Помощь по Теле2, тарифы, вопросы

При вариантах «холодного» резервирования резервное оборудование находится в выключенном состоянии и включается только при подключении резерва в работу. До включения резервного оборудования его ресурс не расходуется, и «холодное» резервирование дает самую большую ВБР.

Недостаток холодного резервирования – включение резервной аппаратуры проходит за некоторое время, в течение которого система не управляется или неработоспособна. На этом интервале ввода в строй «холодной» резервной аппаратуры источники питания выходят на режим, аппаратура тестируется, прогревается. В нее загружается необходимая информация.

В случае «горячего» резервирования все резервные элементы ЦВМ включены и готовы сразу после команды включиться в работу. Это может обеспечить меньшее время переключения на резерв. Однако ресурс включенной резервной «горячей» аппаратуры расходуется и достижимая ВБР в этом методе меньше, чем в случае «холодного» резервирования. Время переключения на резерв – важный параметр, и допустимые его значения определяются конкретной прикладной задачей.

Для системы дублированной замещением с холодным резервом ВБР равна:

Данное приближение справедливо для ВБР . Использование дублирования с холодным замещением в нашем примере ЦВМ из 100 БИС с

на каждую ВБР за один год непрерывной работы будет равна

Рдуб.х = 1 – 0,01 = 0,99. Вместо 0.9 для нерезервированной системы.

Таким образом, простое дублирование ЦВМ приводит значение её ВБР в желаемые рамки.

Для системы троированной замещением с холодным резервом ВБР равна:

Ртр.х.= 0,995

Для системы дублированной замещением с горячим резервом ВБР равна:

И для нашего примера ЦВМ будет иметь значение ВБР

Рдб.г.= 0,99

Для системы троированной замещением с горячим резервом ВБР равна:

На графике приведены изменения Р(t) для трех случаев:

1) нерезервированная система

2) система дублированная с холодным резервом

3) система дублированная с горячим резервом

Горячее резервирование троированием с восстанавливающими органами (с мажоритарными элементами).

Этот метод реализует горячее резервирование с восстановлением информации на мажоритарных элементах с голосованием по большинству.

Мажоритарный элемент – логическое устройство, работающее по большинству. Если у него на входе 011,110,101,111 ,то на выходе у него1. Если у него на входе 001,010,100,000, то на выходе у него 0.

Мажоритарный элемент (МЭ) одновременно решает задачи обнаружения отказа — выход одного из элементов отличается от двух других и подключения резервного. В случае последовательно соединения таких мажорированных троек элементов обеспечивается восстановление информации во всех элементах после отказавшего.

Система работоспособна, когда или все каналы работоспособны, или два из трех любых (таких сочетаний три) каналов работоспособны.

Здесь Р1 – ВБР каждого канала троированной системы.

Данная схема хороша не своей высокой ВБР (ВБР у систем с холодным и горячим резервированием замещением выше), а тем, что функции контроля и подключения резерва выполняются одновременно и автоматически на уровне МЭ. Специализированный мажоритарный контроль идет побитно над результатом каждой машинной операции. Здесь сами МЭ не резервированы и это недостаток примененной схемы.

В ЦВМ, резервированных по схеме троирования с мажоритарными органами, мажорированию подвергаются все разряды (поразрядно) передаваемого по шине данных числа, выбираемого из памяти или записываемого в память числа и т.п. По данным нашего примера ВБР ЦВМ с одним мажоритарным органом после выходного регистра имеет значение. Ртр.мж = 0,972

Сравнительные характеристики различных схем резервирования по ВБР, по времени перехода на резерв.

Изменение ВБР представлены в относительном времени . Это удобно, так как графики справедливы для любого . Здесь –

интенсивность отказов системы Для последовательной надежностной схемы.

Интенсивность отказа элементов, составляющих систему.

Красным цветом отмечено изменение ВБР по t для нерезервированной системы.

Хотел бы привлечь Ваше внимание к вопросам повышения отказо- и катастрофоустойчивости информационных систем на Вашем предприятии.

Информационные технологии все шире используются во всех областях деятельности. Сегодня на любом предприятии уже трудно найти производственный процесс, осуществляемый без помощи компьютерных техологий. Они стали одним из основных средств производства.

На предприятиях нефтеперерабатывающей промышленности существуют критически важные производственные и технологические процессы, любой сбой в которых может привести к крайне тяжелым или непоправимым последствиям. Многие из них управляются с помощью информационных технологий.

Наряду с этим широкое проникновение этих технологий в производство имеет оборотную сторону. Усиливается зависимость бизнеса от них. Любой компьютерный сбой приводит к простою одного или многих работников. В это время они не выполняют свою работу, следовательно, не зарабатывают прибыль. Не заработанная прибыль - это прямые убытки.

Сказанного достаточно, чтобы самым серьезным образом задуматься над решением проблемы обеспечения высокой готовности и отказоустойчивости информационных систем.

Наша компания продвигает и внедряет системы повышенной надежности информационных систем на основе технологий и программного обеспечения лидеров рынка.

Программное обеспечение, а также аппаратные комплексы предназначены для обеспечения непрерывной работы технических и программных средств, функционирующих под управлением операционных систем Windows и Linux. Оно устанавливается на двух идентичных серверах и позволяет продолжать выполнение запущенных приложений в случае отказа или сбоя любого из серверов, исключая даже незначительные перерывы в работе пользователей.

Основными преимуществами предлагаемых нами решений являются:

∙ Экономичность — совокупная стоимость владения значительно ниже, чем у других систем высокой готовности при более высоких параметрах надежности и живучести.

