§ 1. Introduksjon

Målet med databehandling i nærvær av reversible skader er å bygge pålitelige systemer som beregner korrekte resultater selv når de står overfor lokale feil. For eksempel, hvis en av modulene feiler, for eksempel på grunn av en programmeringsfeil, fortsetter de andre modulene å beregne, og dekker feilen til den første modulen. En rekke nye teknikker vil bli utforsket for å implementere denne eksepsjonelt kraftige formen for modularitet.

Systemfeil– avvik fra den faktiske oppførselen til systemet fra den planlagte oppførselen. En del av å designe et feiltolerant system er å bestemme hva som utgjør ønsket og uønsket oppførsel.

Feil oppstår pga feil i modulen. Årsak til feil - defekt. Defekter er delt inn i 4 kategorier:

Maskinvarefeil (for eksempel enhetsfeil).

Programvarefeil (designfeil).

Miljødefekter (flom, jordskjelv)

Kontrollfeil (feil fra operatører og vedlikeholdspersonell).

For å evaluere pålitelige systemer er det nødvendig med en metode for å måle pålitelighet. Du kan modellere levetiden til en modul som en sekvens av perioder med god drift (når modulen gjør det den skal gjøre) og dårlig drift (når den ikke gjør det den skal gjøre). Dermed kan påliteligheten til et system måles som prosentandelen av tiden det utfører funksjonene sine (fungerer riktig).

Gjennomsnittlig tid fra starten av korrekt utførelse til første feil kalles gjennomsnittlig tid mellom feil, T O. Dette er en statistisk verdi. Tiden fra den første feilen til det øyeblikket modulen fungerer korrekt igjen, er statistisk bestemt som gjennomsnittlig tid til restitusjon, T V. Pålitelighet kan nå kvantifiseres som T O / ( T o + T V). Omfanget T gjennomsnitt = T o + T noen ganger kalt gjennomsnittlig tid mellom feil. Du kan for eksempel sammenligne et standard IBM-datasystem ( T ons = 9 dager, T på = 10 minutter) og Tandem-datasystemet ( T av = 11 år).

Den generelle tilnærmingen til å designe pålitelige systemer er enkel:

Feildeteksjon (krever planlegging).

Plassering av feil i en "beholder" (modularitet og defektisolasjon).

Feilretting.

Hva er en generell feilrettingsteknikk? Maskinvarefeil kan overvinnes ved datakopiering og feilmaskeringsbehandling. For å gjøre den liten T c, systemselvdiagnose brukes. Tilnærmingen for å overvinne operatør- og vedlikeholdsfeil er å redusere muligheten for feil (dvs. eliminere operatøren, utføre selvinnstilling og selvtesting, etc.). Miljødefekter kan overvinnes gjennom effektiv replikering (ytterligere strømkilder; ikke installer systemet der det kan bli oversvømmet; ha ekstra kommunikasjonslinjer; kopier hele systemet). For den nåværende teknologien er hovedproblemet maskinvare- og programvarefeil.

§ 2 Sikre påliteligheten til mikroprosessorinformasjon og kontrolldatasystemer (ICCS).

Under pålitelighet av et produkt (element, sammenstilling, enhet, system) forstås som egenskapen til sistnevnte å opprettholde sin kvalitet under visse driftsforhold i en gitt tidsperiode, dvs. pålitelighet er kvalitet utfoldet over tid. Kvantitativt er pålitelighet preget av en rekke intervall-, integral- og punktindikatorer.

Ikke-fornybare produkter- produkter hvis oppførsel bare er betydelig frem til den første feilen er preget av følgende kvantitative indikatorer for pålitelighet: feilrate λ (t); strykprosent f(t); sannsynlighet for feilfri drift P(t); sannsynlighet for feil Q(t); MTBF T O.

Fornyede produkter- produkter, hvis drift tillater flere reparasjoner, er preget av følgende kvantitative indikatorer for pålitelighet: feilflytparameter ω (t); gjenvinningsflytparameter μ (t); klar funksjon TIL G (t); tilgjengelighetsfaktor TIL G; gjennomsnittlig driftstid mellom to feil t ons; gjennomsnittlig restitusjonstid t V.

Hvis det under driften av et ikke-reparerbart produkt er mulig å reparere dets individuelle elementer og samtidig opprettholde driften av produktet som helhet på grunn av reserven, eller hvis påliteligheten av funksjonen til det restaurerte produktet vurderes i tidsintervall før den første feilen i det gjenopprettede produktet som helhet, så er slike produkter preget av følgende kvantitative indikatorer for pålitelighet: sannsynlighet for feilfri drift P(t); sannsynlighet for feil Q(t); MTBF T O; feilflytparameter for produktelementer ω (t); parameter for flyten av restaurering av produktelementer μ (t).

