НАДЕЖНОСТИ M 1 M  Ln( 1  P0 ) Ln( 1  P* N ( t ) ) Ln( 1  P0 ) Ln( 1  P* N ( t ) ) 1 Задача 2. Пусть задано число групп резервных элементов M и требуется определить какой * надежностью P ( t ) должен обладать элемент, чтобы надежность системы была не Pp ( t )  P0 меньше P0 . 1  ( 1  P* N ( t ) ) M  1  P0 ( M  1) Ln( 1  P* N ( t ) )  Ln( 1  P0 ) 1  P* N ( t )  M  1 1  P0 P* N ( t )  1  M  1 1  P0 P* ( t )  N 1  M  1 1  P0 2. Случай раздельного резервирования Система имеет N резервных групп, каждая из которых содержит 1 основной и N резервных элементов. Основной элемент далее будем условно считать нулевым резервным (в резервной группе). Рассмотрим временную диаграмму функционирования резервированной системы на частном случае N=2, M=1 (см. рис. 42-а). Она приведена на рис. 46. T01 t T11 t Tрг t 1 T02 t T12 t Tрг t 2 Tсист t Рис. 46 112 НАДЕЖНОСТЬ ИС 113 ГЛАВА 1. ОСНОВНЫЕ ПОНЯТИЯ ТЕОРИИ НАДЕЖНОСТИ а) Рассмотрим случай активного резервирования. Найдем функцию надежности системы. Ее структурная схема надежности будет последовательно-параллельной, содержащей N последовательно соединенных групп, каждая из которых содержит M+1 параллельно соединенных элементов. Из (4.26)  Pp ( t )  1  ( 1  P* ( t ) ) M  1  N , * где P ( t ) функция надежности элементов. б) Для случая пассивного резервирования без перераспределения нагрузки диаграммы будут аналогичны рис. 46 и Pp ( t ) будет определятся из (5.2). Из (5.2) следуют выводы аналогичные приведенным выше для случая общего резервирования. Выигрыш от резервирования K Pp ( t ) P( t )   1  ( 1  P* ( t ) ) M  1  N P* N ( t ) 1 Tc  minTг рm  minmax Tmn m m n 5.3 Надежность системы с ненагруженным активным резервированием Для ненагруженного резерва будем полагать, что надежность резервных элементов не уменьшается в нерабочем состоянии. Также будем помнить о введенных ранее предположениях. 1. Случай общего резервирования Рассмотрим случай общего резервирования системы, состоящей из N последовательно соединенных основных элементов. Структура резервированной системы будет аналогична рис. 44. Рассмотрим временную диаграмму функционирования резервированной системы на частном случае N=2, M=1 (см. рис. 42-б). Она приведена на рис. 47. 114 НАДЕЖНОСТЬ ИС T01 t T02 t Tгр0 t T1 t 1 T12 t Tгр1 t Tгр0 Tгр1 t00 t t1=T Рис. 47 Время отказа системы: M T   Tг рm (5.3) m0 Определим функцию распределения времени Tг р , m  0 , M , которая не будет зависеть m от M поскольку элементы ( основные и резервные) равнонадежны и количество элементов в группе последовательно соединенных основных и резервных элементов одинаково и = N. Fг р ( t )  1  Pг р ( t )  1  P* N ( t ) (5.4) Т.е. поток отказов групп элементов аналогичен потоку отказов для МВЭ с учетом (5.4). Тогда с учетом (5.3), (3.7) функция надежности системы: P p ( t )  1  F ( t )  1  FM  1 ( t )  1  0t FM ( t   )dFг р (  ) (5.5) Выводы: 1. выигрыш в надежности 2. не зависят от порядка подключаемых резервных групп 3. из (5.5) следует, что для случая ненагруженного резерва в противоположность нагруженному функция надежности резервированной системы в момент времени t 115 ГЛАВА 1. ОСНОВНЫЕ ПОНЯТИЯ ТЕОРИИ НАДЕЖНОСТИ определяется значениями функций надежности элементов на интервале [0,t], т.е. предисторией функционирования. Произведем сравнение нагруженного и ненагруженного активных резервов. Количественное сравнение (5.1) и (5.5) произвести трудно, поэтому ограничимся качественными выводами. Время до отказа системы: - для нагруженного активного резерва TH  max minTmn  max Tг рm , m  0 , M , n  1, N m n m где Tmn время до отказа n - ого элемента m - ой группы резервных элементов. - для ненагруженного активного резерва M M THH   Tг рm   minTmn , m  0 , M , n  1, N m0 n m0 M Очевидно, что max min Tmn   min Tmn т.е. TH THH m n m 0 n и, следовательно, ненагруженный резерв надежнее нагруженного. 2. Случай раздельного резервирования Структура резервированной системы будет аналогична рис. 41. Рассмотрим временную диаграмму функционирования резервированной системы на частном случае N=2, M=1 (см. рис. 42-б). Она приведена на рис. 48. t T11 Tрг1 t T01 T11 t T02 T12 t t Tрг2 T02 T12 t T t Рис.48 116 НАДЕЖНОСТЬ ИС Время до отказа системы: T  minTг рn n Функция надежности резервированной системы: Pp ( t )  PрNг ( t ) (5.6) Время до отказа n - ой резервной группы M T р гn   Tmn m 0 Т.е. поток отказов элементов в n - ой резервной группе аналогичен потоку отказов для МВЭ. Тогда из (3.7) t Pр г ( t )  1  Fр г ( t )  1  FM  1 ( t )  1   FM ( t  r) dF* ( r) (5.7) * где F ( r ) - функция распределения времени до отказа элемента. Подставляя (5.7) в(5.6) получим * t   Pp ( t )  1   FM ( t  r) dF* ( r)   0  (5.8) Произведем сравнение нагруженного и ненагруженного резервов на качественном уровне. Время до отказа системы: - для нагруженного активного резерва TH  minmax Tmn , m  0 , M , n  1, N n m где Tmn - время до отказа m - ого элемента в n - ой резервной группе. - для ненагруженного активного резерва M THH  min  Tmn  minTг рn n m0 n Очевидно, что M min max Tmn  min  Tmn n m n m 0 т.е. TH  THH и, следовательно, ненагруженный резерв надежнее нагруженного. Отметим, что этот вывод сохраняется для всех способов активного резервирования, в том числе при Pn( t )  1 , если Pn ( t ) одинакова для нагруженного и ненагруженного резервов. 117 ГЛАВА 1. ОСНОВНЫЕ ПОНЯТИЯ ТЕОРИИ НАДЕЖНОСТИ § 5.4. Сравнение надежности систем с активным нагруженным и ненагруженным резервированием Количественное сравнение функций надежности провести сложно, поэтому ограничимся качественными выводами, и проведем сравнение на уровне сравнения времен работы до отказа системы. 1. Общее резервирование - для нагруженного резерва . TCHH  max min Tmn  max TГр m , m  0, M , n  1, N m n m - для ненагруженного резерва TCHH  Очевидно, M T Гр m 0 что. TH  THH M m а,   minTmn m 0 n следовательно, ненагруженный резерв надежнее нагруженного. 2.Раздельное резервирование - для нагруженного резерва TH  minmax Tmn , m  0, M , n  1, N n m - для ненагруженного резерва M THH  min  Tmn n m 0 Очевидно, что THH  TH т.к. всегда min max  min  т.е. ненагруженный резерв надежнее нагруженного. Отметим, что данный вывод сохраняется для всех способов активного резервирования в том числе и при неабсолютно надежных переключателях, если Pn (t ) одинакова для нагруженного и ненагруженного резерва. §5.5. Надежность системы с облегченным активным резервированием Во многих случаях невыгодно применять нагруженный резерв, т.к. из-за отказов резервных элементов выигрыш в надежности может быть мал. Вместе с тем не удается использовать ненагруженный резерв, как имеющий большую надежность, т.к. от момента включения элемента до момента когда он оказывается работоспособным, проходит конечное 118 НАДЕЖНОСТЬ ИС время, которое превышает допускаемое при эксплуатации(из-за перерыва в работе системы).