∙ Простота — это единственная технология высокой готовности, которая так же легка для администрирования, как и единый сервер. Установка и эксплуатация не требуют больших затрат на подготовку персонала.

∙ Минимальное время простоя — отказы элементов серверов практически никак не влияют на производительность и целостность данных.

Виды резервирования

∙ Катастрофоустойчивость — позволяет сохранять работоспособность сервера даже при физическом уничтожении одного из узлов, при этом узлы могут территориально находиться на разных этажах здания, в разных зданиях или даже в разных городах.

∙ Полная защита информации — данные не теряются даже в случае отказа одного из узлов.

∙ Открытая архитектура — все компоненты системы абсолютно стандартны, применение специальных аппаратных средств, модифицированных или специально написанных драйверов устройств не требуется.

Наши решения успешно применяется в составе современных систем управления производственными и бизнес-процессами, мониторинга технического состояния оборудования, анализа и оценки обстановки, сбора и обработки важной информации, потеря которой связана с непоправимым ущербом. А также обеспечивают отказоустойчивость работы автоматизированных систем управления технологическими процессами, применяются для обеспечения безопасности объектов, в составе систем видеонаблюдения и контроля доступа,

Было бы целесообразным с учетом имеющегося у нас положительного опыта внедрения отказоустойчивых технологий совместно рассмотреть вопрос о расширении их использования в рамках единой технической политики в том числе и в целях предотвращения экстренных и критических ситуаций на Вашем объекте.

Мы готовы предоставить дополнительную информацию и провести демонстрацию данных технологий.

Резервирование в электроснабжении

2.4.1 .Виды резервирования

На стадии проектирования СЭС для обеспечения требуемой надежности приходится во многих случаях как минимум дублировать отдельные элементы и даже отдельные системы, т.е. использовать резервирование.

Резервирование характерно тем, что оно позволяет повысить надежность системы по сравнению с надежностью составляющих ее элементов. Повышение надежности отдельно взятых элементов требует больших материальных затрат. В этих условиях резервирование, например, за счет введения дополнительных элементов, является эффективным средством обеспечения требуемой надежности систем.

Если при последовательном соединении элементов общая надежность системы (т.е. вероятность безотказной работы) ниже надежности самого ненадежного элемента, то при резервировании общая надежность системы может быть выше надежности самого надежного элемента.

Резервирование осуществляется путем введения избыточности. В зависимости от природы последней резервирование бывает:

Структурное (аппаратное);

Информационное;

Временное.

Структурное резервирование заключается в том, что в минимально необходимый вариант системы, состоящей из основных элементов, вводятся дополнительные элементы, устройства или даже вместо одной системы предусматривается использование нескольких одинаковых систем.

Информационное резервирование предусматривает использование избыточной информации. Его простейшим примером является многократная передача одного и того же сообщения по каналу связи. Другим примером являются коды, применяемые в управляющих ЭВМ для обнаружения и исправления ошибок, возникающих в результате сбоев и отказов аппаратуры.

Временное резервирование предусматривает использование избыточного времени. Возобновление прерванного в результате отказа функционирования системы происходит путем ее восстановления, если имеется определенный запас времени.

Существуют два метода повышения надежности систем путем структурного резервирования:

1) общее резервирование, при котором резервируется система в целом;

2) раздельное (поэлементное) резервирование, при котором резервируются отдельные части (элементы) системы.

Схемы общего и раздельного структурного резервирования представлены соответственно на рис. 2.6. и 2.7., где n — число последовательных элементов в цепи, m – число резервных цепей (при общем резервировании) или резервных элементов для каждого основного (при раздельном резервировании).

При m = 1 имеет место дублирование, а при m =2 – троирование. Обычно стремятся по возможности применять раздельное резервирование, т.к. при этом выигрыш в надежности часто достигается значительно меньшими затратами, чем при общем резервировании.

В зависимости от способа включения резервных элементов различают постоянное резервирование, резервирование замещением и скользящее резервирование.

Постоянное резервирование – это такое резервирование, при котором резервные элементы участвуют в работе объекта наравне с основными. В случае отказа основного элемента не требуется специальных устройств, вводящих в действие резервный элемент, поскольку он включается в работу одновременно с основным.

Резервирование замещением – это такое резервирование, при котором функции основного элемента передаются резервному только после отказа основного. При резервировании замещением необходимы контролирующие и переключающие устройства для обнаружения факта отказа основного элемента и переключения с основного на резервный.

Включение резервного оборудования замещением. Холодное и горячее резервирование.

Скользящее резервирование – представляет собой разновидность резервирования замещением, при котором основные элементы объекта резервируются элементами, каждый из которых может заменить любой отказавший элемент.

Оба вида резервирования (постоянное и замещением) имеют свои преимущества и недостатки.

Достоинством постоянного резервирования является простота, т.к. в этом случае не требуются контролирующие и переключающие устройства, понижающие надежность системы в целом, и, самое главное, отсутствует перерыв в работе. Недостатком постоянного резервирования является нарушение режима работы резервных элементов при отказе основных.

Включение резерва замещением обладает следующим преимуществом: не нарушает режима работы резервных элементов, сохраняет в большей степени надежность резервных элементов, позволяет использовать один резервный элемент на несколько рабочих (при скользящем резервировании).

В зависимости от режима работы резервных элементов различают нагруженный (горячий) и ненагруженный (холодный) резерв.

