Калинина В. - Надежность и эффективности АИС
ВВЕДЕНИЕ В ТЕОРИЮ НАДЕЖНОСТИ СЛОЖНЫХ СИСТЕМ
Современные требования к надежности сложных систем. Определение и измерение надежности
Одной из основных проблем построения вычислительных систем во все времена остается задача обеспечения их продолжительного функционирования. Эта задача имеет три составляющие: надежность, готовность и удобство обслуживания.
Все эти три составляющие предполагают, в первую очередь, борьбу с неисправностями системы, порождаемыми отказами и сбоями в ее работе. Эта борьба ведется по всем трем направлениям, которые взаимосвязаны и применяются совместно.
Надежность - свойство объекта сохранять во времени в установленных пределах значения всех параметров, характеризующих способность выполнять требуемые функции в заданных режимах и условиях применения, технического обслуживания, хранения и транспортировки. При необходимости в понятие "объект" могут быть включены информация и ее носители, а также человеческий фактор, например при рассмотрении надежности АИС.
Терминология по надежности в технике распространяется на любые технические объекты. Проблема надежности, возникшая много лет назад, заставила говорить о ней в первую очередь инженеров и экономистов, а затем и математиков как о проблеме номер один. Вначале речь шла не о низкой надежности технических средств в настоящем смысле слова. Безотказность и даже ремонтопригодность техники были вполне удовлетворительными, но затраты на восстановительные работы, замену отказавших деталей и различные технические профилактические мероприятия были слишком велики.
По известным источникам, в 1949 г. около 70% всей морской радиоэлектронной аппаратуры США находилось в состоянии ремонта. В конце Второй мировой войны около 60% самолетного оборудования, переброшенного на Дальний Восток, оказалось неисправным, при этом около 50% запасных комплектов и элементов вышли из строя в результате хранения.
В тот период радиосвязное оборудование находилось в неработоспособном состоянии 1/7 всего времени эксплуатации, радиолокационное - 5/6, гидроакустическое - около 1/2 этого времени. Перечисление можно
было бы продолжить для других видов техники, других стран и других периодов времени.
Прошло чуть более четверти века, и мир заговорил о научно-технической революции. Начали создаваться сверхсложные системы в информатике, энергетике, транспорте и в других отраслях народного хозяйства. Причем это были не просто системы, которые характеризовались большим числом входящих в их состав элементов, сложными структурой и алгоритмами функционирования. Это были системы, пронизывающие всю инфраструктуру современного общества на государственном уровне, а это приводило не только к чисто структурному и функциональному их усложнению, но и резкому повышению требований к надежности, живучести и безопасности функционирования.
Этот период развития техники характеризуется уже не только лозунгами о важности проблемы надежности, но и бурным развитием методов обеспечения высокой надежности систем на всех этапах - при проектировании, производстве, испытаниях и эксплуатации.
Действительно, проектирование и реализация сложных технических систем, на создание которых в течение многих лет затрачивались огромные людские и материальные ресурсы, уже невозможно было осуществлять "на глазок". Требовался строгий математический расчет всех технических параметров, включая различные показатели надежности, нужны были обоснованные технико-экономические решения.
При этом, учитывая огромную ответственность задач, решаемых техническими сверхсистемами на уровне национальной экономики, национальной безопасности, порою непредвидимые экономические и морально-политические последствия от возможных ошибок и отказов в этих системах, необходимо было не только обеспечить технические возможности этих систем вообще, но и, что самое главное, сохранить и поддержать работоспособность этих систем в течение очень длительного времени эксплуатации.
Повышение надежности основано на принципе предотвращения неисправностей путем снижения интенсивности отказов и сбоев за счет применения электронных схем и компонентов с высокой и сверхвысокой степенью интеграции, снижения уровня помех, облегченных режимов работы схем, обеспечения тепловых режимов их работы, а также за счет совершенствования методов сборки аппаратуры.
Показатель надежности - количественная характеристика одного или нескольких свойств, составляющих надежность объекта. К показателям надежности относят количественные характеристики надежности, которые вводят согласно правилам статистической теории надежности.
Показатели надежности вводят по отношению к определенным режимам и условиям эксплуатации.
Комплексный показатель надежности - показатель надежности, ха-
растеризующий несколько свойств, составляющих надежность объекта. Примером комплексного показателя надежности служит коэффициент готовности (см. п. 3.1).
