Повышение надежности за счет резервирования оборудования

Резервирование - один из самых распространенных и кардинальных способов повышения надежности и живучести вычислительных систем. Однако, за резервирование приходится расплачиваться значительным увеличением габаритов, массы и потребляемой мощности.

Так же при этом усложняется проверка аппаратуры и ее обслуживание. Так как количество отказов увеличивается из-за увеличения количества аппаратуры. Резервирование уменьшает полезную нагрузку на аппаратуру и увеличивает ее себестоимость.

Основным параметром резервирования является кратность резервирования. Это отношение числа резервных устройств к числу рабочих (основных) устройств. Кратность резервирования ограничена жесткими пределами в отношении массы, габаритов и потребляемой мощности БЦВС.

Различают общее и раздельное резервирование. Резервирование БЦВМ в целом – это общее резервирование. В этом случае параллельно работают основная и резервные БЦВМ.

При раздельном резервировании БЦВМ разбивается на отдельные подсистемы, каждая из которых или некоторые из них резервируются отдельно. При использовании раздельного резервирования можно выделить несколько уровней резервирования:

1. Резервирование на уровни деталей

2. Резервирование на уровне элементов

3. Резервирование на уровне устройств.

На данный момент наиболее распространенным раздельным резервированием является резервирование на уровне устройств (ОЗУ, процессор, жесткие диски и т.д.), так как современные БЦВМ имеют модульное построение, а резервирование на уровне модулей значительно повышает ремонтопригодность.

В зависимости от способа включения резервного элемента или БЦВМ различают горячее и холодное резервирование.

При горячем резервировании резервные элементы работают в одинаковых условиях с основными элементами и выполняют все их функции. При этом увеличивается потребляемая мощность и усложняется обслуживание, так как необходимо выявлять отказавшие элементы и своевременно их заменять.

При холодном резервировании резервные элементы не работают, либо работают в облегченных условиях. В этом случае резервный элемент включается в работу только в случае выхода из строя основного элемента. Холодное резервирование потребляет меньше мощности, легче в обслуживании, и резервное элементы не расходуют свой ресурс. Однако, при холодном резервировании необходимо использовать специальные переключатели, позволяющие резервному элементу вступить в работу. Включение резервных элементов может происходить, как вручную, так и автоматически.

Холодное резервирование используется только на уровне крупных элементов или целых БЦВМ с применением различных методов обнаружения неисправностей.

Горячее резервирование может применяться и на более глубоких уровнях с использованием избыточности на основе мажоритарной логикой.

В реальной аппаратуре холодное и горячее резервирование обычно применятся в различных сочетаниях.

Рассмотрим различные способы резервирования:

1. Резервирование на основе мажоритарной логики.

Этот тип резервирования используется при горячем резерве элементов или целых БЦВМ. Выходные сигналы с основного и всех резервных элементов преобразуются в один сигнал на мажоритарном элементе. При этом сравниваются все сигналы, и правильным считается тот, который совпал большее число раз (2 из 3, 3 из 5 и так далее).

Достоинства мажоритарной логики резервирования:

2. Не требуется обнаружение неисправного элемента и переключение на резервный.

3. Подавляются все сбои.

Недостатки:

1. Существенно увеличивается объем, масса и потребляемая мощность оборудования.

2. Снижается быстродействие, так как мажоритарные элементы включаются последовательно с основными элементами вычислительной системы.

3. Отсутствует индикация отказавших устройств, что уменьшает ремонтопригодность.

4. Система отказывает, когда еще есть исправные элементы, так как мажоритарный элемент не может принять верные решения, если отказавших элементов больше, чем исправных.

При таком виде резервирования после каждого резервируемого элемента стоит детектор ошибок, фиксирующий несовпадение результатов работы основного и резервного элемента. В случае обнаружение несовпадения запускается диагностическая программа, определяющая, какой именно блок отказал, и исключающая его из работы до устранения ошибки.