Нагруженный (горячий) резерв в энергетике называют также вращающимся или включенным. В данном режиме резервный элемент находится в том же режиме, что и основной. Ресурс резервных элементов начинает расходоваться с момента включения в работу всей системы и вероятность безотказной работы резервных элементов в этом случае не зависит от того, в какой момент времени они включаются в работу.

Облегченный (теплый) резерв характеризуется тем, что резервный элемент находится в менее нагруженном режиме, чем основной. Поэтому, хотя ресурс резервных элементов также начинает расходоваться с момента включения всей системы в целом, интенсивность расхода ресурса резервных элементов до момента их включения вместо отказавших значительно ниже, чем в рабочих условиях.

Этот вид резерва обычно размещается на агрегатах, работающих на холостом ходу, и, следовательно, в данном случае ресурс резервных элементов срабатывается меньше по сравнению с рабочими условиями, когда агрегаты несут нагрузку.

Вероятность безотказной работы резервных элементов в случае этого вида резерва будет зависеть как от момента их включения в работу, так и от того, насколько отличаются законы распределения вероятности безотказной работы их в рабочем и резервном условиях.

В случае ненагруженного (холодного) резерва резервные элементы начинают расходовать свой ресурс с момента их включения в работу вместо основных. В энергетике этим видом резерва служат обычно отключенные агрегаты.

Расчеты надежности систем с параллельно включенными элементами зависят от способа резервирования.

⇐ Предыдущая13141516171819202122Следующая ⇒

Похожая информация:

Поиск на сайте:

В практике построения высокодоступных систем, прежде всего IT, существует понятие “единой точки отказа” (SPOF, Single Point Of Failure). Любая система высокой доступности данных стремится не иметь в своей архитектуре узла, линии связи или объекта, отказ которого может вывести из строя всю систему, или вызвать недоступность данных.

Все это так. Однако я обратил внимание, что в последнее время, в особенности в IT-шной среде возникло своеобразное “фетиширование” вот этого вот “отсутствия единой точки отказа”. Широко распространилось мнение, что “отсутствие единой точки отказа” это синоним “хорошо” и “система правильная ”, а ее присутствие – “плохо” и “система неправильная ”. �?

холодный резерв

на этом исследование вопроса архитектурной правильности заканчивается. Однако, как и в любом другом деле, суть, на самом деле, лежит несколько глубже.

Дело в том, что “отсутствие единой точки отказа” это “инструмент” для достижения высокой доступности, но не “цель”. “No SPOF” это одно из средств достижения доступности, но не сама доступность как таковая, средство, одно из, а не цель, часто необходимое, но не достаточное условие.

Что же, в таком случае, на самом деле определяет годность решения?

Мне представляется, что это удовлетворение требованиям по RPO/RTO для данной конкретной бизнес-задачи.

Термины RPO/RTO хорошо известны специалистам в области защиты данных и резервного копирования. RPO, Return Point Objective – это “точка доступности данных”, в случае их потери. RTO, Return Time Objective – это время, которое неоьходимо системе для восстановления своей работы, и возобновления обслуживания.

Например, если вы делаете резервное копирование вашей базы данных раз в сутки по вечерам, после окончания рабочего дня, в 21:00, то RPO для вашей системы будет 21:00 вечера предыдущего дня, то есть момент начала создания резервной копии.

Допустим, вы потеряли данные, восстановили их из бэкапа по состоянию на 21 час прошлого дня. Восстановление базы заняло 40 минут. Если у вас работает база данных, то вам еще надо актуализировать ее состояние из archive logs, накатив изменения, записанные с 21:00 по текущее время. Допустим, это заняло 15 минут. �?того, RTO, в вашем случае – 55 минут.

Плохо это или хорошо? Невозможно ответить с точки зрения IT. Ответ должен дать бизнес, которому вы служите. Для какой-то задачи даже 10 минут простоя это много. Какая-то вполне готова подождать пару часов, а какие-то задачи вполне могут и сутки постоять, ничего страшного не случится. Падение биржи NYSE может быть чревато паникой в масштабах глобальной экономики. Падение сети обслуживания банкоматов крупного банка, который за 10 минут периода простоя мог бы обработать десятки тысяч обращений “физиков”, это еще не паника, но все еще очень неприятно. А хостинг домашних страничек вполне может и сутки полежать с сообщением “�?звините, ведутся работы”, в лучшем случае выплатив клиентам неустойку за сутки простоя.

Разумеется, бизнес будет требовать нулевого RPO/RTO, это всегда так, они всегда это требуют. 🙂 Однако следует помнить, что все стоит денег, и каждое улучшение ситуации с временем недоступности стоит денег, причем часто растет по экспоненте, каждое следующее улучшение этих параметров обойдется бизнесу все дороже и дороже.

Поэтому, как правило, бизнес и IT обычно приходят к некоему компромиссу. Компромисс этот, как правило, сегментирован по задачам. Но в конечном счете бизнес и IT, совместно вырабатывают какие-то требования по RPO/RTO.

�? система, которая выполняет эти требования, система, удовлетворяющая этим требованиям бизнеса, за примелемые для бизнеса деньги – это хорошая система . Система, которая не удовлетворяет им – плохая .

Обратите внимание, что в моем опредении “плохой” и “хорошей” системы я не использовал понятие “отсутствия единой точки отказа” вовсе.

Может ли быть хорошей, то есть удовлетворять требованиям бизнеса по RPO/RTO, система с наличием “единой точки отказа”? Да запросто. Если период восстановления работоспособности системы укладывается в заданные рамки – да пусть сколько угодно там будет точек отказа. В особенности, если ликвидация в решении всех “единых точек отказа” экономически нецелесообразна, потому что чрезмерно дорога для решаемой бизнесом задачи.

