teorija zanesljivosti - university of...

Poglavje 1

Teorija zanesljivosti

V pri£ujo£em poglavju sku²amo razloºiti in formalizirati pomembnej²e pojme spodro£ja teorije zanesljivosti. Za£nimo z dvema najpogostej²ima de�nicijamapojma zanesljivosti. Prvo najdemo v delu [1], drugo pa v delih [1], [2] in [3].

De�nicija 1 Zanesljiv je tisti sistem, ki po£ne natanko tisto, kar ho£e upo-rabnik (kupec) sistema in to natanko takrat, ko to od sistema zahteva.

Navedena de�nicija je kvalitativna ter uporabni²ko orientirana in delomasovpada s pojmom kvalitete sistema, saj uporabnik pogosto ena£i zanesljivostdelovanja s pojmom kvalitete. Kakr²nakoli odpoved sistema ali njegovo neustre-zno delovanje uporabniku zniºuje zaupanje do sistema in s tem posredno tudizaupanje do proizvajalca/prodajalca sistema.

De�nicija 2 Zanesljivost je verjetnost, da bo sistem vr²il predvideno funk-cijo v vnaprej podanem £asovnem intervalu in v vnaprej podanih delovnihpogojih brez odpovedi.

Druga de�nicija je kvantitativna ter snovalsko orientirana in meri zaneslji-vost v obliki verjetnosti pravilnega delovanja (delovanja brez odpovedi) sistemav opazovanem £asovnem intervalu ali opazovani £asovni to£ki. Pogojena je z in-tenzivnostjo odpovedovanja, ki jo ozna£ujemo z λ(t) (angl. failure rate function,hazard function ali hazard rate), merimo pa s ²tevilom odpovedi v kon£nem£asovnem intervalu. Tipi£ni rang velikosti za λ(t) je na primer 1 fatalna odpo-ved na 107 prevoºenih ur v civilnem letalskem prometu ali 1 odpoved na 109

delovnih ur v primeru posameznih integriranih vezij.

1

2 POGLAVJE 1. TEORIJA ZANESLJIVOSTI

Zanesljivost kot verjetnost, da bo sistem v £asovnem intervalu [0, t] svojofunkcijo vr²il uspe²no (torej ne bo odpovedal), po [3] zapi²emo z izrazom

R(t) = P (T > t), t ≥ 0, (1.1)

pri £emer T predstavlja £asovno to£ko odpovedi. Verjetnost odpovedi sistema v£asovnem intervalu [0, t] ali njegovo nezanesljivost zapi²emo z izrazom

F (t) = 1−R(t) = P (T ≤ t). (1.2)

�e z f(t) ozna£imo funkcijo gostote verjetnosti £asa odpovedi T , se zanesljivostR(t) po [3] izraºa kot integral gostote verjetnosti £asa odpovedi po izrazu

R(t) =

∫ ∞t

f(x)dx. (1.3)

Osnovna zanesljivostna metrika, ki nas zanima pri opazovanju sistema, je pri£a-kovani £as do odpovedi ali pri£akovana ºivljenska doba sistema. Metrika nastopav dveh ina£icah in sicer v prvi za nepopravljive in v drugi za popravljive sisteme.Prvo poimenujemo s kratico MTTF (angl. mean time to failure) in drugo s kra-tico MTBF (angl. mean time between failures). Obe ina£ici metrike izra£unamopo izrazu

MTTF = MTBF =

∫ ∞0

R(t)dt. (1.4)

Druga metrika, ki jo pogosto uporabljamo, je MTTR (angl. mean time to re-pair), predstavlja pa potrebni povpre£ni £as za izvedbo popravila ali menjavokomponente v popravljivih sistemih. Pri metriki MTBF v strokovni literaturinaletimo na neenotno pomensko obravnavo. MTBF namre£ po de�niciji pred-stavlja povpre£ni £as delovanja sistema med dvema zaporednima napakama. Pritem bi po strogi uporabi de�nicije £as MTBF moral predstavljati £as delovanjasistema in £as sistema v odpovedi vse do odprave napake in ponovnega delova-nja. V ve£ini primerov £as odprave napake (MTTR) ni v²tet v celotno vrednostMTBF. Pri tem poudarimo tudi to, da je £as MTTR obi£ajno relativno majhenv primerjavi s predvidenim £asom do odpovedi. V pri£ujo£em delu £asa MTTRv oceni £asa MTBF ne bomo upo²tevali.