Kvantitative indikatorer på påliteligheten til ikke-reparerbare produkter. Intervallpålitelighetsindikatorer - sannsynlighet for feilfri driftP(t) Og sannsynlighet for feilQ(t) - er definert som sannsynligheten for hendelser P(t)= P{τ > t} Og Q(t)= P{τ ≤ t} henholdsvis hvor τ - et tilfeldig tidspunkt der en feil oppstår. Hvori P(t) + Q(t) = 1, P(0) = l, Q(0) = 0, P(∞)→0, Q(∞)→1.

Punkt (lokal) pålitelighetsindikator - strykprosentλ (t) - er definert som sannsynligheten for en ikke-gjenopprettelig feil på et produkt per tidsenhet etter et tidspunkt, forutsatt at feilen ikke skjedde før dette tidspunktet, dvs.

på
og tar hensyn til (1) feilprosent

, (2)

Integrering av venstre og høyre side av uttrykk (2) i området fra 0 til t, Det er ikke vanskelig å oppnå en annen form for sammenheng mellom sannsynligheten for feilfri drift og feilraten til produktet:

. (3)

Ris. 1. Grafisk avhengighet av produktfeilfrekvens på tid

Strykprosent λ (t) - en av de mest praktiske kvantitative indikatorene for påliteligheten til elektroniske produkter: integrerte kretser, radioelektroniske produkter (transistorer, dioder, motstander, kondensatorer, etc.). Endring i feilprosent λ (t) over tid har de fleste elektroniske produkter en betydelig ikke-lineær karakter (fig. 1), men over lang tid endres feilraten på produktet vanligvis lite og antas å være konstant i praktiske beregninger.

Det bør man huske på λ (t), forblir konstant over tid i hovedarbeidsområdet, det avhenger betydelig av driftsforholdene til produktet (klimatiske, mekaniske og strålingspåvirkninger, elektrisk belastning, etc.), dvs.

Hvor en Jeg - korreksjonsfaktor Jeg den operasjonelle faktoren; λ 0 - feilrate for produktet under nominelle (laboratorie) driftsforhold.

Strykprosentf(t) -sannsynlighetstetthet for produktets driftstid før den første feilen:

. (4)

Feilraten er relatert til sannsynligheten for feilfri drift av relasjonen

(5)

En av de integrerte pålitelighetsegenskapene som ofte brukes i praksis er tid mellom feilene T O - matematisk forventning om et tilfeldig øyeblikk i tid τ , der feilen oppstår, dvs.

. (6)

Når vi tar i betraktning egenskapen til Laplace-transformasjonen, merker vi at hvis bildet av sannsynligheten for feilfri drift er kjent P(s), At

. (7)

For den eksponentielle loven om sannsynlighet for feilfri drift av et produkt, dvs. når λ (t) = const og P(t) = exp ( – λ t), MTBF er lik inversen av feilraten:

.

Kvantitative indikatorer på påliteligheten til restaurerte produkter. Punkt (lokal) pålitelighetsindikator - feilflytparameter ω(t) -spesifikk sannsynlighet for forekomst av minst én feil per tidsenhet, dvs.

,

Hvor P o ( t) - feilflyt - en sekvens av feil som oppstår på tilfeldige tidspunkter.

Punkt (lokal) pålitelighetsindikator - gjenvinningsstrømparameter μ(t) -spesifikk sannsynlighet for minst én gjenoppretting per tidsenhet, dvs. hvor P V (t) -utvinningsflyt- en sekvens av restaureringer som skjer på tilfeldige tidspunkter.

Blant de mange forskjellige feilene (gjenopprettingene) i pålitelighetsteorien inntar en spesiell plass av den enkleste strømmen av feil (gjenopprettinger), siden de viktigste resultatene for praksis ble oppnådd i pålitelighetsteori spesifikt for tilfellet med de enkleste strømmene. Dette forklares av det faktum at oppførselen til et produkt som et køsystem under de enkleste feil- og gjenopprettingsstrømmene er beskrevet av et system av differensialligninger med konstante koeffisienter, metodene for å løse som er godt utviklet.

For praksisen med å beregne pålitelighetsindikatorer for produkter, er sammenhengen mellom feilflytparameteren veldig viktig ω (t) av det reparerbare produktet og feilfrekvensen λ (t) det samme produktet, ansett som ikke-reparerbart, dvs. fungerer til den første feilen.

B viser det

, (8)

Hvor f(t)= λ (t)P{ t) - feilfrekvens for et ikke-reparerbart produkt.

Løsningen av differensialligning (8) under forutsetning av at feilstrømmen til det tilsvarende gjenopprettede produktet er den enkleste, gir ω (t) = λ (t).

Tatt i betraktning at det i praksis i de fleste tilfeller antas at λ (t)= λ = konst, da ω (t) = λ , dvs. numerisk er feilstrømparameteren for et gjenopprettet produkt lik feilraten til det tilsvarende ikke-reparerbare produktet.

Forutsatt at produktrehabiliteringsflyten er den enkleste, finner man i praksis produsom μ (t) = l / T i =konst, hvor T V - empirisk (eksperimentell) verdi av den gjennomsnittlige gjenopprettings- (reparasjons)tiden for produktet.