Помните, что надежность, это комплексный параметр, зависящий от множества факторов и множества участников. Создание сверхнадежного стораджа для хранения данных не сделает сверхнадежной вашу IT-систему, если к этому сверхнадежному, кластерному, без единой точки отказа, и по FC Dual Fabric подключены ненадежные сервера, без кластеризации и с истекшим сервисным контрактом, выполняющие собственно бизнес-приложение и бизнес-функцию. Помните, что как и в случае морской эскадры, скорость которой определяется скоростью самого медленного в ней корабля, надежность IT-системы определяется надежностью самого слабого в ней звена , а отнюдь не самого надежного.

В надежности нет “волшебной пули”, как нет и абсолютной надежности. �? наличие или отсутствие “единой точки отказа” в вашей части IT-системы может никак не отражаться на надежности бизнес-системы в целом. Всегда следует смотреть глубже, и задаваться целью, выполняются ли требования по RPO/RTO, необходимые бизнесу, и сколько это стоит. �? можно ли за те же деньги, или дешевле, найти решение, улучшающее этот показатель, и каким образом.

А не просто фетишировать на один из множества инструментов для достижения этой цели.

Метки: RPO, RPO/RTO, RTO, SPOF
Рубрика: justread | Комментариев нет

Резервирование дисков и каналов

При использовании зеркального диска есть вероятность повреждения единых для обоих дисков канала, контроллера и блока питания.

OS NetWare 386 может резервировать целиком каналы, при этом используются два контроллера, к которым соответственно подключены два диска. Для питания этих контроллеров и дисков используются два блока питания.

Горячее резервирование серверов

Восстановление данных с зеркального диска может потребовать, в зависимости от объема диска, времени порядка нескольких часов. Иногда такая задержка в работе сети является совершенно недопустимой.

Относительно недавно фирма Novell разработала сетевую OS NetWare System Fault Tolerance Level III (SFT III) версии 3.11. Эта OS обеспечивает горячее резервирование серверов.

Система NetWare SFT III состоит из двух серверов, соединенных между собой скоростной линией связи, с использованием специальных адаптеров MSL (Mirrored Server Link).Эти адаптеры могут соединяться коаксиальным кабелем длиной до 33 метров или оптоволоконным кабелем длиной до 4 километров.

Выход из строя одного сервера не влечет за собой остановку работы сети — в дело автоматически включается резервный сервер. Благодаря высокоскоростному каналу связи диски резервного сервера содержат те же файлы, что и диски основного, поэтому никакого восстановления данных не требуется. Можно ремонтировать один из двух используемых серверов без остановки всей системы, что очень важно, если система должна работать круглосуточно.

Глава II. Техническое построение локальной сети

Постановка задачи

Целью курсовой является организация локальной сети и выход в Интернет в жилом доме

Для решения поставленной цели в курсовой работе решаются следующие задачи:

· Выбор топологии и кабельной системы сети;

· Выбор сетевого оборудования;

· Выбор программного обеспечения.

Необходимо разработать рациональную, гибкую структурную схему сети жилого дома, предусмотреть режимы быстрого обновления оперативной информации на сервере, а так же проработать вопросы необходимого уровня защиты данных.

Построение сети

Для решения первой задачи мною была выбрана топология «Звезда» так как:

Традиционно считается, что локальные сети должны строиться по топологии "звезда", а кольцевая архитектура присуща серьезным телекоммуникационным системам на основе SDH/ATM (это очень эффективное средство повышения надежности в телефонии, где несколько АТС могут продолжать работать независимо от вышедшего из строя узла).

Однако, любая многосвязная архитектура более надежна, чем простое соединение. И кольцо Ethernet не исключение. С распространением недорогих коммутаторов, поддерживающих STP (протокол покрывающего дерева), использование резервных связей стало достаточно простым процессом, не требующим вмешательства администраторов сети.

Горячий резерв

При использовании "кольца" в случае выхода из строя какого-либо узла (или части кабельной системы) работоспособность сети в целом сохраняется.

Однако, кольцевая топология является избыточной по числу связей, а значит и более дорогой. А вопрос надежности стоит не слишком остро из-за небольших размеров ЛВС.

Очевидно что с точки зрения надёжности предпочтительнее топология «кольцо», но так как для домашней сети значительнее актуальнее вопрос стоимости сети и, учитывая, трудности возникающие при прокладке кабеля, то в итоге топология «звезда» является наиболее оптимальной.

Для решения задачи выбора кабельной системы сети мною был выбран кабель витая пара категории «cat5e» так как:

Для абонентской системы здания оптимальным выбором служит витая пара категории 5е. Она позволяет передавать данные со скоростью 100мбит/c, удобна в прокладке, обладает достаточно низкой стоимостью и отвечает всем требованиям по надёжности, предъявляемым к абонентской системе.

Учитывая низкий общий бюджет проекта, очевидным выбором для магистральных соединений становилась витая пара категории 5e для внешней проводки. Её существенным недостатком является низкий уровень защищённости от внешних электромагнитных наводок и статического напряжения, что сказывается на общей надёжности сети, но этот недостаток подавляется прокладкой кабеля в специальных кабель каналах, отдельно от общедомой электропроводки.