Soroden pojem zanesljivosti je pojem dosegljivosti (angl. availability), kinam za opazovani ra£unalni²ki sistem podaja pri£akovan deleº £asa, v katerembo sistem na razpolago za normalno delovanje. O dosegljivosti npr. obi£ajnogovorijo ponudniki internetnih storitev (angl. internet service provider - ISP),ki si za cilj postavljajo 99,999% dosegljivost svojega omreºja, kar bi v praksipomenilo, da so internetne storitve nedosegljive pribliºno pet minut na leto,£emur v praksi seveda ni tako.

1.1 Napaka, vgrajena hiba, odpoved

Po viru [4] ve£ina zanesljivostnih problemov na podro£ju programske in strojneopreme izhaja iz napak (angl. error), vgrajenih hib (angl. fault) in odpovedi

POGLAVJE 1. TEORIJA ZANESLJIVOSTI 3

(angl. failure). Zdruºenje IEEE pomene omenjene trojice pojmov obravnavana naslednji na£in:

• za napako se smatra predvsem napako v razmi²ljanju ali speci�kaciji, sno-valsko napa£no razumevanje problema ali uporabljene metodologije,

• za vgrajeno hibo se smatra napaka, ki jo implementiramo v programskoali strojno opremo,

• za odpoved smatramo kakr²nokoli nena£rtovano delovanje ali nedelovanjesistema kot celote, ki je rezultat vgrajene hibe.

Zaradi laºjega razumevanja in ²ir²ega pogleda na delovanje sistemov, bomo vnadaljevanju govorili le o pojmu napake, ki bo pokrival prva dva zgoraj navedenatermina in o pojmu odpovedi, kot eventuelni posledici napake.

Poljuben ra£unalni²ki sistem je sestavljen iz dveh osnovnih sklopov in siceriz aparaturne (strojne) in programske opreme. Intenzivnost odpovedanja ra£u-nalni²kega sistema kot celote, ki neposredno vpliva na njegovo zanesljivost, jepogojena z naslednjimi dejavniki:

• z intenzivnostjo porajanja odpovedi programske opreme,

• z intenzivnostjo porajanja odpovedi aparaturne opreme,

• z intenzivnostjo porajanja primerov nepravilnega na£ina interakcije meduporabnikom in sistemom in

• z intenzivnostjo porajanja ostalih zunanjih negativnih vplivnih dejavnikov(neustrezna temperatura, prevelika vlaga, udar strele itd.).

Nezanesljivost programske opreme izhaja iz napak, ki so bile vne²ene v fazinjenega razvoja. Odkrijemo jih lahko v fazi testiranja, ali pa ²ele kasneje v fazieksploatacije. V slednjem primeru je odpravljanje napak cenovno draºje, ali pacelo neizvedljivo.

Nezanesljivost aparaturne opreme izhaja iz odpovedi posameznih elektron-skih komponent, kar vodi do odpovedi, nepravilnega ali pa degradiranega delova-nja aparaturne opreme kot celote. Pod pojmom degradiranega delovanja imamov mislih sicer pravilno, a upo£asnjeno delovanje sistema. Pri aparaturni opremipredpostavljamo, da vse komponente zapu²£ajo fazo testiranja brez napak aliokvar. Do napake in s tem posredno do odpovedi pride ²ele v fazi eksploata-cije in sicer bodisi pod vplivom zunanjih dejavnikov, dotrajanosti materialovali neustrezne tehnolo²ke realizacije posameznih komponent.

1.2 Stanja opazovanega ra£unalni²kega sistema

Z vidika zanesljivosti opazovanega sistema lahko njegovo delovanje uvrstimo veno od slede£ih skupin:


• sistem kot celota deluje pravilno (normalno),

• zaradi pojavitve napake sistem kot celota ne deluje (sistem ne deluje in jev odpovedi),

• zaradi pojavitve napake sistem kot celota deluje nepravilno (sistem delujenepravilno in je v odpovedi) in

• zaradi pojavitve napake odpove le del sistema, £igar funkcije prevzamepreostali ²e delujo£i del sistema (sistem z degradiranim ali upo£asnjenimdelovanjem).

Z vidika uporabnika je v drugem in tretjem primeru sistem neuporaben, v za-dnjem primeru pa je sistem ²e uporaben, zmanj²a pa se njegova zmogljivost.