Расчетный показатель надежности - показатель надежности, значения которого определяются расчетным методом.
Экспериментальный показатель надежности - показатель надежности, точечная или интервальная оценка которого определяются по данным испытаний.
Универсальной единицей измерения надежности является среднее время наработки на отказ (MTBF - Mean Time Between Failure).
Надежность - комплексное свойство, состоящее в общем случае из безотказности, долговечности, ремонтопригодности и сохраняемости.
Безотказность - свойство объекта непрерывно сохранять работоспособное состояние в течение некоторого времени. Безотказность в той или иной степени свойственна объекту в любом из возможных режимов его существования.
Работоспособное состояние (работоспособность) - состояние объекта, при котором значения всех параметров, характеризующих способность выполнять заданные функции, соответствуют требованиям нормативно-технической и (или) проектной документации.
Долговечность - свойство объекта сохранять работоспособное состояние до наступления предельного состояния при установленной системе технического обслуживания и ремонта.
Ремонтопригодность - свойство объекта, заключающееся в приспособленности к поддержанию и восстановлению работоспособного состояния путем технического обслуживания и ремонта. Термин "ремонтопригодность" традиционно трактуется в широком смысле, он эквивалентен международному термину "поддерживаемость".
Сохраняемость подразумевает под собой возможность хранения объекта в исправном состоянии при отсутствии эксплуатации.
Исправное состояние (исправность) - состояние объекта, при котором он соответствует всем требованиям нормативно-технической и (или) проектной документации.
Неисправное состояние (неисправность) - состояние объекта, при котором он не соответствует хотя бы одному из требований нормативнотехнической и (или) проектной документации.
Работоспособный объект может быть неисправным. Переход объекта из исправного состояния в неисправное работоспособное состояние происходит из-за повреждений.
Под критериями повреждений понимают признаки или совокупность признаков неисправного, но работоспособного состояния объекта.
Таким образом, основные эксплуатационные характеристики системы существенно зависят от удобства ее обслуживания, в частности от ремонтопригодности, контролепригодности и т.д.
Можно привести примеры многих современных технических систем, для которых решение проблемы надежности в самом прямом смысле означает, быть или не быть данной системе. К ним можно отнести различные системы информатики: региональные и отраслевые автоматизированные системы управления, включающие в свой состав большое число ЭВМ, системы управления воздушным движением для гражданской авиации, автоматизированные системы управления технологическими процессами, сеть центров управления и слежения за космическими объектами, сети и системы передачи данных.
Усложнение систем идет в различных направлениях. С одной стороны, в состав технических систем входит все большее число комплектующих элементов.
С другой стороны, усложняется их структура, определяющая соединение отдельных элементов и их взаимодействие в процессе функционирования и поддержания работоспособности. Понятно, что усложнение систем является прямым следствием постоянно возрастающей ответственности выполняемых ими функций, сложности и многообразия этих функций, что, в свою очередь, диктуется прогрессом науки и техники.
При прочих равных условиях система, состоящая из большого числа комплектующих элементов и имеющая более сложную структуру и сложный алгоритм функционирования, является менее надежной по сравнению с более простой системой. Это требует разработки специальных методов обеспечения, повышения и поддержания надежности таких систем, включая разработку математических методов априорных расчетов и экспериментальной оценки.
Инженеры, физики и математики приложили немало совместных усилий для разработки современной теории надежности. Были предприняты гигантские усилия для создания более надежных компонентов, более простых и надежных схем и конструкций, улучшения условий эксплуатации.
Были разработаны соответствующие методы, позволяющие осуществлять анализ и синтез разрабатываемых технических средств на этапе проектирования, проводить обоснованные оценки показателей надежности этих средств во время испытаний и эксплуатации.
Однако проблема надежности продолжает оставаться одной из основных для современной техники. Дело, видимо, объясняется не столько тем, что достигнутая надежность современных технических систем слишком низка, сколько тем, что непрерывно усложняются решаемые задачи и одновременно повышаются требования к надежности их выполнения.
Обслуживаемые и необслуживаемые объекты. Резервирование
Обслуживаемый объект - объект, для которого проведение технического обслуживания предусмотрено нормативно-технической и (или) проектной документацией.
Надежность обслуживаемого объекта возрастает за счет повышения интенсивности устранения неисправностей.