Для решения задачи выбора сетевого оборудования, мною были выбраны 2 коммутатора D-Link DES-3028, так как управляемые коммутаторы второго уровня серии DES-3028 представляют собой наиболее эффективное решение в категории управляемых сетевых коммутаторов начального уровня. Обладая богатым функционалом, эти коммутаторы предоставляют недорогое решение по созданию безопасной и эффективной сети отделов предприятий малого и среднего бизнеса, а также промышленных предприятий. Также эта серия является оптимальным по соотношению «цена/функционал» решением уровня доступа сети провайдера услуг. Отличительными функциями данного коммутатора являются высокая плотность портов, 4 гигабитных порта Uplink, небольшой шаг изменения настроек для управления полосой пропускания и улучшенное сетевое управление. Эти коммутаторы позволяют оптимизировать сеть как по функционалу, так и по стоимостным характеристикам.

Главный и идинственный сервер в сети должен обеспечивать:

· WEB — сервер

· Файловое хранилище

· P2P – трекер

· Выступать посредником между серверами интернет-провайдера и локальной сетью

Для решения этой задачи мною было принято решения отказатся от специализированных серверных решений и выбрать систему примерной конфигурации:

· Процессор: Core 2 Quad Q9650

· Память: 8Gb DDR II

· 2x 1,5Tb HDD обьедененых в RAID 0

В качестве сетевой ОС была выбрана Ubuntu Server x64, так как эта ОС имеет ряд огромных плюсов, такких как:

· Бесплатность в отличии, например, от Windows Server

· Гибкость конфигурации

· Наличие всего необходимого софта в базовом пакете

· Поддердка практически всего оборудования

· Регулярные обновления и наличие русскоязычного сайта поддержки

Резервирование является мощным средством повышения надежности информационных систем. Существуют различные способы включения резервной аппаратуры :

постоянное резервирование;

резервирование замещением.

При резервирование замещением резервные единицы замещают основные только после их отказа. Различают три режима работы при резервирование замещением:

1) нагруженный или горячий резерв ;

2) облегченный или теплый резерв ;

3) ненагруженный или холодный резерв .

Холодный резерв имеет следующие преимущества:

Сохранение постоянных электрических режимов схемы;

Обеспечение максимального использования резервных единиц.

Будем считать, что надежности переключающих устройств равны. Резервные элементы находятся в тех же внешних условиях, что и основной элемент, который является рабочим. Всего в состав группы входит S элементов: 1 рабочий и S-1 – резервные. Интенсивность отказов – λ. Тогда граф переходов системы будет иметь следующий вид

Рис.2. Граф переходов для системы с холодным резервированием

Уравнения Колмогорова для подобных систем в общем виде выглядят таким образом:

Здесь учтено, что для состояний, не имеющих непосредственных переходов, можно считать

Для системы, граф которой изображен на рисунке 1, получаем следующую систему дифференциальных уравнений:

(5)

1. Решим данную систему уравнений, используя преобразования Лапласа. При этом будем использовать следующие соотношения:

Получаем систему алгебраических уравнений относительно комплексной переменной

Последовательно перемножая эти уравнения, находим вероятность отказа системы

Используя соотношение

переходим в область оригиналов

(7)

Вероятность безотказной работы резервированной системы найдется как

С учетом соотношения

(9)

получаем формулу для оценки вероятности безотказной работы резервированной системы

(10)

Как видно из выражения (10), вероятность исправной работы не подчиняется экспоненциальному закону, поэтому нельзя среднее время исправной работы определять из выражения . В этом случае среднее время безотказной работы можно найти как

2. Систему дифференциальных уравнений (5) можно решить численными методами. В среде MathCAD имеется возможность решения обыкновенных дифференциальных уравнений (0ДУ) и систем ОДУ. Для этой цели можно использовать метод Рунге – Кутты с постоянным шагом (процедура rkfixed ). В данной процедуре задается количество шагов N (число узлов сетки), отрезок, на котором ищется решение , вектор (или скаляр) начальных условий y и вектор правых частей системы дифференциальных уравнений f(x,y) . Вектор f(x,y) задан системой уравнений Колмогорова (5), начальные условия определяются из условий задачи (обычно вероятность нахождения системы в начальном состоянии равна единице, т.к. система в начале работы исправна, а остальные вероятности равны нулю). Отрезок соответствует времени, при котором необходимо оценить работоспособность (вероятность исправной работы) системы. Количество шагов N выбирает исследователь, исходя из требований точности решения задачи и наглядности представления результатов.

Таким образом, обращение к заданной процедуре может иметь следующий вид:

Более подробно анализ надежности систем с помощью численного метода рассмотрен в примере, приведенном ниже.

3. Анализ надежности системы с холодным резервированием методами имитационного моделирования .

При холодном резервировании система состоит из одного основного элемента и нескольких резервных. Работу такой системы можно представить как последовательное прохождение транзакта через несколько последовательных каналов обслуживания. Транзакт в этом случае представляет собой указатель работающего в данный момент времени элемента. В начале работы транзакт помещается в первый канал и задерживается там на время исправной работы первого элемента. После выхода из строя основного элемента транзакт поступает в первый резервный элемент и т.д. При возникновении неисправности в последнем резервном элементе транзакт покидает модель системы через блок TERMINATE 1 с меткой BAD.

Начинается работа моделирующей программы вводом в систему одного транзакта в момент времени t 0 , в который необходимо оценить работоспособность системы. Транзакт, войдя в систему, последовательно захватывает и освобождает все каналы системы, отправляя транзакт из одного из каналов (если он находится хотя бы в одном из них) на блок TERMINATE 1 с меткой GOOD.