1.3 �ivljenjska doba opazovanega ra£unalni²kegasistema

�ivljensko dobo opazovanega ra£unalni²kega sistema ali njegovih sestavnih delov(komponent) v splo²nem delimo na slede£e tri faze:

• fazo otro²tva: v tej fazi intenzivnost odpovedovanja λ(t) skozi £as hitropada zaradi testiranja, ki iz sistema eliminira okvarjene komponente (£eniso popravljive), ali pa se omenjene komponente popravijo (aparaturnekomponente in programsko opremo);

• fazo eskploatacije (moderneje produkcijsko fazo): v tej fazi imamo opravkas konstantno, ali kako drugo obliko (npr. linearno) rasto£e intenzivnostiodpovedovanja λ(t); konstantna λ(t) se uporablja pri vrednotenju ele-ktronskih komponent, kot so integrirana vezja, linearno rasto£a pa privrednotenju mehansko obrabljivih delov opazovanega sistema, kot so npr.avtomobilske gume, ra£unalni²ki ventilatorji itd.;

• fazo starosti : v tej fazi za£ne intenzivnost odpovedovanja λ(t) zelo hi-tro rasti predvsem pri strojnih komponentah, ker prihaja do dotrajanostimaterialov in s tem posledi£no do odpovedi;

Vse tri faze so prikazane na sliki 1.1, pri £emer je v fazi eksploatacije linearnarast λ(t) ozna£ena s prekinjeno £rto.

Poseben model intenzivnosti odpovedovanja lahko pripi²emo programski opremi(glej sliko 1.2). V otro²ki fazi je ta obi£ajno zaradi najdb in sprotne odpravenapak padajo£a, v eksploatacijski dobi pa imamo dve moºnosti:

• programske opreme ne popravljamo in ne nadgrajujemo (rde£ potek nasliki 1.2): intenzivnost odpovedovanja je tako v eksploatacijski, kot tudi vfazi starosti konstantna;


Faza otro tvaš Faza eksploatacije Faza starosti

l( )t

T

Slika 1.1: Razli£ne faze ºivljenske dobe ra£unalni²kega sistema z vidika inten-zivnosti odpovedovanja.

• programsko opremo popravljamo in nadgrajujemo (dodajamo nove funk-cionalnosti): v tem primeru dobimo stopni£asto funkcijo (moder potek nasliki 1.2), kjer vsak padec funkcije λ(t) predstavlja odpravo dolo£enega²tevila napak, vsak vzpon pa vnos novih napak preko dodajanja novihfunkcionalnosti;

Pri programski opremi v fazi starosti rasto£o λ(t) nadomesti konstanta inten-zivnost odpovedovanja ob predpostavki, da programske opreme niti ne popra-vljamo, niti ne nadgrajujemo ve£. S tem sku²amo ponazoriti dejstvo, da seprogramska oprema ne �obrablja�.

Faza otro tvaš Faza eksploatacije Faza starosti

l( )t

T

Slika 1.2: Razli£ne faze ºivljenske dobe programske opreme z vidika intenzivnostiodpovedovanja.


1.4 Modeli intenzivnosti odpovedovanja

�e v uvodu pri£ujo£ega poglavja smo se seznanili s funkcijo intenzivnosti od-povedovanja λ(t) (angl. failure rate function, hazard function). Tako z vidikauporabnika, kot tudi z vidika vzdrºevalca, je najzanimivej²a intenzivnost od-povedovanja v eksploatacijski dobi. Relacijo med λ(t), f(t) (funkcije gostoteverjetnosti £asa odpovedi) in R(t) po [3] zapi²emo z izrazom

λ(t) = lim∆t→0

R(t)−R(t+ ∆t)

∆tR(t)=f(t)

R(t). (1.5)

Razli£ne vrste intenzivnosti odpovedovanja λ(t) v eksploatacijski dobi si bomoogledali v slede£ih razdelkih.

1.4.1 Konstantna intenzivnost odpovedovanja v fazi eks-

ploatacije

Konstantna λ(t) je v eksploatacijski dobi tipi£na predvsem za elektronske kom-ponente kot so tranzistorji, upori, kondenzatorji in integrirana vezja. Za sle-dnje po [2] velja, da traja faza otro²tva pribliºno 104 delovnih ur (pribliºnoeno delovno leto). V fazi testiranja posameznih komponent se ta doba umetnozmanj²uje s slab²anjem delovnih pogojev (angl. burn-in procedures, acceleratedtesting), ki nadome²£ajo relativno dolgotrajno izpostavljanje obi£ajnim pogo-jem delovanja. Funkcija intenzivnosti odpovedovanja se v eksploatacijski dobiizraºa z izrazom