Схематично подобная схема включения выглядит следующим образом:

Здесь Ао и Ар составляют первый блок вычислительной системы, причем Ао – основной элемент, а Ар – резервный. Оба этих элемента, за исключением случая, когда один из них неисправен, имеют одинаковые выходы.

Во и Вр – составляют второй блок. Выходы этих элементов так же идентичны.

Сигналы с основных и резервных элементов объединяются с помощью логического элемента «или» для того, чтобы при исключении из работы неисправного элемента сигнал все равно поступал в оба канала.

Аналогично можно применять резервирование на три, четыре и так далее элементов. При этом увеличивается вероятность безотказной работы, однако, значительно повышается потребляемая мощность, габариты, вес, усложняется структура вычислительной системы и программирование для нее.

Преимущества резервирования дублированием с детектором отказов:

1. Значительно увеличивается вероятность безотказной работы вычислительной системы.

2. Меньше резервных элементов, чем при использовании мажоритарной логики резервирования.

3. Повышается ремонтопригодность, так как точно известно, какой элемент отказал

4. Детектор ошибок не влияет на информационные потоки и не снижает быстродействие вычислительной системы, так как подключается параллельно, относительно проверяемых устройств.

Недостатки:

1. В случае обнаружения ошибки необходимо прервать работу основного программного обеспечения для обнаружения неисправного элемента и исключения его из работы.

2. Усложняется программное обеспечение, так как требуется специальная программа обнаружения неисправных элементов.

3. Система не может обнаружить ошибку при отказе одновременно основного и резервного элемента.

3. Резервирование на основе постепенной деградации вычислительной системы.

В этом случае, если все элементы вычислительной системы исправны, они функционируют в полном объеме, и каждый элемент выполняет свою функцию. Однако, стоит выйти из строя хотя бы одному элементу, сразу же запускается диагностическая программа, определяющая, какой именно элемент вышел из строя, и исключающая его из работы. При этом функции, которые исполнял вышедший из строя элемент, перераспределяются между рабочими элементами с сохранением всех функциональных возможностей, за счет уменьшения объема обрабатываемой информации или с уменьшением функциональности при сохранении объема обрабатываемой информации.

Так как бортовые вычислительные системы рассчитаны на максимальную загрузку, которая происходит достаточно редко, подобный способ резервирования значительно повышает надежность, без серьезных затрат.

Достоинства:

1. Повышается живучесть вычислительной системы.

2. Не увеличиваются габариты, масса и потребляемая мощность.

3. Повышается ремонтопригодность, так как точно известно, какой элемент отказал.

4. Не требуются специализированные элементы, анализирующие сигналы элементов, а, следовательно, всю вычислительную систему можно разрабатывать на стандартизированном оборудовании.

Недостатки:

1. Усложняется программное обеспечение, так как необходимо реализовывать алгоритмы, отслеживающие исправность элементов вычислительной системы и перераспределяющие задачи после выхода из строя одного или нескольких элементов

2. При выходе из строя элементов вычислительной системы снижается объем обрабатываемой информации или функциональность.

3. Резервирование возможно только на уровне процессорных модулей и ЭВМ.

4. Обслуживание становится дороже, так как заменять надо целые блики и ЭВМ.

Это основные способы резервирования с помощью оборудования. Обычно, в реальной аппаратуре они применяются в различных комбинациях, в зависимости от требуемого результата, степени необходимой надежности и живучести отдельных элементов вычислительной системы и всего комплекса в целом.

При вариантах «холодного» резервирования резервное оборудование находится в выключенном состоянии и включается только при подключении резерва в работу. До включения резервного оборудования его ресурс не расходуется, и «холодное» резервирование дает самую большую ВБР.

Недостаток холодного резервирования – включение резервной аппаратуры проходит за некоторое время, в течение которого система не управляется или неработоспособна. На этом интервале ввода в строй «холодной» резервной аппаратуры источники питания выходят на режим, аппаратура тестируется, прогревается. В нее загружается необходимая информация.