Повторяя эту процедуру достаточно большое число раз, можно рассчитать вероятность исправной работы системы в момент t 0 . Действительно, очередной транзакт, войдя в систему, отправляет предыдущий на метку GOOD, если тот находился в одном из каналов, т.е. система была в рабочем состоянии. Отношение числа транзактов, прошедших через метку GOOD, к общему числу транзактов дает вероятность исправной работы системы через время t 0 с момента ее запуска. При проходе первого транзакта возникает погрешность за счет того, что он всегда будет идентифицировать состояние системы как неисправное. Однако при большом числе запусков программы с помощью оператора START (например 10000), эта погрешность исчезающее мала.

Захват системы (например системы с именем sys2 ) и ее освобождение реализуется парой операторов

preempt sys2,go,re

return sys2

(операнд re означает, что данный транзакт больше не будет обрабатываться системой).

Второй способ имитационного моделирования систем с холодным резервированием основывается на использовании трех сегментов GPSS – программы.

Первый сегмент имитирует работу системы. Блок GENERATE вводит в начальный момент общее количество транзактов - элементов резервируемой системы (работающий и резервные). Следующий оператор - SPLIT - создает копию этих транзактов, чтобы через какое- то время, достаточное для того, чтобы все введенные оператором GENERATE транзакты заведомо покинули систему, повторить процесс. Первый транзакт, прошедший оператор SPLIT, занимает канал обслуживания, задерживается в нем на время исправной работы и покидает систему через оператор TERMINATE без операнда, т е. не уменьшая счетчик числа завершений. Т.о. первый сегмент программы может иметь следующий вид:

Описание экспоненциальной функции c именем EXP

GENERATE ,3 система содержит 1 рабочий и 2 резервных элемента

L1 SPLIT 1,L2

SEIZE COMP

ADVANCE 20,FN$EXP среднее время работы – 20 единиц времени

RELEASE COMP

TERMINATE

L2 ADVANCE 500 задержка на время, достаточное для ухода трех

TRANSFER ,L1 транзактов из системы

Во втором сегменте производится проверка работоспособности системы через время t 0 после запуска системы в работу. Проверка проводится оператором TEST, который может иметь такой вид:

Test E F$comp,1,L4

Транзакт проходит через блок TEST на следующий оператор, только в том случае, если прибор с именем comp занят. В противном случае транзакт отправляется на метку L4.

Для подсчета числа успешных проверок можно пропустить транзакт, прошедший через оператор TEST, через фиктивный прибор, который используется в качестве счетчика.

Второй сегмент программы может выглядеть таким образом

GENERATE ,1

L3 ADVANCE 60 проверка производится через 60 единиц

TEST E F$comp,1,L4 системного времени после начала работы

SEIZE NUMBER системы

RELEASE NUMBER

L4 ADVANCE 440 временная задержка для синхронизации

TRANSFER , L3 транзактов первого и второго сегментов

Третий транзакт управляет временем моделирования.

Для подсчета доли успешного числа проверок можно поставить метку у оператора TEST. В этом случае вероятность исправной работы найдется из отношения транзактов, прошедших через прибор NUMBER к общему числу транзактов, прошедших через указанную метку.

Похожая информация.

1. Нормальный режим

Особенность энергосистемы состоит в том что процессы выработки и потребления электрической энергии происходят одновременно, тоесть невозможно накапливать выработанную электрическую энергию в заметных количествах. Поэтому для источника питания и электрических потребителей в каждый момент должен соблюдаться баланс:

· активных мощнастей ;

· реактивніх мощнастей ,

где Р г, Q г – соответственно активная и реактивная мощность генераторов ИП;

Мощность потребляемых нагрузок;

Потери мощности в сетях;

Мощности собственных нужд.

В нормальном установившемся режиме все генераторы имеют синхронную частоту. Отключение частоты (𝜟f) – один из основных показателей качества электроэнергии (ПКЭ), в нормальном режиме допускается отклонение на ±0,2 Гц. При нарушении баланса активной мощности изменяется частота вращения генератора, а следовательно и частота переменного тока.

При ƩР Г < ƩРп - частота снижается (например при резком увеличении нагрузки в связи с включением большого числа электрических нагревателей при падении температуры воздуха).

При ƩР г > ƩР П - частота растет, при уменьшении нагрузки, ту рбины начинают разгонятся и вращаются быстрее.

Следствием больших отклонений частоты могут являться:

· выход из строя электрических станций;

· понижение производительности двигателя;

· нарушение технологического процесса;

· брак продукции.

А при недопустимых снижениях частоты происходит развал системы.

При аварийных отключениях генератора или линий с трансформаторами, допускается 𝜟f = +0,5 Гц, 𝜟f = -1 Гц, общей продолжительности на год, не более 90 часов.

Рост частоты можно ликвидировать уменьшением мощности генератора или отключением части из них, при понижении частоты:

· мобилизация резервов;

· использованием автоматического частотного регулирования (АЧР).

На электростанциях должен быть «горячий» резерв мощности (когда генератор нагружают до мощности меньшей номинальной), в таком случае они быстро набирают нагрузку при внезапном нарушении баланса мощности и « холодный » резерв (ввод нового генератора). Кроме резерва мощности на электростанциях системы необходимый резерв по энергии на ТЭС должен быть обеспечен соответствующий запас топлива, а на ГЭС - запас воды.

Если резерв электростанции исчерпан, а частота в системе не достигла номинального значения, то в действия вступают устройства АЧР, которые предназначены для быстрого восстановления, путем отключения части менее ответственных потребителей (в первую очередь отключения потребителей 3 категории надёжности).