λ(t) = λ, (1.6)

pri £emer je λ konstanta neodvisna od £asa. Odtod sledi, da je funkcija gostoteverjetnosti £asa odpovedi

f(t) = λe−λt, (1.7)

funkciji zanesljivosti in nezanesljivosti pa po vrsti

R(t) = e−λt, (1.8)

F (t) = 1− e−λt. (1.9)

Po izrazu

MTBF = MTTF =

∫ ∞0

R(t)dt =

∫ ∞0

e−λtdt =1

λ, (1.10)

izpeljemo pri£akovano vrednost funkcije f(t). Interpretiramo jo kot pri£akovani£as do odpovedi. �as za popravilo pri popravljivih sistemih se izraºa kot

MTTR =1

µ, (1.11)

pri £emer µ predstavlja intenzivnost servisiranja ali inverzno vrednost £asa ser-visiranja.


0 1 2 3 4 5 6

x 104

0

0.1

0.2

0.3

0.4

0.5

0.6

0.7

0.8

0.9

1Z

anes

ljivo

st( )

Rt

Čas v delovnih urah

Slika 1.3: Padanje zanesljivosti v odvisnosti od £asa in konstantne intenzivnostiodpovedovanja.

Na sliki 1.3 je prikazano eksponentno pogojeno padanje zanesljivosti ob po-datkih λ = 10−4 odpovedi na uro pri £asu opazovanja t = 1

2 ∗ 105 delovnih ur.

Zgled 1 Proizvajalec vr²i OLT (angl. operational life test) teste na kerami£nihkondenzatorjih in pri testiranju ugotovi, da je intenzivnost odpovedovanja λ(t)konstantna in sicer 3 ∗ 10−8 odpovedi na delovno uro. Kak²na je zanesljivostkondenzatorja po 104 urah delovanja in kolik²no je pri£akovano ²tevilo odpovedipo 5.000 delovnih urah na seriji velikosti 2.000 kosov?

λ(t) = 3 ∗ 10−8odp./uro→ R(104) = e−3∗10−8∗104

= 0.99970. (1.12)

Za izra£un ²tevila odpovedi po 5.000 delovnih urah vpeljemo spremenljivke n (ce-lotno ²tevilo komponent), ns (pri£akovano ²tevilo komponent, ki preºivijo 5.000delovnih ur) in nf (pri£akovano ²tevilo komponent, ki ne preºivijo 5.000 delov-nih ur). Velja, da je n = ns + nf . Tako lahko izra£unamo, da je

ns = e−λt ∗ n = e−3∗10−8∗5000 ∗ 2000 = 1999, 7, (1.13)

nf = 2000− 1999, 7 = 0, 3. (1.14)

Glede na izra£un lahko predpostavimo, da bo po 5.000 delovnih urah 1 kompo-nenta v odpovedi.


1.4.2 Linearno rasto£a intenzivnost odpovedovanja v fazi

eksploatacije

Zna£ilnost linearne rasti intenzivnosti odpovedovanja λ(t) v fazi eksploatacijese pojavlja predvsem pri obrabljivih mehanskih komponentah sistemov. Odra£unalni²kih komponent so to predvsem ventilatorji, obremenjeni konektorji,releji (kjer ²e nastopajo) itd. Funkcija intenzivnosti odpovedovanja se v temprimeru izraºa kot

λ(t) = λ ∗ t, (1.15)

kjer je λ konstanta, neodvisna od £asa. Odtod sledi, da je funkcija gostoteverjetnosti £asa odpovedi

f(t) = λ ∗ t ∗ e−λt2

2 , (1.16)

in funkciji zanesljivosti ter nezanesljivosti

R(t) = e−λt2

2 , (1.17)

F (t) = 1− e−λt2

2 . (1.18)

Potrebno je poudariti, da f(t) v tem primeru sovpada z Rayleighovo distribucijo.Po njej se pri£akovana ºivljenska doba in njena varianca po vrsti izraºata kot

MTBF = MTTF =

∫ ∞0

R(t)dt =

√π

2λ, (1.19)

ρ2 =2

λ(1− π

4). (1.20)

Na sliki 1.4 je prikazano eksponentno pogojeno padanje zanesljivosti ob podatkihλ(t) = t ∗ 10−8 odpovedi na uro pri £asu opazovanja t = 1

2 ∗ 105 delovnih ur.

Zgled 2 Proizvajalec gum ob testiranju 150 gum iz nove serije ugotovi, da jeintenzivnost odpovedovanja linearno rasto£a in sicer jo na omenjenem vzorcunumeri£no oceni na λ(t) = 0.5 ∗ 10−8t. Dolo£i zanesljivost tak²ne gume poenem letu uporabe in kak²en je pri£akovani £as do menjave gume (MTTF), ternjegova standardna deviacija?