Необслуживаемый объект - объект, для которого проведение технического обслуживания не предусмотрено нормативно-технической и (или) проектной документацией
Пусть, например, имеет место многоканальная система передачи с частотным и временным разделением каналов - сложный комплекс технических средств, включающий в себя оконечную аппаратуру, устанавливаемую на оконечных пунктах (ОП), промежуточную аппаратуру, размещаемую в обслуживаемых (ОУП) или необслуживаемых (НУП) усилительных пунктах, а также линий связи (рис. 1.1).
за того, что в цепи теряется часть энергии передаваемого сигнала. Конкретные электрические параметры цепи и чувствительность приемного устройства определяют допустимую дальность связи. Например, при передаче речи мощность сигнала на выходе микрофона телефонного аппарата Рпер = 1 мВт, а чувствительность телефона приемного аппарата Рпр = 0,001 мВт.
Таким образом, максимально допустимое затухание цепи не должно быть больше 3max = 10 Ід(Рпер/ Рпр) = 10 lg(1/0,001) = 30 дБ. Зная затухание amax и коэффициент затухания на 1 км длины линии связи а, можно определить дальности передачи І = amax/a.
В системах передачи применяется способ компенсации затухания сигналов повышением мощности сигнала в нескольких равномерно расположенных точках тракта. Часть канала связи между соседними промежуточными усилителями называется усилительным участком.
Изменение уровней сигнала вдоль магистрали описывается диаграммой уровней, приведенной на рис. 1.2.
Аппаратура ОУП и НУП служит не только для усиления аналогового сигнала, но и для коррекции (выравнивания) амплитудно-частотных и фазочастотных характеристик линейного тракта. Аппаратура НРП и ОРП предназначена для восстановления амплитуды, длительности и временного интервала между импульсами сигнала цифровых систем.
Расстояние между НУП (НРП) меняется в широких пределах для различных систем передачи и может составлять от единиц до десятков (иногда сотни) километров. Как правило, НУП (НРП) представляет собой металлическую камеру, имеющую подземную и наземную части. В камере размещаются вводно-коммутационное и усилительное (регенерационное) оборудование.
Аппаратура ОП и ОУП (ОРП) размещается в зданиях, где постоянно находится технический персонал для ее обслуживания.
Резервирование - способ обеспечения надежности объекта за счет использования дополнительных средств и (или) возможностей, избыточных по отношению к минимально необходимым для выполнения требуемых функций. Резервирование используется для достижения заданного уровня надежности сложного объекта при недостаточно надежных компонентах и там, где требуется обеспечить безотказную работу системы при наличии внешних дестабилизирующих факторов (например, в системах управления войсками и оружием).
Для необслуживаемых объектов более выгодным является резервирование на низком уровне. В этом случае с целью обеспечения надежности подвергаются дублированию те компоненты устройства, выход из строя которых во время эксплуатации наиболее вероятен.
Надежность системы и ее элементов.
Методы испытаний надежности систем
Надежность АИС целиком и полностью зависит от надежности входящих в нее компонентов. В простейшем случае для определения вероятности безотказной работы системы, т.е. ее надежности, достаточно воспользоваться теоремой умножения вероятностей. Например, если система содержит два элемента, вероятности безотказной работы которых в течение определенного промежутка времени равны соответственно 0,95 и 0,98, то вероятность безотказной работы системы в течение этого промежутка времени составит 0,950,98 = 0,931. В более сложных случаях для определения надежности системы приходится использовать более сложный математический аппарат, а иногда рассчитать вероятность безотказной работы аналитическими методами просто не представляется возможным.
Тогда для определения надежности автоматизированных систем (АС) проводят испытания.
Испытания АС представляют собой процесс проверки выполнения заданных функций системы, определения и проверки соответствия требованиям технического задания (ТЗ) количественных и (или) качественных характеристик системы, выявления и устранения недостатков в действиях системы, в разработанной документации. Для АС устанавливают следующие основные виды испытаний:
1) предварительные;
2) опытная эксплуатация;
3) приемочные.
От того, какие взаимосвязи в испытываемых в АС объектов, испытания могут быть автономные или комплексные.
Автономные испытания охватывают части АС. Их проводят по мере готовности частей АС к сдаче в опытную эксплуатацию.
Комплексные испытания проводят для групп, взаимосвязанных частей АС или для АС в целом.