При полной нагрузке генераторов по активному току в системе может возникнуть дефицит реактивной мощности, если же реактивная нагрузка потребителей значительно превысит возможную, реактивную мощность генераторов (при отключении части из них), то произойдет такое понижение напряжения, при котором ток потребителей значительно увеличится, что приведет к дальнейшему снижению напряжения и т.д. Такое снижение напряжения в системе называется лавиной напряжений.

В современных системах для предохранения от аварийного лавинного напряжения все генераторы снабжают автоматическим регулятором напряжения и быстродействию форсировки возбуждения, следовательно в системе всегда должен быть определенный резерв реактивной мощности, для этого делают компенсацию реактивной мощности.

2. Использование генератора в режиме синхронного компенсатора

Синхронный компенсатор – это генератор без нагрузки на валу.

Турбогенераторы и гидрогенераторы могут работать в режиме синхронного компенсатора.

3. Аномальные режимы:

· перегрузка (работа с током статора и ротора больше номинального);

· асинхронный режим;

· несимметричный режим.

Кратковременная перегрузка по току статора и ротора обычно бывает вызвана:

· внешними короткими замыканиями;

· выпадом генератора из синхронизма;

· форсированным возбуждением.

При этом повышается температура обмоток генератора, а при коротком замыкании возможно и механическое повреждение, поэтому допускается только кратковременная перегрузка, которая зависит от системы охлаждения.

Асинхронный режим работы генератора возникает при:

· потери возбуждения генератора в следствии повреждения в системи возбуждения;

· выпадения генератора из синхронизма из-за КЗ в сети;

· резкого сброс или наброса нагрузки.

Несимметричные режимы работы генератора могут быть вызваны обрывами и отключениями одной фазы сети, однофазной нагрузки в виде электрической тяги и плавильных печей и др.

При вариантах «холодного» резервирования резервное оборудование находится в выключенном состоянии и включается только при подключении резерва в работу. До включения резервного оборудования его ресурс не расходуется, и «холодное» резервирование дает самую большую ВБР.

Недостаток холодного резервирования – включение резервной аппаратуры проходит за некоторое время, в течение которого система не управляется или неработоспособна. На этом интервале ввода в строй «холодной» резервной аппаратуры источники питания выходят на режим, аппаратура тестируется, прогревается. В нее загружается необходимая информация.

В случае «горячего» резервирования все резервные элементы включены и готовы сразу после команды включиться в работу. Это может обеспечить меньшее время переключения на резерв. Однако ресурс включенной резервной «горячей» аппаратуры расходуется и достижимая ВБР в этом методе меньше, чем в случае «холодного» резервирования. Время переключения на резерв – важный параметр, и допустимые его значения определяются конкретной прикладной задачей.

Для системы дублированной замещением с холодным резервом ВБР равна:

Данное приближение справедливо для ВБР . Для системы троированной замещением с холодным резервом ВБР равна:

Для системы дублированной замещением с горячим резервом ВБР равна:

Для системы троированной замещением с горячим резервом ВБР равна:

На графике приведены изменения Р(t) для трех случаев:

1) нерезервированная система

2) система дублированная с холодным резервом

3) система дублированная с горячим резервом

Изменение ВБР представлены в относительном времени . Это удобно, так как графики справедливы для любого . Здесь – интенсивность отказов системы

Для последовательной надежностной схемы.

Интенсивность отказа элементов, составляющих систему.

Резервирование является практически единственным и широкое используемым методом кардинального повышения надежности систем автоматизации. Оно позволяет создавать системы аварийной сигнализации, противоаварийной защиты, автоматического пожаротушения, контроля и управления взрывоопасными технологическими блоками [Денисенко ] и другие, относящиеся к уровням безопасности SIL1...SIL3 по стандарту МЭК 61508-5 [МЭК ], а также системы, в которых даже короткий простой ведет к большим финансовым потерям (системы распределения электроэнергии, непрерывные технологические процессы). Резервирование позволяет создавать высоконадежные системы из типовых изделий широкого применения.

Составной частью систем с резервированием является подсистема автоматического контроля работоспособности и диагностики неисправностей.

Большая доля отказов в системах автоматизации приходится на программное обеспечение. Однако этой теме посвящено множество специализированных книг и журнальных статей (см., например [Черкесов ]), поэтому мы ее касаться не будем.

8.1. Основные понятия и определения

Основные определения понятий теории надежности и надежности, связанной с функциональной безопасностью, даны в ГОСТ 27.002-89 [ГОСТ ] и МЭК 61508 [МЭК - МЭК ]. Ниже приводится ряд определений, которые потребуются нам для дальнейшего изложения.

Интенсивностью отказов называется условная плотность вероятности возникновения отказа объекта, определяемая при условии, что до рассматриваемого момента времени отказ не возник. При испытаниях на надежность количество исправных элементов с течением времени уменьшается за счет того, что часть из них становятся неисправными через время в результате отказа. Интенсивность отказа определяется пределом

=.

Длительность безотказной работы элемента (от момента включения до ) является случайной величиной, поэтому ее можно характеризовать вероятностью , где - число исправных элементов в момент времени , - число исправных элементов в момент времени . При конечном числе испытуемых элементов вместо вероятности получают ее точечную статистическую оценку.

Вероятность безотказной работы можно интерпретировать следующим образом: если в системе автоматизации используется 100 модулей ввода-вывода, каждый из которых имеет вероятность безотказной работы =0,99 в течение времени =1 год, то через год после начала эксплуатации в среднем один из модулей станет неработоспособен.