R(104) = e−0.52 ∗10−8∗108

= 0, 7788, (1.21)

MTTF = MTBF =

√π

2λ=

√π

2 ∗ 0.5 ∗ 10−8= 17.724 delovnih ur, (1.22)

ρ =

√2

λ(1− π

4) = 9.265 delovnih ur. (1.23)

Predhodno smo na slikah 1.3 in 1.4 predstavili poteka zanesljivostnih funk-cij v odvisnosti od konstantne in linearno rasto£e intenzivnosti odpovedovanja.Da bi dobili vtis, kako hitreje pada zanesljivostna funkcija pri linearno rasto£iintenzivnosti odpovedovanja, na sliki 1.5 predstavimo potek obeh vrst zaneslji-vostnih funkcij pri intenzivnosti odpovedovanja 1 odpovedi na 106 delovnih urna opazovanem £asovnem intervalu 2.000 delovnih ur.


Zan

eslji

vost

( )R

t

Čas v delovnih urah

0 1 2 3 4 5 6

x 104

0

0.1

0.2

0.3

0.4

0.5

0.6

0.7

0.8

0.9

1

Slika 1.4: Padanje zanesljivosti v odvisnosti od £asa in linearno nara²£ajo£eintenzivnosti odpovedovanja.

1.4.3 Linearno padajo£a intenzivnost odpovedovanja v otro-

²ki fazi

Omenjena intenzivnost je tipi£na za pozno otro²ko dobo tako mehanskih, kottudi elektronskih komponent. Intenzivnost odpovedovanja se v tem primeruizraºa kot

λ(t) = a− bt, a ≥ bt, (1.24)

kjer sta a in b konstanti.

1.4.4 Weibullov model intenzivnosti odpovedovanja

V primeru, ko intenzivnosti odpovedovanja v fazi eksploatacije ne moremo pona-zoriti s konstanto ali linearno funkcijo, uporabimoWeibullov model intenzivnostiodpovedovanja. Pri tem se λ(t) izraºa kot

λ(t) =α

βtα−1, (1.25)

funkcija gostote verjetnosti £asa odpovedi pa kot

f(t) =α

βtα−1e−

ta

β , t > 0. (1.26)


Slika 1.5: Neposredna primerjava zanesljivostnih funkcij konstantne (λ1(t) =10−6) in linearno rasto£e intenzivnosti odpovedovanja (λ(t) = 10−6t).

Pri tem sta α in β pozitivni, po vrsti pa predstavljata karakteristi£ni oblikovniin ºivljenski porazdelitvi. Omenjeni model lahko pokriva ve£ razli£nih inten-zivnosti odpovedovanj. Pri α = 1 tako dobimo konstantno intenzivnost odpo-vedovanja, pri α > 1 monotono rasto£o intenzivnost odpovedovanja, pri α < 1monotono padajo£o, pri α = 2 pa linearno rasto£o. Obe konstanti se dolo£itaglede na izmerjene podatke iz testiranj (£asov odpovedovanj). Povedano druga£ese sku²a najti ustrezno prileganje funkcije λ(t) k podatkom o odpovedovanju.MTBF ali MTTF se v tem primeru izra£una kot

MTBF = MTTF =

∫ ∞0

R(t)dt =

∫ ∞0

e−tαβ dt = β

1αΓ(1 +

1

α), (1.27)

pri £emer Γ predstavlja gama funkcijo. De�nirana je z izrazom

Γ(n) =

∫ ∞0

xn−1e−xdx. (1.28)

V nadaljevanju si oglejmo zgled ra£unske naloge povzete po viru [2].

Zgled 3 Naro£nik re²itve, ki jo servisira ra£unalni²ki sistem, zahteva pri£ako-vani medodpovedni £as MTBF 20.000 delovnih ur. Intenzivnost odpovedovanja


v intervalu meritev 103 delovnih ur sovpada z Weibullovim modelom s konstan-tama α = 1, 5 in β = 100. Ali sistem zagotavlja zahtevani MTBF? �e ga ne,kak²en bi moral biti karakteristi£ni ºivljenski faktor β za zahtevani MTBF?