В случае «горячего» резервирования все резервные элементы включены и готовы сразу после команды включиться в работу. Это может обеспечить меньшее время переключения на резерв. Однако ресурс включенной резервной «горячей» аппаратуры расходуется и достижимая ВБР в этом методе меньше, чем в случае «холодного» резервирования. Время переключения на резерв – важный параметр, и допустимые его значения определяются конкретной прикладной задачей.

Для системы дублированной замещением с холодным резервом ВБР равна:

Данное приближение справедливо для ВБР . Для системы троированной замещением с холодным резервом ВБР равна:

Для системы дублированной замещением с горячим резервом ВБР равна:

Для системы троированной замещением с горячим резервом ВБР равна:

На графике приведены изменения Р(t) для трех случаев:

1) нерезервированная система

2) система дублированная с холодным резервом

3) система дублированная с горячим резервом

Изменение ВБР представлены в относительном времени . Это удобно, так как графики справедливы для любого . Здесь – интенсивность отказов системы

Для последовательной надежностной схемы.

Интенсивность отказа элементов, составляющих систему.

До сих по мы рассматривали только случай, когда надежность каждого дублирующего элемента не зависит от того, когда включился в работу этот элемент. Этот случай, который мы условно назвали «горячим резервированием», самый простой из всех возможных. Гораздо сложнее случай, когда резервный элемент до своего включения в работу вообще не может отказывать («холодное» резервирование) или может отказывать, но с другой, меньшей плотностью вероятности, чем после включения («облегченное» резервирование).

При рассмотрении задач, связанных с холодным или облегченным резервированием, нам недостаточно будет вводить надежности системы и элементов для одного, заранее фиксированного, значения времени т; необходимо будет проанализировать весь случайный процесс функционирования системы.

Рассмотрим несколько задач, относящихся к холодному и облегченному резервированию.

Задача 1. Общий случай расчета надежности резервированной системы («облегченный» или «холодный» резерв). Система (блок) состоит из «параллельно» включенных элементов (основного и резервного). Интенсивность потока отказов первого элемента при отказе первого элемента происходит автоматическое и безотказное переключение на резервный Интенсивность потока отказов резервного элемента до его включения в работу (элемент работает в «облегченном» режиме).

После его включения в работу, в момент отказа первого элемента, интенсивность мгновенно подскакивает (рис. 7.30) и становится равной интенсивности которую естественно предполагать зависящей не только от текущего времени но и от того срока в течение которого элемент работал в облегченном режиме:

Требуется найти надежность системы

Рассмотрим совокупность двух случайных величин:

Момент отказа основного элемента,

Момент отказа резервного элемента.

Событие А - безотказная работа системы до момента t - состоит в том, что хотя бы одна из величин примет значение, большее, чем t (хотя бы один элемент будет работать к моменту ). Вероятность противоположного события - отказа системы до момента t - будет

Найдем совместную плотность распределения случайных величин обозначая ее Случайные величины зависимы, и

где - безусловная плотность распределения величины - условная плотность распределения величины (при условии, что величина приняла значение ).

Найдем обе плотности. По формуле (3.4) § 3

где - надежность элемента в силу формулы (3.6) равная

Найдем условную плотность Условная интенсивность отказов резервного элемента при условии, что будет:

При этой интенсивности найдем условную плотность распределения времени безотказной работы резервного элемента:

Таким образом, совместная плотность распределения системы случайных величин найдена:

Зная эту совместную плотность, можно найти вероятность отказа системы до момента

откуда искомая надежность системы:

При вычислении по формулам (6.5) - (6.6) необходимо иметь в виду, что выражение функции неодинаково по одну и другую сторону от прямой - биссектрисы первого координатного угла (рис. 7.31). Области интегрирования на рис. 7.31 отмечены разной штриховкой. В области I функция выражается первой из формул (6.5), в области II - второй; следовательно,

(6.7)

При заданном конкретном виде функций интеграл (6.7) может быть вычислен, в простейших случаях аналитически, чаще - численно.