Punkt (lokal) indikator for det gjenopprettede produktet - klar funksjonK G ( t) er definert som sannsynligheten for at til enhver tid t produktet er i fungerende stand, dvs.

, Hvis
, Og
, Hvis
. (9)

Hvor P Jeg (t). Og P j { t) - sannsynligheter for å finne systemet i øyeblikket t V Jeg- i god stand og j-th feiltilstand, henholdsvis; N+ 1 - totalt antall, a k - antall gode tilstander til produktet.

Klarfunksjonsgrense K G (t) på t→  kalles tilgjengelighetsfaktor K G og fungerer som en integrert indikator på påliteligheten til det gjenopprettede produktet:

. (10)

Siden tilgjengelighetsfaktoren er den endelige sannsynligheten for at systemet er i en sunn tilstand, kan den beregnes ved å bruke Laplace-bilder av de tilsvarende sannsynlighetene:

Vanligvis bildet av klarfunksjonen K G (s) ser ut som

og n ≥ m; Derfor

(12)

Integrerte pålitelighetsindikatorer - gjennomsnittlig driftstid mellom to feilT cp Og gjennomsnittlig restitusjonstidT V , dvs. den matematiske forventningen til tiden mellom henholdsvis tilstøtende feil og gjenopprettinger. Indikatorer T cp Og T V kan bestemmes hvis de endelige sannsynlighetene for at produktet er i alle mulige tilstander og intensiteten av overganger fra feil til tilstander før feil er kjent:

; (13)

, (14)

Hvor
-den endelige sannsynligheten for å finne produktet i l-m arbeidsforhold, l = 0 ... L;

Den endelige sannsynligheten for å finne produktet i ( L + Jeg) -th feiltilstand, L + Jeg= L+ l , ..., L + N; μ L + Jeg , l - intensiteten av overgangen fra ( L+Jeg)-th feiltilstand i l-e tilstand før feil.

Med andre ord gjennomsnittstiden mellom to feil T cp er definert som forholdet mellom summen av de endelige sannsynlighetene for at systemet er i driftstilstander og summen av de endelige sannsynlighetene for at systemet er i feiltilstander, direkte relatert til driftstilstandene og multiplisert med den tilsvarende ekvivalente gjenopprettingsintensiteten. Sistnevnte er summen av restitusjonsintensiteter som en overgang fra en gitt ikke-arbeidende tilstand er mulig med L + Jeg, hvor i=l ÷ N, til alle tilknyttede driftstilstander. Ved beregning av gjennomsnittlig restitusjonstid T V telleren av forholdet tar summen av de endelige sannsynlighetene for å finne systemet i alle feiltilstander, nevneren er en sum som ligner på uttrykket T cp . Legg merke til det

.

Klassifisering av reservasjonsmetoder. Når du beregner påliteligheten til et komplekst produkt (montering, enhet, system), er det nyttig å lage et designpålitelighetsdiagram.

Hvis produktet består av N elementer og svikt i produktet som helhet oppstår når noen av elementene svikter, da snakker vi om hovedforbindelse (seriell). av disse elementene, et konvensjonelt bilde av designpålitelighetsdiagrammet er vist i fig. 2, EN. Siden alle Jeg elementet er generelt preget av feilraten λ Jeg (t) og sannsynlighet for feilfri drift
, deretter sannsynligheten for feilfri drift av produktet som helhet

. (15)

For den eksponentielle sannsynlighetsloven, feilfri drift av individuelle elementer, dvs. når λ Jeg= const, sannsynlighet for feilfri drift av produktet som helhet

og gjennomsnittlig tid mellom feil T O = 1 / λ Σ , Hvor

.

Hvis produktet består av N elementer og feil på produktet som helhet oppstår bare når alle N elementer som inngår i den, så snakker vi om parallellkobling disse elementene, hvis designpålitelighetsdiagram er vist i fig. 2, b. I dette tilfellet er sannsynligheten for feilfri drift

og gjennomsnittlig tid mellom feil T O og produktfeilfrekvensen beregnes ved å bruke henholdsvis (6) og (2).

EN)

Ris. 2. Konvensjonell representasjon i pålitelighetsdiagrammer av serieforbindelser (a), parallelle (b) og parallelle serier (c) av produkter.

Generelt, fra et pålitelighetssynspunkt, kan et produkt representeres av parallell - seriell et fungerende pålitelighetsdiagram der en seriekobling av elementer reflekterer oppførselen til elementer hvis svikt fører til svikt i produktet som helhet, og en parallellkobling av elementer reflekterer oppførselen til elementer hvis svikt fører til svikt i produktet som helhet hvis alle elementene i parallellforbindelsen svikter. I fig. 2, V Et eksempel på en parallell-serie pålitelighetskrets er gitt.