MTBF ′ = 1001

1,5 Γ(1 +1

1, 5) = 19, 383. (1.29)

Ker je £as meritev trajal 103 delovnih ur, je tako MTTF 19, 383 ∗ 103 = 19.383delovnih ur, s £imer pri£akovanja naro£nika niso doseºena. �e ho£emo dose£izahteve naro£nika, moramo zadostiti izrazu

20.000 = β1

1,5 Γ(1 +1

1, 5), (1.30)

kar vodi do izbrane vrednosti β = 104, 46.

1.5 Redundanca kot metoda izbolj²evanja zane-sljivosti

Na zanesljivost sistema kot celote vplivajo zanesljivosti posameznih sestavnihdelov ali komponent sistema. Ena od osnovnih metod za doseganje ºeljene zane-sljivosti opazovanega sistema ob razpoloºljivosti manj zanesljivih komponent jevpeljava redundantnih (na prvi pogled odve£nih, rezervnih) komponent. Ob od-povedi posamezne komponente, bodisi zaradi napake ali izteka ºivljenske dobe,funkcijo delujo£e komponente prevzame redundantna (rezervna) komponenta.Z logi£nega vidika je tako vezava delujo£e in rezervnih komponent paralelna.Z vidika delovanja sistema kot celote ni potrebno delovanje vseh redundantnihkomponent. Obi£ajno je dovolj, da je ob odpovedi ene komponente sistemskobreme zmoºna prevzeti le ena od redundantnih komponent. Tako lo£ujemo ve£moºnih stanj posamezne komponente v redundan£ni vezavi. Ta so slede£a:

• aktivno delujo£e stanje, pri £emer komponenta z vidika sistema opravljasvojo funkcijo,

• aktivno nedelujo£e stanje, pri £emer z vidika sistema komponenta ne opra-vlja svoje funkcije, jo je pa hipno sposobna prevzeti ob odpovedi pred-hodno omenjene aktivne delujo£e komponente, ki je do tedaj opravljalasvojo funkcijo (angl. hot standby),

• pasivno nedelujo£e stanje, pri £emer je potrebno komponento pred opra-vljanjem svoje funkcije najprej spraviti v delujo£e stanje (angl. cold stan-dby), za kar je potreben zagonski £as in

• stanje v odpovedi, pri £emer komponente brez servisiranja ali zamenjavene moremo spraviti v delujo£e stanje.

Sisteme, v katerih imamo vgrajenih ve£ komponent, kot bi jih potrebovali zanormalno obratovanje, tako imenujemo za redundantne sisteme. Ob kakr²nikoli


uporabi redundantnih komponent je potrebno zagotoviti tudi mehanizem vkla-pljanja komponent v �cold stanby� stanju in tako v primeru �cold stanby�, kottudi v primeru �hot standby� kon�guracije izvedbo preklopa poti, po kateri bopotovalo servisno breme (preusmeritev bremena na delujo£e komponente). Vobeh primerih za opravilo poskrbi hipoteti£na naprava, ki jo bomo poimenovalistikalo (angl. switch). Tudi slednja ni idealna, tako da moramo ra£unati tudina njeno (ne)zanesljivost.

Slaba plat �cold standby� kon�guracije je v po£asnosti zagona novo vpeljanekomponente in s tem tudi potencialen za£asni izpad procesnih zmoºnosti sis-tema. Dobra plat �cold standby� kon�guracije je v tem, da so komponente, kine servisirajo sistemskega bremena, v pasivnem nedelujo£em stanju in njihovaºivljenska doba ne te£e (se ne �obrabljajo�), vse dokler niso aktivirane.

Dobra plat �hot standby� kon�guracije je v hitrosti preklopa, slaba pa vhitrem iztekanju ºivljenske dobe ve£ komponent hkrati. Seveda slednje velja leza strojne (elektronske in mehanske) komponente, ne pa za programsko opremo.

1.6 Dolo£anje zanesljivosti ve£komponentnega sis-tema

Do sedaj smo se seznanili z osnovnimi metrikami ocenjevanja zanesljivosti kot sofunkcija zanesljivosti, funkcija intenzivnosti odpovedovanja in pri£akovani pov-pre£ni £as do odpovedi. Omenjene metrike glasijo tako na posamezne kompo-nente, kot tudi na sistem kot celoto. Na sistemsko zanesljivost vplivajo takozanesljivosti posameznih komponent, kot tudi njihova razporeditev v sistemu.V splo²nem velja, da s kon�guracijo zelo zanesljivih komponent lahko doseºemoenako zanesljivost sistema, kot z ve£jim ²tevilom manj zanesljivih (cenej²ih)redundantno vklju£enih komponent. Po [2] kon�guracijo sistema lahko obrav-navamo kot:

• serijsko vezavo komponent,

• paralelno vezavo komponent,

• paralelno serijsko vezavo komponent,

• serijsko paralelno vezavo komponent in

• me²ano vezavo komponent.