Заметим, что найденное нами решение задачи оценки надежности для случая «облегченного» резерва относится и к случаю «холодного» резерва - при этом так что в формуле (6.7) остается только один интеграл - второй, да и тот тоже упростится.

Мы видим, что в случае даже одного резервного элемента, работающего в облегченном (или холодном) резерве задача оценки надежности системы довольно сложна. Если же число резервных элементов более одного, задача еще больше усложняется.

Однако задача может быть сильно упрощена, если предположить, что потоки неисправностей, действующие на все элементы (основной и резервные), представляют собой простейшие потоки, интенсивность каждого из которых постоянна (это допущение равносильно тому, что закон надежности каждого элемента - экспоненциальный, а включение элемента в работу меняет только параметр этого закона). При таком допущении надежность системы S может быть найдена путем решения дифференциальных уравнений для вероятностей ее состояний.

Задача 2. Система с холодным резервом и простейшими потоками отказов. Резервированная система (блок) 5 состоит из основного элемента Э, и двух резервных: При отказе элемента Э] в работу включается при отказе (рис. 7.32).

До включения каждый из резервных элементов находится «холодном» резерве и отказать не может. Интенсивность потока отказов основного элемента интенсивность потока отказов каждого из резервных элементов, когда они работают, одинакова и равна Все потоки отказов простейшие. Требуется определить надежность системы

Представим процесс, протекающий в системе S, как марковский случайный процесс (см. гл. 4) с непрерывным временем и с дискретными состояниями:

Работает основной элемент

Работает резервный элемент

Не работает ни один элемент.

Граф состояний системы показан на рис. 7.33. Так как восстановления элементов не происходит, все стрелки на графе ведут в одну сторону.

Система уравнений Колмогорова для вероятностей состояний будет:

К ним надо прибавить нормировочное условие:

Из первого уравнения выражаем как функцию

(начальное условие, при котором мы проинтегрировали это уравнение, ) . Подставляя (6.10) во второе уравнение, получим:

Проинтегрируем это уравнение с начальным условием получим:

Эту функцию подставим в третье уравнение (6.8); получим:

Уравнение (6.13) нужно проинтегрировать тоже при начальном условии получим:

Для нахождения функции не нужно интегрировать последнее уравнение (6.8) - ее можно найти из условия (6.9):

Задача 3. Система с облегченным резервом и простейшими потоками отказов. Резервированная система (блок) S состоит из основного элемента и трех резервных: (рис. 7.34). Основной элемент подвергается ростейшему потоку отказов с интенсивностью каждый из резервных до своего включения подвергается потоку отказов с интенсивностью после включения резервного элемента эта интенсивность мгновенно подскакивает до значения При отказе основного элемента Э, включается в работу резервный при отказе и т. д.

На стадии проектирования СЭС для обеспечения требуемой надежности приходится во многих случаях как минимум дублировать отдельные элементы и даже отдельные системы, т.е. использовать резервирование.

Резервирование характерно тем, что оно позволяет повысить надежность системы по сравнению с надежностью составляющих ее элементов. Повышение надежности отдельно взятых элементов требует больших материальных затрат. В этих условиях резервирование, например, за счет введения дополнительных элементов является эффективным средством обеспечения требуемой надежности систем.

Если при последовательном соединении элементов общая надежность системы (т.е. вероятность безотказной работы) ниже надежности самого ненадежного элемента, то при резервировании общая надежность системы может быть выше надежности самого надежного элемента.

Резервирование осуществляется путем введения избыточности. В зависимости от природы последней резервирование бывает:

Структурное (аппаратное);

Информационное;

Временное.

Структурное резервирование заключается в том, что в минимально необходимый вариант системы, состоящей из основных элементов, вводятся дополнительные элементы, устройства или даже вместо одной системы предусматривается использование нескольких одинаковых систем.