Hvis pålitelighetskretsen til et produkt inneholder en parallellkobling, dvs. hvis en økning i påliteligheten i et produkt sikres ved bruk av funksjonelt redundante elementer, sies produktet å ha reservere. I dette tilfellet skilles det mellom element-for-element, generelle og bevegelige reserver.

Ris. 3. Klassifisering av metoder for å reservere produkter

Element-for-element-reserve- reserve, der funksjonelt redundante elementer er gitt i tilfelle feil på individuelle elementer eller grupper av produktelementer.

Generell reserve- reserve, der funksjonelt redundante elementer er gitt i tilfelle feil på produktet som helhet.

Rullende reserve- reserve, der funksjonene til et element i et ikke-overflødig produkt overføres til et reserveelement først etter svikt i hovedelementet, og hovedelementene støttes av ett eller flere reserveelementer; som hver kan erstatte ethvert mislykket hovedelement.

Generelt, element-for-element og glidende reserve, avhengig av hvilken modus (på eller av) reserveelementene brukes til de begynner å fungere i stedet for de mislykkede hovedelementene, deles inn i lastet (varm) og ubelastet (kald) reserve .

Når lastet (varm) standby backup-elementer er i samme driftsmodus som de viktigste.

Når losset (kald) reserve Inntil det øyeblikket de brukes i stedet for hovedelementene, bærer reserveelementene praktisk talt ikke last og er i en avslått tilstand.

Klassifiseringen av metoder for å reservere ikke-gjenopprettelige og utvinnbare produkter (noder, enheter, datasystemer) avhengig av driftsmodus og metoden for å slå på sikkerhetskopielementer er vist i fig. 3.

Metoder for beregning av kvantitative indikatorer for produktpålitelighet. Beregning av pålitelighetsindikatorer for ikke-reparerbare produkter med en lastet generell eller element-for-element-reserve under forutsetning av plutselige feil på elementer med konstante feilrater for elementer over tid, utføres ved å bruke relasjoner (6), (15), ( 16). For eksempel, for den beregnede påliteligheten til kretsen vist i fig. 2, V,

Det beregnede pålitelighetsdiagrammet for ikke-fornybare produkter med belastet glidereserve (fig. 4, a) inneholder P hovedelementer og T reservere. Forutsatt at sannsynlighetene for feilfri drift av alle elementene (hoved og backup) er like og like s(t), sannsynlighet for feilfri drift av produkter generelt P(t) er definert som sannsynligheten for en hendelse som i løpet av tiden t det vil ikke forekomme mer i produktet T feil, dvs.

, (17)

Hvor s(t) i tilfelle plutselige feil med konstant intensitet over tid, er λ lik exp (-λ t).

I praksis, for å øke påliteligheten til komplekse dataenheter, har majorisering blitt utbredt, noe som kan betraktes som et spesielt tilfelle av glidende lastet reservasjon.

På hovedfag produkt l-reservert flere ganger; og l merkelig. Resultatet av arbeidet til alle produktene sammenlignes i en spesiell enhet - et hovedelement (fig. 4, b) - og den sanne verdien anses å være den som oppstår ved utgangen av de fleste produkter, dvs. ved utgangen ( l-1)/2+1 produkter. Sannsynlighet for feilfri drift l-multiplis-majorisert produkt under forutsetning av at majorizing-elementet er absolutt pålitelig kan estimeres ved hjelp av relasjon (17), hvis vi legger inn det

Ris. 4. Beregnede pålitelighetsordninger for tilfeller av ikke-fornybare produkter med en lastet glidende reserve ( EN) og hovedfag ( b).

m + n = l, m= (l-1)/2, dvs.

.

På l=3, 5 og 7 henholdsvis får vi R 3 (t) = R 2 (t)(3-2R(t)]; P 5 (t)= s 3 (t); P 7 (t)= s 4 (t) .

Pålitelighetsindikatorene for ikke-utvinnbare produkter med en lastet generell, element-for-element og glidende reserve, eller for restaurerte produkter med en ubelastet eller lastet generell, element-for-element og glidende reserve, kan beregnes ved å beskrive "aldring ” av slike produkter ved en tilfeldig Markov-prosess med diskrete tilstander.

Den tilfeldige prosessen kalles Markov tilfeldig prosess (prosess uten ettervirkning), hvis den videre oppførselen til prosessen bestemmes av dens tilstand på et gitt tidspunkt og ikke er avhengig av dens historie. En tilfeldig Markov-prosess kalles prosess med diskrete tilstander, hvis mulig oppgir produktet S 1 , S 2 , S 3, ... kan listes (omnummereres) etter hverandre, og selve prosessen er at produktet fra tid til annen S hopper (umiddelbart) fra en tilstand til en annen under påvirkning av de enkleste strømmene av feil og restaureringer av individuelle elementer i produktet.