Ko je sistem dokon£no zasnovan ali zgrajen, je potrebno dolo£iti njegovo sistem-sko zanesljivost v odvisnosti od zanesljivosti posameznih komponent in na£inanjihovih medsebojnih povezav. Izra£unano sistemsko zanesljivost nato primer-jamo z ºeljeno zanesljivostjo sistema. �e slednja ni doseºena, je potrebno kon-�guracijo sistema ustrezno popraviti. Pri popravkih moramo seveda paziti, dasistem kot celota ²e zmeraj izpolnjuje tako funkcionalne, kot tudi zmogljivostnezahteve naro£nika.


1.6.1 Serijska vezava komponent

V primeru, da je sistem sestavljen iz n (n > 1) nujno potrebnih komponent, gaimenujemo za serijski sistem ali serijo komponent. Odpoved posamezne kom-ponente rezultira v odpoved sistema kot celote. Za normalno delovanje sistemamora tako delovati vseh n komponent. Vsaka komponenta je seveda lahko nanekem natan£nej²em nivoju opazovanja zopet sestavljena iz mnoºice manj²ihkomponent z njim lastnimi zanesljivostmi. Gra�£no omenjeni sistem ponazo-rimo, kot je predstavljeno na sliki 1.6. Za matemati£ni izra£un zanesljivosti

K1

K2

K3

Kn-1

Kn

Slika 1.6: Serijska vezava n komponent.

delovanja serije komponent vpeljimo naslednje razlage numeri£nih spremenljivk:

• xi : i -ta komponenta sistema deluje normalno,

• xi : i -ta komponenta sistema je v stanju odpovedi,

• Rxi(t) : verjetnost, da i -ta komponenta v £asu t deluje normalno,

• Fxi(t) : verjetnost, da je i -ta komponenta v £asu t v stanju odpovedi,

• Rsys(t) : verjetnost delovanja sistema kot celote v £asu t,

• Fsys(t): verjetnost nedelovanja sistema kot celote v £asu t.

Ob predpostavki, da odpoved posamezne komponente ne vpliva na odpovediostalih, izraze za sistemsko zanesljivost in nezanesljivost v £asu t, sistemskointenzivnost odpovedovanja in MTTF po [5] zapi²emo z izrazi

Rsys(t) = Rx1(t) ∗Rx2

(t)... ∗Rxn(t) = Πni=1Rxi(t), (1.31)

Fsys(t) = 1−Rsys(t), (1.32)

λsys =

n∑i=1

λi, (1.33)

MTTF =1

n∑i=1

λi

. (1.34)

Izraza (1.33) in (1.34) veljata le takrat, ko so intenzivnosti odpovedovanja ne-odvisne od £asa.

Na tem mestu omenimo, da je zanesljivost serijskega sistema v £asu t veno-mer manj²a ali najve£ enaka zanesljivosti komponente z najmanj²o zanesljivostjov £asu t. S tega vidika se lahko izbolj²evanja zanesljivosti serije kompontent po-lotimo z dvigovanjem zanesljivosti najmanj zanesljive komponente sistema.


Zgled 4 Imamo serijsko vezan sistem iz 3 elektronskih komponent, pri £emerso njihove deklarirane intenzivnosti odpovedovanja konstantne in podane z λ1 =10−4odp./uro, λ2 = 10−5odp./uro in λ3 = 10−6odp./uro. Kako se izraºatazanesljivost in nezanesljivost sistema kot celote po 10.000 delovnih urah?

Zanesljivost in nezanesljivost tovrstnega sistema v odvisnosti od £asovneto£ke t se izraºata kot

Rsys(104) = Rx1(104) ∗Rx2

(104) ∗Rx3(104) =

= 0, 3679 ∗ 0, 9048 ∗ 0, 99 = 0, 3296, (1.35)

Fsys(104) = 1−Rsys(104) = 0, 6704. (1.36)

1.6.2 Paralelna vezava komponent

V paralelnih sistemih je vezanih m komponent paralelno in v splo²nem odpo-ved ene od njih ne vodi do odpovedi sistema kot celote, vse dokler dokler je vvezavi ²e kak²na delujo£a komponenta, ki lahko prevzame breme pravkar okvar-jene komponente. Glede na povedano paralelna vezava ponazarja redundancokomponent. Posamezne od paralelnih vej v vezavi tvorijo bremenske poti in pa-ralelni sistem torej deluje, dokler deluje vsaj ena od bremenskih poti. Gra�£noomenjeni sistem ponazorimo, kot je predstavljeno na sliki 1.7.