Для планирования проведения всех видов испытаний разрабатывают документ "Программа и методика испытаний". Программа и методика испытаний должны устанавливать необходимый и достаточный объем испытаний, обеспечивающий заданную достоверность получаемых результатов. Программа и методика испытаний может разрабатываться на AC в целом,
на части АС. В качестве приложения могут включаться тесты (контрольные примеры).
Предварительные испытания АС проводят для определения ее работоспособности и решения вопроса о возможности приемки AC в опытную эксплуатацию. Предварительные испытания следует выполнять после проведения разработчиком отладки и тестирования поставляемых программных и технических средств системы и представления им соответствующих документов о их готовности к испытаниям, а также после ознакомления персонала АС с эксплуатационной документацией.
Опытную эксплуатацию АС проводят с целью определения фактических значений количественных и качественных характеристик АС и готовности персонала к работе в условиях функционирования АС, определения фактической эффективности АС, корректировки (при необходимости) документации.
Приемочные испытания АС проводят для определения соответствия АС техническому заданию, оценки качества опытной эксплуатации и решения вопроса о возможности приемки АС в постоянную эксплуатацию. Приемочным испытаниям АС должна предшествовать ее опытная эксплуатация на объекте.
В зависимости от вида требований, предъявляемых к АС на испытаниях, проверке или аттестации в ней подвергают:
1) комплекс программных и технических средств;
2) персонал;
3) эксплуатационную документацию, регламентирующую деятельность персонала при функционировании АС;
4) АС в целом.
При испытаниях АС проверяют:
1) качество выполнения комплексом программных и технических средств автоматических функций во всех режимах функционирования АС согласно ТЗ на создание АС;
2) знание персоналом эксплуатационной документации и наличие у него навыков, необходимых для выполнения установленных функций во всех режимах функционирования АС согласно ТЗ на создание АС;
3) полноту содержащихся в эксплуатационной документации указаний персоналу по выполнению им функций во всех режимах функционирования АС согласно ТЗ на создание АС;
4) количественные и (или) качественные характеристики выполнения автоматических и автоматизированных функций АС в соответствии с ТЗ;
5) другие свойства АС, которым она должна соответствовать по ТЗ.
Испытания АС следует проводить на объекте заказчика. По согласованию между заказчиком и разработчиком предварительные испытания и
приемку программных средств АС допускается проводить на технических средствах разработчика при создании условий получения достоверных результатов испытаний.
Допускается последовательное проведение испытаний и сдача частей АС в опытную и постоянную эксплуатацию при соблюдении установленной в ТЗ очередности ввода АС в действие.
Автономные испытания АС следует проводить в соответствии с программой и методикой автономных испытаний, разрабатываемых для каждой части АС. В программе автономных испытаний указывают:
1) перечень функций, подлежащих испытаниям;
2) описание взаимосвязей объекта испытаний с другими частями АС;
3) условия, порядок и методы проведения испытаний и обработки результатов;
4) критерии приемки частей по результатам испытаний.
К программе автономных испытаний следует прилагать график проведения автономных испытаний. Подготовленные и согласованные тесты (контрольные примеры) на этапе автономных испытаний должны обеспечить:
1) полную проверку функций и процедур по перечню, согласованному с заказчиком;
2) необходимую точность вычислений, установленную в ТЗ;
3) проверку основных временных характеристик функционирования программных средств (в тех случаях, когда это является существенным);
4) проверку надежности и устойчивости функционирования программных и технических средств.
В качестве исходной информации для теста рекомендуется использовать фрагмент реальной информации организации-заказчика в объеме, достаточном для обеспечения необходимой достоверности испытаний. Результаты автономных испытаний частей АС следует фиксировать в протоколах испытаний. Протокол должен содержать заключение о возможности (невозможности) допуска части АС к комплексным испытаниям.
В случае если проведенные автономные испытания будут признаны недостаточными, либо будет выявлено нарушение требований регламентирующих документов по составу или содержанию документации, указанная часть АС может быть возвращена на доработку и назначен новый срок испытаний.
Комплексные испытания АС проводят путем выполнения комплексных тестов. Результаты испытаний отражают в протоколе.
Работу завершают оформлением акта приемки в опытную эксплуатацию. В программе комплексных испытаний АС или частей АС указывают:
1) перечень объектов испытания;
2) состав предъявляемой документации;
3) описание проверяемых взаимосвязей между объектами испытаний;
4) очередность испытаний частей АС;
5) порядок и методы испытаний, в том числе состав программных средств и оборудования, необходимых для проведения испытаний, включая специальные стенды и полигоны.