Når man analyserer oppførselen til et produkt over tid under slitasje (aldring), er det praktisk å bruke en tilstandsgraf som inneholder så mange hjørner da det er forskjellige tilstander som er mulig for produktet. Kantene på tilstandsgrafen reflekterer mulige overganger fra en viss tilstand til alle andre i samsvar med parameterne for feil- eller gjenopprettingsstrømmer. Hvis vi for hver tilstand av produktet, med andre ord, for hvert toppunkt i grafen, beregner sannsynligheten for å finne produktet i nøyaktig denne tilstanden på et hvilket som helst vilkårlig tidspunkt P Jeg (t), så, med kjennskap til disse sannsynlighetene, kan man estimere pålitelighetsindikatorene som er av interesse i praksis ved å bruke relasjoner (2), (6), (9) - (14).

Forholdet mellom sannsynlighetene for å finne et produkt i alle dets mulige tilstander er på sin side uttrykt Kolmogorovs system av differensialligninger. Strukturen til Kolmogorovs ligninger er bygget i henhold til en veldig spesifikk regel: på venstre side av hver Kolmogorov-ligning er den deriverte av sannsynligheten for å finne produktet i den betraktede tilstanden til graftoppunktet skrevet, og høyre side inneholder like mange ledd som antall tilstandsgrafkanter assosiert med et gitt toppunkt av graf (hvis kanten er rettet fra et gitt toppunkt, det tilsvarende leddet: har et minustegn, hvis i gitt toppunkt- plusstegn). Hvert ledd er lik produktet av feilstrømningsparameteren (gjenoppretting) knyttet til en gitt kant og sannsynligheten for å være i toppunktet til grafen som kanten kommer fra. Kolmogorov-ligningssystemet inkluderer like mange ligninger som det er hjørner i tilstandsgrafen til produktet. Å løse systemet med Kolmogorov-ligninger under spesifikke startforhold, bestemt av den spesifikke driften av produktet, gir verdiene av de ønskede sannsynlighetene P Jeg (t).

Generelt inkluderer anvendelsen av teorien om tilfeldige Markov-prosesser for å løse problemer med å vurdere pålitelighetsindikatorene til reparerbare og ikke-restaurerbare produkter: 1) å sette sammen en liste over alle mulige tilstander til produktet; 2) å beregne parametrene for feil- og gjenopprettingsstrømmer for hver tilstand; 3) utarbeide en tilstandsgraf; 4) registrering av Kolmogorovs system av differensialligninger; 5) løse systemet med Kolmogorov-ligninger og bestemme kvantitative indikatorer for pålitelighet ved å bruke relasjoner (2), (6), (9)-(14).

Måter å forbedre påliteligheten til hydrokarboner. Påliteligheten til hydrokarboner øker ettersom grunnstoffbasen forbedres. Så , bruk av mikroprosessorsett med LSI, LSI-minne, matrisekrystaller fører til en reduksjon i antall elementer og antall sammenkoblinger (lodding, sveising) i datateknologi. Men på grunn av trenden med konstant økning i funksjonaliteten til datateknologi, forblir antallet elementer i systemene ganske stort.

Hvis det ikke er noen reserve i vannforsyningssystemet, er det nesten umulig å oppnå akseptable pålitelighetsindikatorer. Siden i ingeniørpraksis antas det at et dataverktøy er pålitelig hvis sannsynligheten for feilfri drift R(Δ t) over et visst tidsintervall Δ t er lik 0,997, i den grad at ved λ = 10 -4 ÷10 -7 1/h og antall elementer i systemet n= 10 4 ÷10 5 feilfri driftstid i ovennevnte betydning er bare noen få timer:

For eksempel, ved λ = 10 -7 1/h og n=104 Δ t≤3 timer Siden den kan reduseres betydelig P og λ er umulig, øk deretter Δ t Uten bruk av en reserve er det praktisk talt umulig. Driftserfaring av elektronisk utstyr viser at feilraten for elementer under lagring er omtrent en størrelsesorden lavere enn ved drift under reelle driftsforhold, dvs.

λ xp ≈ 0,1λ. Dette betyr at bruk av en losset reserve uten utvinning kan redusere nλΔ t ikke mer enn 10 ganger. Denne tilnærmingen gjør det mulig å lage datautstyr som bare fungerer pålitelig i titalls timer, noe som ikke løser problemet med å dramatisk øke påliteligheten til ultralydsystemer.

Teoretisk, ved å introdusere redundans i strukturen til datasystemet, er det mulig å lage et vilkårlig pålitelig datasystem. Men dette er ikke alltid praktisk gjennomførbart. For å bekrefte denne oppgaven, la oss sammenligne de kvantitative indikatorene for pålitelighet: 1) ikke-redundant HC, karakterisert ved feilflytparameteren ω = λ og gjenvinningsflytparameteren μ; 2) duplisert UVS (generell redundans) med gjenoppretting av defekte datamaskiner; 3) duplisert UVS (element-for-element redundans) med gjenoppretting av mislykkede elementer; 4) UVS, bestående av P grunnleggende og m sikkerhetskopiere like pålitelige datamaskiner med en feilflytparameter, som hver er lik λ (det antas at gjenoppretting av mislykkede elementer med parameteren μ mulig under drift av systemet).