Тогда остается применить облегченный резерв, при котором резервный элемент до включения находится в облегченном режиме по сравнению с нагруженным. При этом время перехода резервного элемента в рабочее состояние, как правило, значительно меньше, чем при холодном резервировании. В нерабочем состоянии резервный элемент может отказать, но с меньшей вероятностью, чем при нагруженном. В силу последнего понятно, что надежность систем с облегченным резервом занимает промежуточное положение между надежностью систем с нагруженным и ненагруженным резервом. PH (t )  P0 (t )  PHH (t ) Найдем функцию надежности системы для случая общего резервирования системы, содержащей N последовательно соединенных элементов (рис. 44) Диаграмма работы системы для случая N=2 и M=1 будет такой же, как на рис. 47, только до момента подключения работоспособной группы резервных элементов на место отказавшей группы основных или резервных элементов она будет находится в облегченном состоянии, в котором элементы отказывают с меньшей вероятностью, чем в рабочем состоянии. Ради простоты рассуждений, но не в ущерб общности (в силу того, что основные и резервные элементы равнонадежны), положим, что номера групп резервных элементов m  0,1,K M соответствует порядку их подключения. Обозначим: TM 1  max min Tnm , m  0, M  1, n  1, N m n - время отказа (M - 1)- ой группы резервных элементов TM  maxmin Tnm , m  0, M , n  1, N m n - время отказа M - ой группы резервных элементов = времени отказа системы. Отметим, что времена T0 , T1 ,K , TM 1 , TM зависимы, т.к. Tm зависит от момента перехода m-ой группы m=1,M резервных элементов из облегченного состояния в рабочее, т.е. от Tm1 Функция надежности системы: P(t )  PTM  t  1  PTM  t (5.6) 119 ГЛАВА 1. ОСНОВНЫЕ ПОНЯТИЯ ТЕОРИИ НАДЕЖНОСТИ PTM  t  FM (t )  PTM  t , TM 1  t  t  (5.7)    PTM  t / TM 1   WM 1 ( ) WM 1 ( )  FMI 1 ( ) d  t   PTM  t / TM 1   dFM 1 ( ) где FM 1 (t )  PTM 1  t   P T  t / TM 1    1  PTM  t / TM 1      1  PM ,0 ( )  PM (t /  )  1  P0*N ( )  P*N (t /  ) где (5.8) PM ,0 ( ), P0* ( ) - вероятности того, что соответственно M-я группа и элемент этой группы не откажут в облегченном состоянии на интервале (0, ) PM (t /  ), P0* (t /  ) - вероятности того, что соответственно M-я группа и элемент этой группы не откажут на интервале ( , t ) ,при условии, что до момента Т.е. (5.7), (5.8) определяет  FM (t ) через FM 1 (t ) . Аналогично отказа не было. FM 1 (t ) определяется через FM  2 (t ) и т.д. через F0 (t ) - функцию распределения группы основных элементов. § 5.5. Влияние масштаба резервирования на надежность системы Резервом могут охватываться либо отдельные основные элементы, либо по несколько основных элементов, либо все основные элементы системы. Уровень, на котором производится резервирование, называется масштабом резервирования. Чем большая часть основных элементов системы охватывается одним резервом, тем больше масштаб резервирования. Чем больше резервных групп, тем меньше масштаб резервирования. Рассмотрим вопросы влияния масштаба резервирования на надежность системы при абсолютно надежном и абсолютно ненадежном переключателе. 1. Абсолютно надежный переключатель. Pn (t )  1, t [0, ) Покажем, что при Pn (t )  1 увеличение масштаба резервирования ведет к понижению надежности системы. Т.е. последовательное объединение резервных элементов, принадлежащих различным резервным группам (рис. 49 а,б), приводит к уменьшению надежности. 120 1 НАДЕЖНОСТЬ ИС 2 N 1 M Рис.49-а 1 2 N 1 M Рис.49-б Прежде, чем перейти к доказательству, заметим, что сформулированное утверждение достаточно доказать для случая резервирования двух основных элементов двумя резервными с разными масштабами (рис.48-б).Действительно, при последовательном объединении m-ых элементов резервных групп, группы основных и резервных элементов, полученные на предыдущем шаге объединения, могут рассматриваться как один элемент. Т.е. нам необходимо и достаточно показать, что поэлементное резервирование (рис.49-а) обеспечивает большую надежность, чем общее (рис. 49-б). а) активное нагруженное резервирование Для поэлементного резервирования (рис.49а) из (5.2)  PPп оэл(t )  1  (1  P* (t )) 2   1  1  2 P (t )  P (t ) 2 * *2 2   4 P*2 (t )  4 P*3  P*4 (t ) (5.9) Для общего резервирования (рис.49-б) из (5.1) PPоб щ(t )  1  (1  P*2 (t )) 2  1  1  2 P*2 (t )  P*4 (t )   2P*2  P*4 (t ) (5.10) PPп оэл(t )  PPоб щ(t )  4 P*2 (t )  4 P*3 (t )  P*4 (t )  2 P*2 (t )  P*4 (t )  121 ГЛАВА 1. ОСНОВНЫЕ ПОНЯТИЯ ТЕОРИИ НАДЕЖНОСТИ    2 P*3 (t )  4 P*3 (t )  2 P*4 (t )  2 P*2 (t ) 1  2 P* (t )  P*2 (t )   2 P*2 (t )(1  P* (t ))2  0 T. е. увеличение масштаба резервирования ведет к уменьшению надежности. б) активное ненагруженное резервирование Для поэлементного резервирования (рис.49а ) THHПОЭЛ  min (T01  T11 ),(T02  T12 ) Для общего резервирования (рис.49-б) THHОБЩ  min(T01 , T02 )  min(T11 , T12 ) Для сравнительного анализа THHОБЩ и THHПОЭЛ следует рассмотреть все возможные соотношения между временами отказов основных и резервных элементов. Пусть T01  T02  T11  T12 THHПОЭЛ  T01  T11 , THHОБЩ  T01  T11 THHПОЭЛ  THHОБЩ Пусть T01  T12  T11  T02 THHПОЭЛ  T01  T11 , THHОБЩ  T01  T12 THHПОЭЛ  THHОБЩ и т.д. Если проанализировать все случаи, то получим THHПОЭЛ  THHОБЩ Откуда следует, что раздельное резервирование является более надежным. Отметим, что доказанный результат справедлив при любом законе надежности. Он может быть физически пояснен тем, что при раздельном резервировании отказ основного элемента компенсируется только одним резервным элементом, а не группой резервных элементов, как в случае общего резервирования, т.е. имеет место более рациональный расход резервных элементов. 122 НАДЕЖНОСТЬ ИС 2. Неабсолютно надежный переключатель. Pn ( t ) 1 а) Рассмотрим случай общего активного нагруженного резерва (рис.50) переключатели 2 1 N 1 ... ... ... M Рис. 50 По отношению к группе резервных элементов переключатель будет вести себя как последовательное соединенный элемент. Тогда из (5.1) PP (t )  1  (1  P*N (t ))(1  P*N (t ) Pn (t )) M (5.11) Сравнивая (5.1) и (5.11), замечаем, что при неабсолютно надежном переключателе надежность резервированной системы уменьшается по сравнению со случаем абсолютно надежного переключателя. б) Рассмотрим случай раздельного активного нагруженного резерва (рис. 51) 1 N 1 М переключатели Рис. 51 По отношению к каждому элементу резервных групп переключатели будут вести себя как последовательно соединенный элемент. Полагая, что все N переключателей в резервных 123 ГЛАВА 1. ОСНОВНЫЕ ПОНЯТИЯ ТЕОРИИ НАДЕЖНОСТИ группах равнонадежных, получим  PP (t )  1  (1  P * (t ))(1  P * (t ) Pn (t )) M  N (5.12) Сравнивая (5.2) и (5.12),получим аналогичный вывод. Выше нами был получен вывод, что при абсолютно надежном переключателе наибольшая надежность резервирования обеспечивается при наименьшем масштабе резервирования. Посмотрим, будет ли иметь место этот вывод при QP (t ) Рассмотрим поведение функции ненадежности изменение масштаба резервирования. Пусть, Pn (t )  1 . резервирования системы при и например, система состоит из 5 последовательно соединенных элементов. С уменьшением масштаба резервирования ненадежность системы из-за неабсолютной надежности переключателя будет увеличиваться, а ненадежность системы собственно из-за уменьшения масштаба резервирования будет уменьшаться. Поэтому будет существовать некий оптимальный масштаб резервирования, при котором PP (t )  max К задачам оптимизации приводит учет и других реальных факторов. Действительно, из полученных выше результатов по резервированным системам следует, что при отсутствии ограничений на вес, габариты ,сложность и т.