Информационное резервирование предусматривает использование избыточной информации. Его простейшим примером является многократная передача одного и того же сообщения по каналу связи. Другим примером являются коды, применяемые в управляющих ЭВМ для обнаружения и исправления ошибок, возникающих в результате сбоев и отказов аппаратуры.

Временное резервирование предусматривает использование избыточного времени. Возобновление прерванного в результате отказа функционирования системы происходит путем ее восстановления, если имеется определенный запас времени.

Существует два метода повышения надежности систем путем структурного резервирования:

1) общее резервирование, при котором резервируется система в целом;

2) раздельное (поэлементное) резервирование, при котором резервируются отдельные части (элементы) системы.

Схемы общего и раздельного структурного резервирования представлены соответственно на рис. 5.3 и 5.4, где n число последовательных элементов в цепи, m – число резервных цепей (при общем резервировании) или резервных элементов для каждого основного (при раздельном резервировании)

При m=1 имеет место дублирование, а при m=2 – троирование. Обычно стремятся по возможности применять раздельное резервирование, т к при этом выигрыш в надежности часто достигается значительно меньшими затратами, чем при общем резервировании.

В зависимости от способа включения резервных элементов различают постоянное резервирование, резервирование замещением и скользящее резервирование.

Постоянное резервирование – это такое резервирование, при котором резервные элементы участвуют в работе объекта наравне с основными. В случае отказа основного элемента не требуется специальных устройств, вводящих в действие резервный элемент, поскольку он включается в работу одновременно с основным.

Резервирование замещением – это такое резервирование, при котором функции основного элемента передаются резервному только после отказа основного. При резервировании замещением необходимы контролирующие и переключающие устройства для обнаружения факта отказа основного элемента и переключения с основного на резервный.

Скользящее резервирование – представляет собой разновидность резервирования замещением, при котором основные элементы объекта резервируются элементами, каждый из которых может заменить любой отказавший элемент.

Оба вида резервирования (постоянное и замещением) имеют свои преимущества и недостатки.

Достоинством постоянного резервирования является простота, т.к. в этом случае не требуются контролирующие и переключающие устройства, понижающие надежность системы в целом, и, самое главное, отсутствует перерыв в работе. Недостатком постоянного резервирования является нарушение режима работы резервных элементов при отказе основных.

Включение резерва замещением обладает следующим преимуществом: не нарушает режима работы резервных элементов, сохраняет в большей степени надежность резервных элементов, позволяет использовать один резервный элемент на несколько рабочих (при скользящем резервировании).

В зависимости от режима работы резервных элементов различают нагруженный (горячий) и ненагруженный (холодный) резерв.

Нагруженный (горячий) резерв в энергетике называют также вращающимся или включенным. В данном режиме резервный элемент находится в том же режиме, что и основной. Ресурс резервных элементов начинает расходоваться с момента включения в работу всей системы, и вероятность безотказной работы резервных элементов в этом случае не зависит от того, в какой момент времени они включаются в работу.

Облегченный (теплый) резерв характеризуется тем, что резервный элемент находится в менее нагруженном режиме, чем основной. Поэтому, хотя ресурс резервных элементов также начинает расходоваться с момента включения всей системы в целом, интенсивность расхода ресурса резервных элементов до момента их включения вместо отказавших значительно ниже, чем в рабочих условиях. Этот вид резерва обычно размещается на агрегатах, работающих на холостом ходу, и, следовательно, в данном случае ресурс резервных элементов срабатывается меньше по сравнению с рабочими условиями когда агрегаты несут нагрузку Вероятность безотказной работы резервных элементов в случае этого вида резерва будет зависеть как от момента их включения в работу, так и от того, насколько отличаются законы распределения вероятности безотказной работы их в рабочем и резервном условиях.