For ikke-redundant UVS

R (t) = exp (–λ t);TIL G = μ / (μ + λ); T cp = 1/λ.

Med "kalde" backup-alternativer slås backup-utstyret av og slås på kun når backupen settes i drift. Før du slår på sikkerhetskopieringsutstyret, forbrukes ikke ressursen, og "kald" backup gir den største FBG.

Ulempen med kald backup er at det tar litt tid å slå på backuputstyr, hvor systemet ikke er kontrollert eller ubrukelig. I løpet av dette intervallet med igangkjøring av "kaldt" backuputstyr, kommer strømforsyningene i drift, utstyret testes og varmes opp. Den nødvendige informasjonen lastes inn i den.

Ved "hot" backup er alle backup-elementer slått på og klare til å begynne å fungere umiddelbart etter kommandoen. Dette kan gi raskere byttetider. Ressursen til det inkluderte "varme" sikkerhetskopieringsutstyret forbrukes imidlertid, og oppnåelig FBG i denne metoden er mindre enn i tilfellet med "kald" backup. Byttetiden til reserve er en viktig parameter, og dens tillatte verdier bestemmes av den spesifikke applikasjonsoppgaven.

For et redundant substitusjonssystem med en kuldereserve er WBR lik:

Denne tilnærmingen er gyldig for FBG-er. For et trippelsubstitusjonssystem med kuldereserve er FBG lik:

For et redundant erstatningssystem med varm standby er WBR lik:

For et trippel-erstatningssystem med varm standby er WBR lik:

Grafen viser endringer i P(t) for tre tilfeller:

1) ikke-redundant system

2) redundant system med kuldereserve

3) redundant system med varm standby

Endringen i WBR presenteres i relativ tid. Dette er praktisk, siden grafene er gyldige for alle . Her er systemfeilfrekvensen

For en sekvensiell pålitelighetskrets.

Feilfrekvens for elementene som utgjør systemet.

Kunder som kjøper Software Assurance for serverprodukter Microsoft, motta en ekstra lisens som du kan bruke gratis kald backup-server for gjenopprettingsformål i tilfelle feil. er en server som er slått av til en katastrofe inntreffer. Denne serveren kan ikke brukes til å kjøre applikasjoner eller nettverkstjenester.

Fordeler for kunden

• Reduser risiko og nedetid i uventede situasjoner.
• Sparer på antall lisenser ved bestilling.

Aktivering og bruk av fordeler

• Ingen aktivering nødvendig.
• Installasjon fra samme medium som serverprogramvaren.

Forhold

Denne fordelen gis til kunder med en gyldig Software Assurance kjøpt for serverprodukter Microsoft og for serverklienttilgangslisenser. Bruk av serverprogramvaren er underlagt følgende vilkår og betingelser:

• Den kalde backup-serveren må alltid være slått av og kan bare slås på:

1. for begrenset testing og oppdateringsformål;
2. i tilfelle en ulykke.

• Kopier av katakan ikke installeres på en server i samme klynge som applikasjonsserveren.
• I tilfelle en katastrofe kan programvaren brukes samtidig på både backup- og hovedserveren bare i den tiden som kreves for å gjenopprette hovedserveren. Etter å ha gjenopprettet primærserveren, må den kalde standby-serveren slås av.
• Gratis serverlisenser katastrofegjenoppretting er midlertidige og utløper ved utløp Software Assurance for den tilsvarende serveren eller klientlisenser. Ved oppsigelse Software Assurance Du må fjerne eventuelle kopier av programvaren som er installert under lisensen for katastrofegjenoppretting.

Versjonen, utgaven og typen serverprodukt som brukes til katastrofegjenoppretting må samsvare med den underliggende lisensen for serverproduktet (for eksempel hvis rettighetene Software Assurance kjøpt for Microsoft SQL Server 2000 Standard per prosessor lisenser, en gratis lisens til kald standby-server det vil også være Microsoft SQL Server 2000 Standard per prosessorlisens).

• Software Assurance-lisenser må kjøpes for både serverproduktet og alt klient CALer(hvis aktuelt). Handling kald backup serverlisenser utløper ved utløp Software Assurance.
• Denne fordelen krever ikke aktivering på nettsiden MVLS. For hver serverlisens med strømmen Software Assurance kunden får rett til å installere en kopi av denne programvaren på kald standby-server.
• Antall lisenser for katastrofegjenoppretting som gis til klienten tilsvarer antallet kjøpte Software Assurance-lisenser.
• Kunder kan installere programvaren fra media levert av volumlisensprogrammer.
• Bruk av hvilken som helst programvare kald backup serverlisenser underlagt gjeldende produktbruksrettigheter og vilkår og betingelser for den fordelen.
• Lisenser Lisens og programvareforsikring kjøpt for serverprogramvare og relatert klientlisenser, samt informasjonen i Volumlisensproduktliste (EN), vil være bekreftelse på kundens rettigheter til å bruke serverprogramvaren iht kald standby-lisenser.