д. систем можно достичь, в принципе, любой степени надежности. Однако, в реальных условиях такие ограничения существуют. Поэтому возникает необходимость выбора оптимального способа резервирования при существующих ограничениях, что приводит к необходимости решения соответствующих задач оптимизации. §5.6. Надежность системы со скользящим резервом Пусть в системе N основных последовательно соединенных элементов и M резервных. (см. рис. 52). Всего в системе (N+M) элементов. 1 2 N 1 2 М Рис. 52 124 НАДЕЖНОСТЬ ИС 1. Нагруженный резерв. Рассмотрим временную диаграмму функционирования резервированной системы на частном случае N=2, M=1. Она приведена на рис. 53. T01 t T20 t T1P t T2P t T1 T2 T3 t T Рис. 53 Функция надежности M P (t )  PT  t  P N (t )  M   P N (t )  m , (5.13) m1 где N (t ) - число отказавших элементов на [0,t]. 2. Ненагруженный резерв Рассмотрим временную диаграмму функционирования резервированной системы на частном случае N=2, M=1. Она приведена на рис. 54. T10 t T20 t T1P t T2P t T Рис. 54 Отметим, что объединение резервов различных резервных групп в общий увеличивает 125 ГЛАВА 1. ОСНОВНЫЕ ПОНЯТИЯ ТЕОРИИ НАДЕЖНОСТИ надежность резервированной системы, при условии, что элементы равнонадежны и Pn (t )  1, t [0, ) . Это следует из того, что при скользящем резервировании все резервные элементы используются полностью, т.е. отказ системы происходит после того, как не осталось ни одного резервного элемента и откажет основной. В случае раздельного резервирования может быть недорасходование резервных элементов, ввиду того, что отказ резервной группы вызывает отказ системы. При этом часть резервных элементов в других резервных группах может недоиспользоваться. Применение скользящего резервирования в практике ограничивается сложностью переключающих устройств. При абсолютно надежном переключателе и при одинаковом количестве резервных элементов скользящее резервирование имеет большую надежность, чем раздельное и тем более общее, следовательно, необходимо стремиться применять скользящее резервирование. Ограничения: - при программной реализации ограничений на переключатели нет; - при аппаратной реализации есть, т.к. на переключатель помимо функции переключения дополнительно возлагается функция идентификации отказавшего элемента. §5.8. Резервирование с восстановлением На практике с целью повышения надежности часто прибегают к восстановлению резервированных систем. При этом для наиболее общей ситуации может быть приведена следующая схема системы (в обычном смысле) Рассмотрим расчет надежности резервированных систем с восстановлением на примере восстанавливаемой дублированной системы т.е. системы, содержащей 1 основной и 1 резервный элемент. Пусть резервирование пассивное без перераспределения нагрузки или активное нагруженное. Составим граф переходов системы в ее возможные состояния. Для этого перечислим возможные состояния системы: Оба элемента системы исправны. Основной элемент отказал и поставлен на ремонт. 126 НАДЕЖНОСТЬ ИС Резервный элемент отказал и поставлен на ремонт. Отказали основной и резервный элемент - отказ системы. Интенсивности перехода из состояния в состояние задаются квадратной матрицей интенсивностей переходов с элементами  ij ,1  i , j  4 (Здесь полагаем, что  ij не зависит от t. Тогда граф переходов системы из состояния в состояние может быть представлен в виде рис.55. Он представляет собой направленный граф. 12 13 1 21 31 3 2 42 24 43 34 4 Рис. 55 В общем случае (при произвольном числе резервных элементов)для описания поведения системы может быть использован процесс гибели и размножения (который является марковским). Здесь ограничение марковости не выводится. По графу переходов составляется система дифференциальных уравнений с использованием следующего правила: Система содержит столько дифференциальных уравнений, сколько состояний у анализируемой системы(вершин графа) Левая часть i - ого уравнения системы содержит dPi (t ) / dt , где Pi (t ) вероятность i- ого состояния, а правая - столько слагаемых, сколько дуг графа связано с i - м состоянием. Каждое слагаемое представляет собой произведение интенсивности перехода в i - ое или из i -ого состояния на вероятность того состояния, из которого исходит дуга. Если дуга 127 ГЛАВА 1. ОСНОВНЫЕ ПОНЯТИЯ ТЕОРИИ НАДЕЖНОСТИ направлена в i - ое состояние то слагаемое берется со знаком "+" , если исходит из i - ого состояния - то со знаком " - ". dP1 (t ) / dt   P1 (t )( 12   13 )  P2 (t ) 21  P3 (t ) 31  dP2 (t ) / dt   P2 (t )( 21   24 )  P4 (t ) 42  P1 (t ) 12  dP3 (t ) / dt   P3 (t )( 31   34 )  P4 (t ) 43  P1 (t ) 13 dP4 (t ) / dt   P4 (t )( 42   43 )  P2 (t ) 24  P3 (t ) 34 Решение этой системы относительно Pi (t ) можно (5.14) произвести, использовав преобразование Лапласа , сведя систему дифференциальных уравнений к системе алгебраических уравнений. Вероятность работоспособного состояния в момент или коэффициент готовности : Kã (t )  P1 (t )  P2 (t )  P3 (t )  1  P4 (t ) (5.15) Решение системы дифференциальных уравнений в общем случае сложно или громоздко. Поэтому часто используют следующий прием, позволяющий упростить решение задачи. Считают, что в системе имеет место установившийся режим. Тогда dPi (t ) / dt  0,i  1,K ,4 .И система дифференциальных уравнений переходит в систему алгебраических уравнений . Например, из (4.11) 0   0   0  0   P1 ( 12   13 )  P2   21  P3   31  P2 ( 21   24 )  P4   42  P1   121  P3 ( 31   34 )  P4   43  P1   13 (5.16)  P4 ( 42   43 )  P2   24  P3   34 Если система (5.16) окажется вырожденной, то ее дополняют условием нормировки P1  P2  P3  P4  1 (5.17) § 5.9 Мажоритарное резервирование Этот способ также называют резервированием по методу голосования. Своим названием он обязан наличию в резервных группах специального элемента, называемого мажоритарным элементом или элементом голосования (кворум-элементом). Мажоритарное резервирование широко используется в дискретных (цифровых) системах, в том числе и вычислительных. 