Для проведения комплексных испытаний должны быть представлены:
1) программа комплексных испытаний;
2) заключение по автономным испытаниям соответствующих частей АС и устранение ошибок и замечаний, выявленных при автономных испытаниях;
3) комплексные тесты;
4) программные и технические средства и соответствующая им эксплуатационная документация.
При комплексных испытаниях допускается использовать в качестве исходной информацию, полученную на автономных испытаниях частей АС. Комплексный тест должен:
1) быть логически увязанным;
2) обеспечивать проверку выполнения функций частей АС во всех режимах функционирования, установленных в ТЗ на АС, в том числе всех связей между ними;
3) обеспечивать проверку реакции системы на некорректную информацию и аварийные ситуации.
Протокол комплексных испытаний должен содержать заключение о возможности (невозможности) приемки АС в опытную эксплуатацию, а также перечень необходимых доработок и рекомендуемые сроки их выполнения. После устранения недостатков проводят повторные комплексные испытания в необходимом объеме.
Опытную эксплуатацию проводят в соответствии с программой, в которой указывают:
1) условия и порядок функционирования частей АС и АС в целом;
2) продолжительность опытной эксплуатации, достаточную для проверки правильности функционирования АС при выполнении каждой функции системы и готовности персонала к работе в условиях функционирования АС;
3) порядок устранения недостатков, выявленных в процессе опытной эксплуатации.
Во время опытной эксплуатации АС ведут рабочий журнал, в который заносят сведения о продолжительности функционирования АС, отказах, сбоях, аварийных ситуациях, изменениях параметров объекта автоматизации, проводимых корректировках документации и программных средств, наладке технических средств. Сведения фиксируют в журнале с указанием даты и ответственного лица. В журнал могут быть занесены замечания
персонала по удобству эксплуатации АС. По результатам опытной эксплуатации принимают решение о возможности (или невозможности) предъявления частей АС и системы в целом на приемочные испытания.
Работа завершается оформлением акта об окончании опытной эксплуатации и допуске системы к приемочным испытаниям.
Приемочные испытания проводят в соответствии с программой, в которой указывают:
1) перечень объектов, выделенных в системе для испытаний, и перечень требований, которым должны соответствовать объекты (со ссылкой на пункты ТЗ);
2) критерии приемки системы и ее частей;
3) условия и сроки проведения испытаний;
4) средства для проведения испытаний;
5) фамилии лиц, ответственных за проведение испытаний;
6) методику испытаний и обработки их результатов;
7) перечень оформляемой документации.
Для проведения приемочных испытаний должна быть предъявлена следующая документация:
1) техническое задание на создание АС;
2) акт приемки в опытную эксплуатацию;
3) рабочие журналы опытной эксплуатации;
4) акт завершения опытной эксплуатации и допуска АС к приемочным испытаниям;
5) программа и методика испытаний.
Приемочные испытания следует проводить на функционирующем объекте. В первую очередь они должны включать проверку:
1) полноты и качества реализации функций при штатных, предельных, критических значениях параметров объекта автоматизации и в других условиях функционирования АС, указанных в ТЗ;
2) выполнения каждого требования, относящегося к интерфейсу системы;
3) работы персонала в диалоговом режиме;
4) средств и методов восстановления работоспособности АС после отказов;
5) комплектности и качества эксплуатационной документации.
Проверку полноты и качества выполнения функций АС рекомендуется
проводить в два этапа. На первом этапе проводят испытания отдельных функций (задач, комплексов задач). При этом проверяют выполнение требований ТЗ к функциям (задачам, комплексам задач).
На втором этапе проводят проверку взаимодействия задач в системе и выполнение требований ТЗ к системе в целом. По согласованию с заказчиком проверка задач в
зависимости от их специфики может проводиться автономно или в составе комплекса. Объединение задач при проверке в комплексах целесообразно проводить с учетом общности используемой информации и внутренних связей.
Проверку работы персонала в диалоговом режиме проводят с учетом полноты и качества выполнения функций системы в целом.
Проверке подлежат:
1) полнота сообщений, директив, запросов, доступных оператору, и их достаточность для эксплуатации системы;