Ellers kan det stilles spørsmål ved og slettes.
Du kan redigere denne artikkelen ved å legge til lenker til .
Dette merket er satt 20. mars 2014.

Varm standby(eng. Hot Spare), noen ganger slang hotspar- en teknologi for redundant elektronisk utstyr, der reserven er koblet til systemet og erstatter den defekte komponenten automatisk, eller i det minste uten å avbryte driften av systemet. Oftest brukt i prosessautomatiseringssystemer (kontrollere, input/output-moduler, strømforsyningssystemer) og innen IT-feltet (harddisker, datamaskin RAM). I sammenheng med noen systemer kan det ganske enkelt kalles "reserve" (som antyder at enheter som kan byttes ut i kaldt tilstand rett og slett ikke er synlige i systemet og ikke krever en spesiell term).

Hot spare for lagringssystemer

Oftest brukes hot-swappable disker i kombinasjon med RAID-arrays. I dette tilfellet er det flere typer hotspare-disker:

• lokal (engelsk lokal, engelsk array-eid) - disken tilhører en spesifikk array og brukes til å erstatte en mislykket disk bare i en gitt array; hvis det er flere arrays i systemet og disken feiler i en nabo-array, så lokal for en annen matrise disken brukes ikke til erstatning.
• global, shared (engelsk global, engelsk delt) - disken tilhører ikke noen matrise og kan brukes til å erstatte en mislykket disk i noen av matrisene. Når du kombinerer globale og lokale hotspars, er det to algoritmer for å bruke dem: enten først lokale og deretter globale, eller først globale og deretter lokale. Det andre alternativet lar deg lage matriser med litt større pålitelighet for utvalgte matriser, det første - for alle.
• gruppe (engelsk gruppe) - i dette tilfellet er noen matriser kombinert til en gruppe der en sikkerhetskopidisk kan brukes. Arrays som ikke er i en gruppe mottar ikke denne disken (dette alternativet bruker for eksempel linux-raid).

Indikasjon

Noen systemer og raid-kontrollere kan bruke en spesifikk LED-betegnelse (eller en spesiell type LED som blinker) for å indikere det varme paret.

Overvåking av statusen til en varm reserve

Mange systemer sjekker med jevne mellomrom statusen til vertsreservedisker (ved å lese eller skrive) - dette lar deg verifisere at erstatningsdisken er i normal tilstand og beskytte mot en situasjon der en disk lagt til matrisen i stedet for en mislykket disk viser seg å være feil i seg selv.

Gjenoppbygging av nødmatrise

Ofte svikter ikke harddisker helt, men delvis (innenfor flere sektorer). Noen systemer er i stand til å forhåndskopiere data fra et delvis berørt array til en reservestasjon før den berørte stasjonen fjernes. Dårlige steder bygges opp igjen i henhold til RAID-algoritmer, vanlige blir ganske enkelt kopiert fra en halvdårlig disk. Dette minimerer tiden matrisen er i en degradert tilstand og reduserer belastningen (siden det ikke er behov for å beregne kontrollsummer for hele matrisen).

Til nå har vi kun vurdert tilfellet når påliteligheten til hvert duplikatelement ikke er avhengig av når dette elementet ble satt i drift. Denne saken, som vi vanligvis kalte "hot standby", er den enkleste av alle mulige. Et mye mer komplisert tilfelle er når backup-elementet, før det settes i drift, ikke kan svikte i det hele tatt («kald» redundans) eller kan svikte, men med en annen, lavere sannsynlighetstetthet enn etter å ha blitt slått på («lys» redundans). .

Når vi vurderer problemer knyttet til kald eller lett backup, vil det ikke være nok for oss å introdusere påliteligheten til systemet og elementene for én, forhåndsbestemt, tidsverdi t; Det vil være nødvendig å analysere hele den tilfeldige prosessen med systemets funksjon.

La oss se på flere oppgaver knyttet til kald og lett backup.

Oppgave 1. Generelt tilfelle for beregning av påliteligheten til et overflødig system («lys» eller «kald» reserve). Systemet (blokken) består av "parallelle" tilkoblede elementer (hoved og backup). Feilstrømningshastighet for det første elementet Når det første elementet svikter, skjer en automatisk og feilsikker veksling til reserveelementet før det settes i drift (elementet fungerer i "lys"-modus).

Etter at det er satt i drift, i det øyeblikket det første elementet svikter, hopper intensiteten øyeblikkelig (fig. 7.30) og blir lik intensiteten som det er naturlig å anta avhenger ikke bare av gjeldende tidspunkt, men også av perioden hvor elementet fungerte i lysmodus:

Nødvendig for å finne systemets pålitelighet

Tenk på et sett med to tilfeldige variabler:

Øyeblikket for svikt i hovedelementet,

Øyeblikket for feil på sikkerhetskopielementet.