128 НАДЕЖНОСТЬ ИС Пусть резервируется система, Состоящая из N последовательно соединенных в смысле надежности элементов (рис. 56-а). Каждый элемент системы - дискретный, вырабатывающий 0 или 1 в зависимости от 0 или 1 на выходе. Для определения положим, что в работоспособном состоянии 0 на выходе соответствует 0 на входе и 1 на выходе соответствует 1 на входе. Примером такой системы может быть схема задержки фронта (заднего или переднего) импульса единичной амплитуды на время  . Для малых  такая схема может быть реализована на логических элементах типа ’’И-НЕ’’, каждый из которых обеспечивает задержку на время 0. Тогда число элементов ’’И-НЕ’’ должно быть четным и подобрано из условия 2N    . Роль элемента на структурной схеме надежности играет последовательное соединение 2-х элементов ’’И-НЕ’’ (рис.56 б). Различают 2 основных класса систем с мажоритарным резервированием : с однократными и многократными связями. 1 класс: с однократными связями (рис.56 в) Каждый основной элемент системы заменяется резервной группой, состоящей из нечетного числа M входных элементов и одного мажоритарного элемента (МЭ). В качестве входных элементов обычно используются элементы аналогичные основным. Мажоритарный элемент реализует в общем случае функцию M Y  sign ( amxm  u p ) (5.18) m 1 где Хm , m  1, M - сигнал на выходе m-ого входного элемента. Аm - весовой коэффициент m-ого входного элемента. Uпор - порог срабатывания мажоритарного элемента. Y а) - выходной сигнал резервной группы. 1 N 2 1 2 129 ГЛАВА 1. ОСНОВНЫЕ ПОНЯТИЯ ТЕОРИИ НАДЕЖНОСТИ б) & & & & & & 11 в) МЭ1 21 22 МЭ2 2N МЭN 31 , x56  0 1Рис. signX   0 , x  0 - знаковая функция В зависимости от способа выбора весов Аm, m  1, M и порога Uпор различают неадоптивное и адоптивное мажоритарное резервирование. а) Неадаптивное мажоритарное резервирование При этом способе Аm=1, m  1, M и Uпор = const, т.е. из (5.18) :  M  Y  sign  X m  U nop   m 1  Порог Uпор выбирается из условия M Т.е. при  Xm  m 1 M 1 2 (5.19) M 1 M 1  U nop  2 2 на выходе МЭ имеем 1, в противном случае - 0. Следовательно, МЭ вырабатывает 0 или 1 в зависимости от того, чего больше на его входе, 0 или 1. Отсюда ясно происхождение названия ’’ резервирование по методу голосования‘’. Обычно, для более надежной работы МЭ (большей помехоустойчивости), принимается Uпор  M . 2 Мажоритарный элемент может быть реализован в этом случаи на дискретных элементах. Если М=3, то таблица истинности для мажоритарного элемента 130 НАДЕЖНОСТЬ ИС X1 X2 X3 Y 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 А функция, реализуемая МЭ: Y   X1  X 2  X 3    X1  X 2  X 3    X1  X 2  X 3    X1  X 2  X 3  (5.20) Отсюда следует реализация МЭ на элементах типа ’’И’’, ’’ИЛИ’’ (рис.55). (5.20) можно привести к виду: Y  X1  X 2  X1  X 3  X 2  X 3   X1  X 2    X1  X 3    X 2  X 3  (5.21) (5.21) дает возможность реализовать МЭ на однородной структуре из элементов ’’И-НЕ’’ (рис.56). Система рис.54 б, резервированная по методу неадаптивного мажоритарного резервирования будет иметь вид рис.57 (для одной резервной группы). Мажоритарные элементы выпускаются серийно в одном корпусе (серия ТТЛ 134 ЛПЗ) с инверсией, что позволяет в резервной группе рис.57 использовать только 3 элемента ’’ИНЕ’’. Найдем функцию надежности резервированной системы по схеме рис.54 в: PP t   P N PG  M 1  t    PM t  P  N t   2       M   PM t   P N t   m    M 1 m    2      N   M M m m   PM t   CM P *mt  1  P * t   M 1 m  2   N (5.17)       N При М=3 получаем 131 ГЛАВА 1. ОСНОВНЫЕ ПОНЯТИЯ ТЕОРИИ НАДЕЖНОСТИ N * *   *3    N 2 PP t   PPG t    PM t  P t   3 P t  1  pt          * *    2   PM t  P t  3  2 Pt      N Сравним надежность резервированной и нерезервированной систем * *    P t P t 3  2 P t          M   K   * P N t  На рис.58 приведен график N * *      PM t  Pt  3  2 Pt      N K  *  Pt  . Максимум этой функции N   PM  функции достигается при P*(t)=0,75. При этом K PMN t  Т.е. если PM t     0,75  1,5 N  3 3     4 2 N  9    8 N 8  0,89 ,то k  1. Т.е. выигрыша в надежности нет. При PМЭ(t)=1 9 выигрыш в надежности обеспечивается при 0,5  Pt   1 и тем больший, чем больше * N. Также очевидно, что если PM (t )  Pt  , то поскольку МЭ проявляет себя как * последовательно соединенный элемент в структурной схеме надежности, то РР(t)< P(t) (с учетом того, что надежность групп входных элементов <1). Из этого следует, что к МЭ предъявляются высокие требования по надежности. Следует отметить, что показатель k есть функция t. Метод неадаптивного мажоритарного резервирования - постоянный, без перераспределения нагрузки, раздельный (поэлементный), однородный, без восстановления. Для повышения надежности можно применять скользящее резервирование входных элементов (рис.59). УКУ Uпф 1 1 132 Кл 1 МЭ НАДЕЖНОСТЬ ИС б) Адаптивное мажоритарное резервирование Позволяет учесть отказы входных элементов. Это достигается тем, что в (5.13) am=var (0 или 1) и Uпор=var . Резервная группа при этом будет иметь вид рис.60. Отключение входных элементов происходит парами. При этом изменяется Uпор MP  1 MP  1  U nop  2 2 где Мр - число работающих входных элементов. 2 класс (с многократными связями ) рис.54 г. Этот метод мажоритарного резервирования позволяет уменьшить надежности к мажоритарному элементу, что необходимо требования по выполнить при неадаптивном мажоритарном резервировании. Приведем расчет надежности 1-ой резервной группы. Она работоспособна тогда (при условии работоспособности входных лементов 2-ой резервной группы ), когда по крайней мере на M 1 2 выходах мажоритарных элементов будет правильный сигнал M  1 M 1 M  1   PP t   P  N t   , N M t     P  N t    2 2 2     M  1  M  1   P  N t    P  N M t    2   2    M  m M 1 2 m M C *   P t  1  Pt    * m M m  M C m M 1 2 m M PMm t 1  PM t  M m Глава VI. НАДЁЖНОСТЬ ИНФОРМАЦИОННО-ВЫЧИСЛИТЕЛЬНЫХ СИСТЕМ (ИВС) 133 ГЛАВА 1. ОСНОВНЫЕ ПОНЯТИЯ ТЕОРИИ НАДЕЖНОСТИ Определим сначала, что понимается под ИВС. На входе и выходе любой технической системы могут быть (порознь и в любых сочетаниях): 1. Энергия 2. Материалы 3. Информация Если вход и выход - информация (данные), то система - информационная. Если информационная система реализована с использованием средств вычислительной техники (аппаратных и программных), то она является информационно - вычислительной. К ИВС, в частности, относятся АСУП, АСУТП, АСУЭ, САПР, ИПС и др. § 6.1 Показатели, влияющие на эффективность ИВС ИВС представляют собой класс сложных технических систем. Для сравнения качества функционирования различных вариантов ИВС Y , который характеризует степень зрения потребителя. Показатель Y по вводится показатель эффективности полезности системы с точки своей структуре является обычно сложным, т. е. Определяемым через целый ряд показателей, которые могут быть объединены в следующие группы для ИВС: 1. Информационные а) точность - определяемая как расстояние между   Y и Y; б) пропускная способность - определяемая количеством единиц информации (данных), которую система способна обработать в единицу времени; в) занимаемая полоса частот при передаче данных; 134 НАДЕЖНОСТЬ ИС г) актуальность - своевременность представления информации получателю (особенно важна для систем реального времени, ответственных операций контроля, процессов); д) полнота - способность информации (данных) наиболее полно отображать состояние объекта, процесса; е) помехоустойчивость (помехозащищенность) - способность противостоять воздействию внешних и внутренних помех (помех информационной системы); ж) время ответа (время реакции) ИВС на запрос пользователя. 