Поделив числитель и знаменатель в (6.1) на , получим

Вероятность отказа , по определению, равна

.

Интенсивность отказов обычно быстро уменьшается в начале эксплуатации изделия (период приработки), затем длительное время остается постоянной () и после исчерпания срока службы резко возрастает.

Поскольку для средств промышленной автоматизации как правило, указывают значение , выражение (8.3) в этом случае упрощается:

Таким образом, вероятность безотказной работы устройства на интервале времени от до экспоненциально уменьшается с течением времени, если устройство прошло этап приработки и не выработало свой ресурс. Эта вероятность не зависит от того, как долго устройство проработало до начала отсчета времени [Черкесов , Александровская ], т.е. не играет роли, используется бывшее в употреблении устройство, или новое. Это кажущееся парадоксальным утверждение справедливо только для экспоненциального распределения и объясняется тем, что выражение (8.5) получено в предположении, что снижение ресурса изделия с течением времени не происходит, а причины отказов распределены во времени в соответствии с моделью белого шума.

Вероятность отказа за время , по определению, равна , а плотность распределения времени до отказа (частота отказов) равна производной от функции распределения:

Зная плотность распределения (8.7), можно найти среднюю наработку до первого отказа , которая, по определению, является математическим ожиданием случайной величины - длительности безотказной работы , т.е.

.

Интегрирование в (8.8) выполняется по частям.

Наработка до отказа является основным параметром, который указывается в эксплуатационной документации на электронные средства промышленной автоматизации. Поскольку при из (8.5) получается , то наработку на отказ можно интерпретировать следующим образом: если в системе автоматизации имеется 100 модулей ввода-вывода, то через время после начала эксплуатации останется в среднем 37 работоспособных и 63 отказавших модулей. Иногда наработку на отказ неправильно интерпретируют как время, в течение которого устройство почти наверняка будет работоспособно, и только после истечения этого времени наступит отказ.

При анализе надежности систем, связанных с безопасностью, вместо вероятности отказа используется понятие "вероятность отказа при наличии запроса " (подробнее см. раздел "Функциональная безопасность"), т. е. вероятность отказа при наличии необходимости быть в состоянии готовности. Например, если рассматривается система охраны нефтебазы, то нужно учитывать вероятность отказа системы во время попытки проникновения нарушителей на базу, а не в то время, когда их нет. Отсюда следует вывод, что с точки зрения надежности охраны нужно рассматривать вероятность несрабатывания датчика охранной сигнализации на интервале времени, в течение которого может появиться нарушитель, и не нужно учитывать вероятность ложного срабатывания системы, поскольку она не влияет на выполнение функции охраны. Классическая же теория надежности учитывает оба вида отказов.

В системах, связанных с безопасностью, наработка до отказа рассматривается отдельно для опасных и безопасных отказов. Безопасным считается отказ, не вызывающий опасную ситуацию на объекте. Рассмотрим, например, систему аварийного отключения , в которой исчезновение питания приводит к обесточиванию обмотки реле и поэтому реле отключает нагрузку, переводя ее тем самым в безопасное состояние. В такой системе отказ источника питания обмотки реле является безопасным отказом и поэтому не учитывается при расчете вероятности отказа при наличии запроса. Однако отказ такого же источника питания в системе автоматического пожаротушения, когда необходимо, наоборот, подать напряжение на насосы, рассматривается как опасный отказ. Поэтому средняя вероятность отказа при наличии запроса в двух рассмотренных системах будет различной несмотря на применение блока питания с одним и тем же значением наработки до отказа.

Учет обычной наработки до отказа при проектировании систем безопасности может привести к неоправданно заниженным показателям надежности и невозможности достижения требуемого уровня безопасности.

Фактические значения наработки до отказа систем с резервированием оказываются гораздо ниже расчетных. Это связано с существованием так называемых отказов по общей причине (ООП), которые происходят одновременно у основного элемента и резервного и которые составляют основную долю отказов в системах автоматизации. Предположим, например, что резервированная система находится в помещении, которое оказалось затопленным водой или охваченным пожаром. Отказ основного элемента и резерва при этом наступит одновременно. Другим примером может быть одновременный обрыв основного и резервного кабеля в результате земляных работ. Третьим примером может быть применение двух контроллеров с процессорами из одной и той же партии, которая была изготовлена с применением просроченной паяльной пасты. Следующим примером может быть применение двух датчиков давления одной и той же конструкции, от одного и того же производителя, которые окислились и разгерметизировались одновременно. Электромагнитный импульс молнии или импульс в сети электропитания может явиться причиной отказа основного и резервного оборудования одновременно. Во всех приведенных примерах существует сильная корреляция между случайными величинами, вызывающими отказ основного и резервного элемента.

Для уменьшения коэффициента корреляции (снижения влияния общих причин отказов) нужно по возможности выбирать элементы системы от разных производителей, выполненные на разных физических принципах, с применением различных материалов, различных технологических процессов и с разным программным обеспечением. Основное и резервное оборудование, включая кабели, датчики и исполнительные механизмы желательно разносить территориально, а монтаж основной и резервной системы должны выполнять разные люди или разные монтажные организации, чтобы исключить появление одинаковых ошибок монтажа и одинаково ошибочную интерпретацию руководства по эксплуатации монтируемого изделия.

Общие факторы, влияющие на всю систему, учитываются в моделях отказа как последовательно включенное звено со своей наработкой на отказ.