Hendelse A - feilfri drift av systemet frem til øyeblikk t - består i at minst en av mengdene vil ha en verdi større enn t (minst ett element vil fungere etter moment ). Sannsynligheten for den motsatte hendelsen - systemfeil før øyeblikk t - vil være

La oss finne fellesfordelingstettheten til tilfeldige variabler, som betegner den tilfeldige variabler er avhengige, og

hvor er den ubetingede fordelingstettheten til verdien - den betingede fordelingstettheten til verdien (forutsatt at verdien har tatt på seg verdien ).

La oss finne begge tetthetene. Etter formel (3.4) § 3

hvor er påliteligheten til elementet på grunn av formel (3.6) lik

La oss finne den betingede tettheten Betinget feilrate for reserveelementet, forutsatt at:

Ved denne intensiteten vil vi finne den betingede distribusjonstettheten for tidspunktet for feilfri drift av reserveelementet:

Dermed er fellesfordelingstettheten til systemet med tilfeldige variabler funnet:

Når vi kjenner denne leddtettheten, kan vi finne sannsynligheten for systemsvikt frem til øyeblikket

hvor kommer den nødvendige systempåliteligheten fra:

Når du regner med formler (6.5) - (6.6), er det nødvendig å huske på at uttrykket for funksjonen ikke er det samme på den ene og den andre siden av den rette linjen - halveringslinjen til den første koordinatvinkelen (fig. 7,31). Regioner for integrering i fig. 7.31 er merket med ulik skyggelegging. I region I uttrykkes funksjonen av den første av formler (6.5), i region II - med den andre; derfor,

(6.7)

For en gitt spesifikk form for funksjoner kan integral (6.7) beregnes, i de enkleste tilfellene analytisk, oftere - numerisk.

Merk at løsningen vi fant på problemet med å vurdere pålitelighet for tilfellet med en "lett" reserve også gjelder for tilfellet med en "kald" reserve - slik at i formel (6.7) gjenstår bare ett integral - det andre, og at også vil bli forenklet.

Vi ser at i tilfelle av selv ett reserveelement som opererer i en lett (eller kald) reserve, er oppgaven med å vurdere påliteligheten til systemet ganske kompleks. Hvis antallet reserveelementer er mer enn ett, blir oppgaven enda mer komplisert.

Problemet kan imidlertid forenkles sterkt hvis vi antar at feilstrømmene som virker på alle elementer (hoved- og backup) er de enkleste strømmene, intensiteten til hver av dem er konstant (denne antagelsen tilsvarer det faktum at pålitelighetsloven til hvert element er eksponentielt, og inkluderingselementet i arbeid endres bare av parameteren i denne loven). Med denne antakelsen kan påliteligheten til system S finnes ved å løse differensialligninger for sannsynlighetene for dets tilstander.

Oppgave 2. System med kuldereserve og enkleste feilstrømmer. Redundant system (blokk) 5 består av et hovedelement E, og to backup: Hvis elementet E] svikter, trer det i drift ved feil (fig. 7.32).

Før du slår på, er hvert av reserveelementene i "kald" reserve og kan ikke svikte. Intensiteten til feilflyten til hovedelementet Intensiteten til feilstrømmen til hvert av reserveelementene, når de er i drift, er den samme og lik Alle feilflyter er de enkleste. Det er nødvendig å bestemme påliteligheten til systemet

La oss forestille oss prosessen som skjer i systemet S som en Markov tilfeldig prosess (se kapittel 4) med kontinuerlig tid og diskrete tilstander:

Hovedelementet fungerer

Sikkerhetskopieringselementet fungerer

Ikke et eneste element fungerer.

Systemtilstandsgrafen er vist i fig. 7,33. Siden det ikke er noen restaurering av elementer, peker alle pilene på grafen i én retning.

Kolmogorov-systemet med ligninger for tilstandssannsynligheter vil være:

En normaliseringsbetingelse må legges til dem:

Fra den første ligningen uttrykker vi som en funksjon

(startbetingelsen vi integrerte denne ligningen under er ). Ved å erstatte (6.10) i den andre ligningen får vi:

Vi integrerer denne ligningen med startbetingelsen og får:

La oss erstatte denne funksjonen i den tredje ligningen (6.8); vi får:

Ligning (6.13) må også integreres, under startbetingelsen vi oppnår:

For å finne funksjonen trenger du ikke integrere den siste ligningen (6.8) - den kan finnes fra betingelse (6.9):

Oppgave 3. System med lettvektsreserve og enkleste feilstrømmer. Det redundante systemet (blokken) S består av et hovedelement og tre backup: (Fig. 7.34). Hovedelementet er utsatt for en veldig høy strøm av feil med en intensitet; hver av backup-elementene, før de slås på, er utsatt for en strøm av feil med en intensitet; etter å ha slått på backup-elementet, hopper denne intensiteten øyeblikkelig til verdien.Når hovedelementet svikter, E, kommer backupelementet i drift når det svikter osv.