2.Технические а) вес; б) габариты; в) совместимость с другими ИВС (интерфейсы); г) количество пользователей ИВС; д) надёжность; е) гибкость (адаптивность). 3.Экономические а) стоимость разработки, производства и эксплуатации ИВС; б) стоимость «производства» единицы «продукции». Определение вида показателя Y (векторного или скалярного) является задачей курса теории систем. Здесь мы остановимся на показателе надёжности и связанных с ним. Следует отметить зависимость большинства показателей, перечисленных выше, от надёжности. Например:  точность зависит от надёжности в таких системах, как системы передачи цифровой информации при наличии шума. Неверная 135 ГЛАВА 1. ОСНОВНЫЕ ПОНЯТИЯ ТЕОРИИ НАДЕЖНОСТИ передача ввиду отказа аппаратуры и наличие шума приводят к понижению точности, которая может быть определена как вероятность искажений символов.  вес и габариты увеличивается при применении резервирования.  стоимость увеличивается при стремлении увеличить надёжность либо за счет применения более надёжных (а, следовательно, более дорогих) резервирования, комплектующих что ведёт изделий, к либо увеличению за счет количества используемых комплектующих изделий. Выбор показателя надёжности зависит от: 1. Целевого назначения ИВС. Например, а) ИВС - система передачи данных в вычислительной сети. При этом показатель эффективности R (при фиксированной пропускной способности) отождествляется с показателем надёжности, под которой понимается вероятность передачи бита с ошибкой, не превышающей допустимую. б) ИВС - АСУ или САПР. При этом в качестве показателей эффективности производство ИВС единицы принимаются продукции). экономические А в качестве (затраты на показателей надёжности - вероятность выполнения ИВС своих функций или функциональная надёжность Rf . 2. Множества выполняемых функций. Пусть R  R f и система (многофункциональная) должна выполнять К функций. Например, АСУ по изготовлению нескольких типов продукции; САПР по проектированию нескольких объектов. При этом: 136 НАДЕЖНОСТЬ ИС Rf  k  R fr  Pr r 1 3. Множества режимов работы (интенсивности использования). Различные части ИВС могут быть задействованы при выполнении К-ой функции по разному. Например, устройства ввода-вывода, АУ, ЗУ. Полагая эти части независимыми в смысле надёжности, структурную схему - последовательной. Pfr  N  Pn  t nr  n 1 где Pn  t nr  - функция надёжности n-ого элемента, t nr - суммарное время задействования n-ой части при выполнении r-ой функции. Здесь положено, что части ИВС не отказывают (их надёжность не уменьшается) в случае их незадействования. 4. Изменения конфигурации системы (ввиду перестройки структуры). 5. Случайного времени выполнения задачи. Например, найдём вероятность Pf того, что элемент выполнит свою функцию, если функция надёжности элемента P t  , а время выполнения задачи t- случайное время с функцией распределения W t  . Pf  P A    P A t W t dt Выбор показателя надёжности системы является важным моментом, определяющим иногда и результат исследования. Например, может быть 137 ГЛАВА 1. ОСНОВНЫЕ ПОНЯТИЯ ТЕОРИИ НАДЕЖНОСТИ T1     P1 t dt  T2   P2 t dt , T  0,  Однако, для некоторых моментов времени возможно, что P1  t   P2  t . Иногда вводится показатель живучести ИВС или коэффициент снижения эффекта за счет ненадёжности  где Y Y Y0 - эффективность при неабсолютной надёжности (при частичных отказах), Y0 - эффективность при абсолютной надёжности. Этот показатель весьма важен для ИВС, которые очень часто должны обеспечивать отсутствие полных отказов. § 6.2 Составные части надёжности ИВС Вспомним определение надёжности Надёжность - свойство объекта, заключающееся в его способности выполнять определённые задачи в определённых условиях эксплуатации. Таким образом, это определение характеризует надежностные свойства объекта сточки зрения потребителя, для которого важно, чтобы объектом выполнялись определённые задачи (функции), но не важно, какими средствами. Определим составляющие надёжности ИВС. ИВС, согласно определению, осуществляет преобразование входной информации в выходную по некоторому правилу или алгоритму А. Для потребителя ИВС важно, с точки зрения надёжности, чтобы этот алгоритм реализовывался ИВС в конкретных условиях эксплуатации. Таким 138 НАДЕЖНОСТЬ ИС образом, можно выделить следующие составные части надёжности ИВС: 1. Алгоритмическая надёжность. 2. Информационная надёжность. 3. Надёжность программного обеспечения (ПО). 4. Надёжность аппаратного обеспечения (Ао). 1. Первым этапом проектирования ИВС является выбор алгоритма, осуществляющего преобразование входной информации в выходную. Для АСУ - это алгоритм преобразования информации контроля и измерения объекта управления и внешних условий в управляющую информацию; для САПР - это алгоритм преобразования исходной информации (данных) в проектную документацию. При реализации гипотетического алгоритма управления А в общем случае возникают погрешности, обусловленные следующим: а) при разработке алгоритма используется модель объекта или процесса (управления или проектирования). Поэтому алгоритм преобразования информации проектируется в итоге не под реальный объект или процесс, а под его модель. б) при разработке алгоритма (ввиду скажем, его сложности) могут приниматься упрощения, допущения. в) учет физической реализуемости. г) ошибки при формализованной записи алгоритма. д) ошибки или неполнота ТЗ. Таким образом, можно дать следующее определение: Алгоримическая надёжность ИВС - это свойство, заключающееся в способности алгоритма, реализуемого ИВС. адекватно отражать процессы преобразования информации. 