В случае ненагруженного (холодного) резерва резервные элементы начинают расходовать свой ресурс с момента их включения в работу вместо основных. В энергетике этим видом резерва служат обычно отключенные агрегаты.

Расчеты надежности систем с параллельно включенными элементами зависят от способа резервирования.

НАДЕЖНОСТЬ СИСТЕМ ПРИ ПОСТОЯННОМ ОБЩЕМ РЕЗЕРВИРОВАНИИ

Будем считать, что резервируемые и резервные элементы равнонадежны, т.е.
и
. Для удобства вероятности безотказной работы и появления отказов отдельных элементов обозначаем в этом и последующем разделах прописными буквами.

С учетом схемы замещения (рис 5.5) и формулы (5.18) вероятность отказа системы с m резервными цепями можно рассчитать следующим образом:

, (5.22)

где (t) – вероятность отказа основной цепи,
– вероятность отказаi-й резервной цепи.

Соответственно вероятность безотказной работы системы

(5.23)

В соответствии с формулой (5 8) имеем

(5.24)

При одинаковых вероятностях отказов основной и резервной цепей
формулы (5 22) и (5 23) принимают вид:

, (5.25)

(5.26)

Среднее время безотказной работы системы при общем резервировании

(5.27)

где – интенсивность отказов системы,
, – интенсивность отказов любой из (m+1) цепей, – интенсивность отказовi-го элемента

Для системы из двух параллельных цепей (m=1) формула (5.27) принимает вид:

(5.28)

Среднее время восстановления системы в общем случае определяется по формуле

(5.29)

где – среднее время восстановленияi-ой цепи.

Для частного случая m=1 формула (5.29) принимает вид:

Пример 5.2.

Рассчитать вероятность безотказной работы в течение 3 месяцев, интенсивность отказов, среднюю наработку на отказ одноцепной ВЛ длиной l=35км вместе с понижающим трансформатором 110/10кВ и коммутационной аппаратурой (рис 5.6).

Схема замещения по надежности рассматриваемой СЭС представляет собой последовательную структуру (рис 5.7)

Интенсивности отказов элементов взяты из табл 3.2:

;

;

Согласно формуле (5.7) определяем интенсивность отказов схемы питания

Этот расчет показывает, что доминирующее влияние на выход схемы из строя оказывает повреждаемость воздушной линии. Средняя наработка на отказ схемы питания

Вероятность безотказной работы схемы в течение t=0,25года

Пример 5.3.

Определить, насколько выше показатели надежности понизительной трансформаторной подстанции 110/10кВ при постоянной совместной работе обоих трансформаторов в течение 6 месяцев по сравнению с однотрансформаторной подстанцией. Отказами коммутационных аппаратов и преднамеренными отключениями пренебрегаем.

Исходные данные, взятые из табл. 3.2, следующие:

;

Вероятность безотказной работы в течение 6 месяцев одного трансформатора

Средняя наработка на отказ одного трансформатора

Вероятность безотказной работы двухтрансформаторной подстанции, рассчитанная по формуле (5.20):

Средняя наработка на отказ двухтрансформаторной подстанции, рассчитанная по формуле (5.28):

лет

Интенсивность отказов двухтрансформаторной подстанции

Среднее время восстановления двухтрансформаторной подстанции (см. формулу (5.30))

Анализ результатов показывает, что надежность двухтрансформаторной подстанции намного превышает надежность однотрансформаторной подстанции.

Пример 5.4.

Рассмотрим секцию РУ 6кВ, от которой питаются 18 отходящих линий (рис. 5.8) Интенсивность отказов выключателей, сопровождающихся короткими замыканиями, оценивается величиной = 0,003
, интенсивность отказов с

короткими замыканиями для сборных шин на одно присоединение
(см. табл. 3 2). Определить интенсивность кратковременных погашений секции РУ, предполагая абсолютную надежность автоматического ввода резерва (АВР) и выключателяQ2, резервирующего питание секции.