2. Каждый алгоритм разработан под определённую форму представления входной информации, удовлетворяющей некоторым 139 ГЛАВА 1. ОСНОВНЫЕ ПОНЯТИЯ ТЕОРИИ НАДЕЖНОСТИ ограничениям (скажем, по мере искажённости). Источниками искажённой формы и характеристик входной информации могут быть: а) при подготовке исходных документов на УПД. б) при передаче исходных данных по каналам от источников. в) искажённые результаты решения предшествующих задач. г) искажения при операции ввода информации. д) ошибки или неполнота ТЗ. Таким образом, можно дать следующее определение: Информационная надёжность ИВС - это свойство, заключающееся в способности алгоритма, реализуемого ИВС, безошибочно выполнять преобразования информации при ошибках во входной информации. 3. Алгоритм преобразования информации в ИВС при реализации погружается в определённую программную и аппаратную среду. Поэтому последние, безусловно, оказывают влияние на характеристики надёжности ИВС. При этом в процессе программирования и решения задачи на вычислительных средствах возможны следующие источники ошибок: а) ошибки при записи алгоритма на алгоритмическом языке. б) ошибки при кодировании программы на алгоритмическом языке. в) ошибки в технической документации (инструкциях), пользователю. г) ошибки трансляции. д) ошибки информационных систем. е) ошибки перегрузки, вызванные тем, что резервы, заложенные при программированию по объекту памяти или временные (для систем реального времени), используются полностью. ж) ошибки или неполнота ТЗ. з) недостаточность тестирования. Таким образом, можно дать следующее определение: 140 НАДЕЖНОСТЬ ИС Надёжность ПО ИВС способности ПО ИВС - это свойство, заключающееся в безошибочно отражать алгоритм преобразования информации. 4. Надёжность способности АО АО преобразования ИВС ИВС - это свойство, безошибочно информации, с заключающееся выполнять использованием в алгоритм определённых программных средств. Очевидно, что подразделение надёжности ИВС на категории (надёжность АО и надёжность ПО) является условным, поскольку задействование тех или иных аппаратных и программных средств при решении конкретной задачи сильно связанно (при фиксированном исходном наборе АО и ПО). Поэтому некорректно производить сравнение по надёжности ИВС при решении на них различных задач. А это часто делается. Например, паспортные данные по показателям надёжности для разных ЭВМ приводятся, как правило, для различных систем типовых задач (тестов). И поэтому их нельзя воспринимать (строго) как абсолютные, а только как относительные (относительно выбранной системы тестов). Рассмотрим подробнее надёжность ПО. Введём понятия: Безотказность ПО - непрерывно сохранять работоспособность. Работоспособность ПО - состояние ПО, при котором оно способно безошибочно выполнять алгоритм преобразования информации. Отказ - событие, состоящее в потере работоспособности. Введём количественный показатель надёжности ПО. Функция ПО = вероятность того, что на [0,t] По будет работоспособным. Все остальные характеристики по аналогии. Отметим важную деталь. Надёжность программного обеспечения является в значительной степени внешним свойством, то есть, 141 ГЛАВА 1. ОСНОВНЫЕ ПОНЯТИЯ ТЕОРИИ НАДЕЖНОСТИ свойством, которое определяется не собственно разработанной программой, а всеми атрибутами, связанными с её использованием (неблагоприятное сочетание входных данных, ошибке в трансляторе, операционной системе). Тогда, видимо, в процессе эксплуатации при фиксированном наборе системных программных средств и АО возможно лишь устранение ошибок программирования (при условии, что не привносятся новые ошибки). При рассмотрении надёжности ПО возникает много условностей различного порядка. В чём корень? В том, что в настоящее время для ПО (в отличии от АО) не существует методов анализа его характеристик (информационных, временных, по памяти) и тем более методов синтеза. Если допустить независимость надёжности АО и ПО (что естественно, если проанализировать причины, приводящие к отказу АО и ПО), то функция надёжности ИВС Pt   Pпо t   Pао t  § 6.3 Методы повышения надёжности ИВС Выполнение высоких требований по надёжности к современным ИВС, особенно выполняющих ответственные функции, может быть достигнуто только при комплексном подходе к решению задачи обеспечения надёжности, то есть, на этапах проектирования, производства и эксплуатации ИВС. Основными методами повышения надёжности является: 1. На этапе проектирования: а) Применение высоконадёжных комплектующих изделий. Показатели надёжности любой системы является монотонно возрастающей функцией от показателей надёжности комплектующих 142 НАДЕЖНОСТЬ ИС элементов. Следует отдавать предпочтение унифицированным, серийно выпускаемым изделиям. б) Учёт условий эксплуатации и режимов работы компонентов. Режимы не должны превышать номинальные. в) Использование аппаратных средств. модульного При этом принципа конструирования совершенствуется технология, облегчается поиск и устранение неисправностей. г) Доступность всех частей изделия для осмотра, контроля, ремонта или замены. д) Защита от внешних и внутренних неблагоприятных воздействий (температура, вибрация, радиация и др.). е) Резервирование аппаратных средств за счёт введения временной, нагрузочной, информационной и структурной избыточности (контрольная точка). ж) Защита от возможности возникновения аварийных ситуаций. и) Предусмотрение средств защиты информации при хранении и передаче. Под защитой информации понимается создание в ИВС совокупности методов, средств и проведения мероприятий, предназначенных для предупреждения искажения, уничтожения или не санкционируемого доступа защищаемой информации. Развитие направления, связанного с защитой информации, обусловлено тем что, по мере укрупнения ИВС, повышается уязвимость информации по следующим причинам:  ввиду увеличения объёмов накапливаемой, хранимой и обрабатываемой информации;  расширение круга пользователей, имеющих доступ к данным, хранимым в ИВС;  усложнение режимов функционирования ИВС (многопрограммные, 143 ГЛАВА 1. ОСНОВНЫЕ ПОНЯТИЯ ТЕОРИИ НАДЕЖНОСТИ разделения времени, реального времени);  автоматизация межмашинного обмена информацией в том смысле и на больших расстояниях. Примеры:  что бы было, если бы не защищалась в ЭВМ область памяти, в которой хранится операционная система?  ЭВМ «NOVA» в ИЭВТ АН Латвийской ССР;  маска, ключ, замок для блоков памяти; спецкодирование информации. к) Предусмотрение средств контроля и диагностики. Контроль позволяет обнаружить факт возникновения ошибки при вводе-выводе, пересылке и локализовать преобразования место положения данных. ошибки. Диагностика Контроль позволяет делится на аппаратный и программный. При программном контроле правильность функционирования ИВС проверяется текстовыми программами, решение для которых заранее известно (применяется обычно до решения основной задачи) или программно-логическим способом (например, двойной счёт и сравнение результатов применяется во время работы ИВС). Аппаратный контроль использует дополнительные аппаратные средства. Например, дублирование ряда устройств. Широко используется метод контроля по чётности (нечётности). Код с проверкой чётности информационных разрядов образуется одного прибавлением контрольного, к в группе который записывается 0 или 1 так, чтобы сумма единиц в слове была чётной (или нечётной). Позволяет обнаружить 1, 3, 5 ошибок. В ЕС ЭВМ используется для побайтовского контроля ввода-вывода; записи в ЗУ и извлечения. л) Технология программирования (модульное, структурное 144 НАДЕЖНОСТЬ ИС программирование). м) Верификация ПО (формальное доказательство правильности). н) Организация аппаратные интерфейсов. средства, Интерфейсы позволяющие - программно- осуществить сопряжение различных устройств ИВС. о) Выбор системных средств для решения задач (необходимо выбирать проверенные. п) выбор алгоритма проработки информации в ИВС. р) Организация работы при разработке АО и ПО. 2. На этапе производства: а) Соблюдение технологической дисциплины. б) Относительность технологического процесса. в) Организация приёмосдаточных испытаний (выбор программы приёмосдаточных испытаний, контрольных примеров (системы тестов)). 3. На этапе эксплуатации: а) Выполнение условий эксплуатации должно быть в соответствии с ТУ. б) Выполнение профилактического осмотра, контроля. в) Повышение квалификации, ответственности обслуживающего персонала и понижение его сменяемости. § 6.4 Расчёт надёжности с учётом условий эксплуатации В настоящее время в инженерных расчётах используется в основном экспоненциальный закон надёжности. Для его применения необходимо знать интенсивность отказов Накоплен значительный материал по  реальных элементов.  -характеристикам для различных типов элементов. Однако,  -характеристики обычно снимаются при нормальных условиях внешней среды и номинальных режимах работы 145 ГЛАВА 1. ОСНОВНЫЕ ПОНЯТИЯ ТЕОРИИ НАДЕЖНОСТИ элементов: t   25  10C ; относительная влажность 60  20  ; коэффициент (электрической) действительной нагрузки механических к нагрузки, номинальной, воздействий и других равный отношению K H  1 ; отсутствие отрицательных факторов (химически активные вещества, радиация). Интенсивность отказов, определённая при интенсивностью  . этих условиях, называется номинальной Расчёт надёжности с учётом режима работы элемента возможен, когда известны конкретные условия эксплуатации изделия, которые зачастую отличаются от номинальных. Это влияет как на надёжность комплектующих деталей и изделий, так и на все изделия в целом. В связи с этим необходимо знать зависимость нагрузки K H ,  от коэффициента t  и других факторов  K   H , t ,... Эта зависимость устанавливается либо на основе анализа физики возникновения отказа, учитывается зависимость либо  экспериментально. от K H , t Наиболее часто  , влажности и механических   нагрузок с помощью двух коэффициентов: коэффициента A t , K H ,  учитывающего влияние t окружающей среды и электрической нагрузки; и коэффициента K  ,  , учитывающего тип механического воздействия (корабельные, автофургонные, самолётные и т.д. системы) и относительную влажность. Тогда реальная интенсивность отказов может быть рассчитана следующем образом       A t , K H  K  ,  146 НАДЕЖНОСТЬ ИС Для большого числа серийно выпускаемых комплектующих деталей и изделий (резисторы, конденсаторы, транзисторы, микросхемы)  коэффициенты A t , K H  и K ,  определены и имеются соответствующие таблицы. Под воздействием перечисленных факторов интенсивность отказов может меняться существенно - на один-два порядка. 147 ГЛАВА 1. ОСНОВНЫЕ ПОНЯТИЯ ТЕОРИИ НАДЕЖНОСТИ § 6.5 Надёжность программного обеспечения Проблема надёжности ПО была объектом пристального внимания с самого начала развития средств машинной обработки информации. программисты на опыте убедились, что исправление ошибок в программах составляло большую часть времени процесса программирования. С самого начала исследования вопросов НПО возникла проблема стандартного определения программной ошибки и собственно надёжности ПО. Существует много определений программной ошибки. Мы будем использовать следующее: программная ошибка имеет место тогда, когда программа работает не так, как предполагает пользователь. Но понятие «пользователь» включает любого человека, вводящего данные в систему или взаимодействующего с ней любым другим образом. Следовательно, программные ошибки не являются неотъемлемым свойством программного обеспечения. Таким образом, наличие ошибки в программе - это функция от самой программы и от того, что ждёт от неё пользователь. Программы для вычислительных машин можно разделить на три основные типа: 1. Программы, разрабатываемые для решения инженерных и научно-исследовательских неполным задач. использованием небольшим временем ресурсов жизненного Они ВС характеризуются и цикла. относительно Длительность разработки этих программ обычно невелика. Их эксплуатация носит эпизодический, кратковременный характер. К этому типу программ практически не применимы основные понятия теории надёжности. 2. Сложные комплексы программ для информационно-справочных 148 НАДЕЖНОСТЬ ИС систем и систем автоматизации обработки информации, которые функционируют вне реального времени. Период их эксплуатации обычно значительно превышает длительность разработки, однако в ходе эксплуатации они могут развиваться и обновляться. Программы этого типа можно отнести к системам и применять к ним понятия теории надёжности. Изменения программ в ходе развития системы приводят к тому, что показатели надёжности оказываются нестационарными. 3. Программы автоматического управления, непосредственно и автоматизированного входящие в контур и функционирующие в реальном времени. Такие комплексы программ обычно практически полностью используют ресурсы вычислительной машины по памяти и производительности и эксплуатируются многие годы. Комплексы программ этого типа обладают всеми характерными чертами промышленных изделий, к ним в наибольшей степени применимы основные подходы и понятия теории надёжности. Для более глубокого понимания надёжности ПО необходимо сопоставить её с надёжностью аппаратных средств. Надёжность аппаратуры в технических системах определялась в основном двумя факторами: 1) надёжностью компонент 2) ошибками в конструкции, допущенными при проектировании или изготовлении. Относительно невысокая надёжность компонент, их глубокая взаимосвязь и способность к разрушению, старению или снижению надёжности в процессе эксплуатации привели к тому, что 1-ый фактор оказался превалирующем для надёжности аппаратных средств. Этому способствовало также и то, что ошибки проектирования проявлялись 149 ГЛАВА 1. ОСНОВНЫЕ ПОНЯТИЯ ТЕОРИИ НАДЕЖНОСТИ редко вуалировались отказами компонент. Надёжность сложных программных комплексов определяется теми же 2-мя факторами. Однако степень их влияния иная. Хранение программ на носителях(при вмешательства) условии характеризуется отсутствия высокой внешнего надёжностью. Превалирующим для надёжности комплексов программ является второй фактор - ошибки проектирования. Проявление ошибок проектирования обусловлено подлежащих контрастными обработке. ситуациями Опыт отладки и и сочетанием данных, эксплуатации сложных комплексов программ показывает, что невозможно проверить все варианты обработки информации, и даже после нескольких лет эксплуатации встречаются непроверенные сочетания исходных данных, при которых работающий комплекс программ даёт неверные результаты. Интенсивность появления ошибок в программах в зависимости от времени подобна интенсивности отказов аппарат. (1) - интенсивность отказов аппаратных средств (2) - интенсивность отказов ПО для случая, когда ошибки не привносятся (3) - интенсивность отказов ПО для случая, когда привносятся вторичные ошибки (3) - Отказы из-за ошибок в программах вначале уменьшаются вследствие их обнаружения и устранения в процессе отладки. Этот период по своим характеристикам (но не по физической сущности) похож на период «приработы» в аппаратуре. Далее следующий период эксплуатации, который характеризуется постоянной   t  отказов из-за программных ошибок, если они не корректируются. Модификация приводит к появлению вторичных ошибок, которые также необходимо устранять и после некоторых доработок комплекс программ морально 150 НАДЕЖНОСТЬ ИС устраивает и подлежит замене, что отражено в виде возрастания интенсивности отказов в конце интервала жизни. 151 ГЛАВА 1. ОСНОВНЫЕ ПОНЯТИЯ ТЕОРИИ НАДЕЖНОСТИ § 6.6 Факторы, определяющие надёжность ПО Несмотря на то, что трудности разработки ПО появились с момента возникновения ЭВМ, только недавно началось интенсивное изучение процесса разработки ПО и его развития. Анализ первых результатов позволяет утверждать, что имеет место множество факторов, сдерживающих производство и использование систем ПО. Отметим наиболее существенные: 1) большое количество ошибок, сопровождающих разработку элементов системы ПО; 2) трудности в использовании. Ряд свойств (возможностей) систем отвергается пользователем как громоздкие и неудобные в эксплуатации; 3) большая сложность при создании и эксплуатации, отсутствие обозримой логической структуры сложных систем; 4) низкая надёжность систем ПО. Главными факторами, определяющими качество и надёжность ПО, является стоимость и время разработки. Существует и множество других факторов, важных для надёжности проектируемых систем ПО, которые можно условно разделить на 3 группы; 1. Общие факторы. 2. Факторы, связанные с разработкой ПО. 3. Эксплутационные факторы (см. рис. 1). В первую группу объединены проблемные вопросы, решение которых определяет переход к инструментальным методам разработки ПО. Архитектура ЭВМ оказывает косвенное, но важное влияние на надёжность ПО. Можно встретить много ситуаций, когда эффективность ЭВМ и надёжность приходят в противоречие друг с другом. 152 НАДЕЖНОСТЬ ИС Факторы, определяющие надёжность ПО Общие факторы Факторы, связанные с разработкой системы Эксплутационные факторы архитектура ВС размеры и стоимость разработки системы полнота и качество эксплуатации процедура степень адаптации управления сложность разрабатываемой системы документации структурное построение простота изучения и разработкой ПО языки программирования использования квалификация наличие опыта разработки качество обучения персонала пользователей качество программирования защитность информации объём программирования логическая сложность степень выполнения требований на разработку управление надёжностью временные ограничения Надёжность ПО существенно зависит от установившейся тенденции достижения максимального быстродействия аппаратуры и минимальной стоимости. В силу противоречий между эффективностью и надёжностью показатели надёжности эффективности. часто Например, отбрасываются часто ради пренебрегают достижения защитными 153 ГЛАВА 1. ОСНОВНЫЕ ПОНЯТИЯ ТЕОРИИ НАДЕЖНОСТИ мероприятиями ПО из-за снижения скорости выполнения программы; избегают применение модульной структуры из-за потери времени выполнения за счёт передачи параметров; ограничивают контрольные функции компиляторов и т.д. Конструкция языка программирования оказывает влияние на надёжность ПО, несмотря на то, что большая часть ошибок попадает в программу до того, как она будет закодирована на каком-либо языке программирования. Однако использование некоторого набора конструкций языка программирования, порождающих двусмысленность в процессе трансляции программ, может дать такую серьёзную ошибку, которая будет дорого стоить с точки зрения вызываемых последствий. Обычно в этом случае ссылаются на пример неудачного исхода первого полёта на Венеру американской автоматической станции из-за ошибки в списке оператора цикла на Фортране, где вместо разделителя запятой в списке была поставлена точка. Другим аспектом обеспечения надёжности ПО является модульность. Основной целью любого языка программирования является управление некоторым набором данных. Применение языка управления данными способствуют надёжности программного обеспечения, уменьшая количество кодов, которые должны быть записаны программистом. Кроме того, важное место в обеспечении надёжности занимает построение языкового компилятора с учётом возможности обнаружения любой синтаксической ошибки. Факторы, связанные с разработкой ПО, тесно связанны с общими факторами. Например, структурное построение тесно связано с языками программирования (модульность), качество программирования с квалификацией персонала. Кроме того, отдельные факторы этой группы тесно связаны между собой. Например, улучшение характеристики программы по её обслуживанию может привести к росту её сложности, что в свою очередь вызовет появление большого количества ошибок, 154 НАДЕЖНОСТЬ ИС т.е. снижение надежностных характеристик. Факторы, отнесённые к третьей группе эксплуатационных факторов, также немаловажны, т.к. от полноты и качества документации зависит качество сопровождения и эксплуатации системы ПО и полнота использования его возможностей. Так для ЕС ЭВМ разработано руководство системного программиста, руководство программиста и оператора и т.д. Факторы данной группы определяют надёжность ПО с качественной стороны. 155
«Введение. Проблема надежности сложных систем» 👇
Готовые курсовые работы и рефераты
Купить от 250 ₽
Решение задач от ИИ за 2 минуты
Решить задачу
Помощь с рефератом от нейросети
Написать ИИ
Получи помощь с рефератом от ИИ-шки
ИИ ответит за 2 минуты

Тебе могут подойти лекции

Смотреть все 493 лекции
Все самое важное и интересное в Telegram

Все сервисы Справочника в твоем телефоне! Просто напиши Боту, что ты ищешь и он быстро найдет нужную статью, лекцию или пособие для тебя!

Перейти в Telegram Bot