Km

K1

K2

Slika 1.7: Paralelna vezava m komponent.

Ob predpostavki, da odpoved ene od komponent ne vpliva na odpoved druge,velja izraz za izra£un nezanesljivosti v £asovni to£ki t

Fsys(t) = Πmi=1Fxi(t) = Πm

i=1(1−Rxi(t)), (1.37)

preko njega pa pridemo do sistemske zanesljivosti

Rsys(t) = 1− Fsys(t) = 1−Πmi=1(1−Rxi(t)). (1.38)

�e predpostavimo, da so vse komponente identi£ne v smislu intenzivnosti od-povedovanja (∀i, 1 ≤ i ≤ m : Rxi(t) = Rx(t)), se gornji izraz poenostavi vizraz

Rsys(t) = 1− Fsys(t)m = 1− (1−Rx(t))m, (1.39)

kjer Rx(t) predstavlja verjetnost za normalno delovanje posamezne komponentev £asovni to£ki t. Praviloma velja, da je zanesljivost paralelnega sistema v


£asovni to£ki t ve£ja ali enaka zanesljivosti najbolj zanesljive entitete v kon�-guraciji v omenjeni £asovni to£ki. S tega vidika se lahko polotimo izbolj²evanjazanesljivosti paralelne vezave na ta na£in, da dvignemo zanesljivost komponentez ºe obstoje£o najve£jo zanesljivostjo.

Zgled 5 Predpostavimo, da imamo opravka s tremi paralelno vezanimi kom-ponentami s konstantnimi intenzivnostmi odpovedovanja λ1 = 10−4odp./uro,λ2 = 10−5odp./uro in λ3 = 10−6odp./uro. Kako se izraºa zanesljivost sistemakot celote skozi £as in konkretno po 10.000 delovnih urah?

Rsys(t) = 1−Π3i=1(1−Rxi(t)) =

= 1− (0, 6321) ∗ (0, 0952) ∗ (0, 01) = 0, 9994. (1.40)

Pri£ujo£i izra£un je bil narejen na osnovi predpostavke, da je paralelna vezavav hot-standby kon�guraciji.

1.6.3 Paralelno serijska vezava komponent

Paralelno serijski sistem je sestavljen iz m paralelnih bremenskih poti, vsakaod njih pa iz serijsko spojenih n komponent, kot je to prikazano na sliki 1.8.Tovrstni sistem je sestavljen iz n ∗m komponent. Predpostavimo, da je Rxij (t)verjetnost pravilnega delovanja j -te komponente na i -ti bremenski poti (i =1, 2, ...m, j = 1, 2, ...n) v £asovni to£ki t.

K13

K12

K11

K1n

K23

K22

K21

K2n

Km3

Km2

Km1

Kmn

Slika 1.8: Paralelno serijska vezava sistema.

Zanesljivost delovanje i -te bremenske poti v £asovni to£ki t se tako izraºakot

Ri(t) = Πnj=1Rxij (t), i = 1, ...m. (1.41)

Z izrazom Fi(t) bomo ozna£ili verjetnost nedelovanja (nezanesljivost) i -te potiv £asovni to£ki t in odtod izra£unali sistemsko zanesljivost kot

Rsys(t) = 1−Πmi=1Fi(t) = 1−Πm

i=1(1−Πnj=1Rxij (t)). (1.42)


�e predpostavimo, da imajo vse komponente enako intenzivnost odpovedovanja(∀i, j, 1 ≤ i ≤ m, 1 ≤ j ≤ n : Rxij (t) = Rx(t)), dobimo za sistemsko zanesljivostv £asovni to£ki t izraz

Rsys(t) = 1− (1−Rx(t)n)m. (1.43)

1.6.4 Serijsko paralelna vezava komponent

Serijsko paralelni sistem tvori serija n podsistemov, vsak od njih pa je sestavljeniz m paralelno vezanih komponent (glej sliko 1.9).

K12

K11

K1m

K22

K2m

Kn2

Knm

K21 K

n1

Slika 1.9: Serijsko paralelna vezava komponent.

Zanesljivost tak²nega sistema v £asovni to£ki t se izraºa po izrazu

Rsys(t) = Πni=1

[1−Πm

j=1(1−Rxij (t))]. (1.44)

Pri tem Rxij (t) predstavlja verjetnost, da j -ta kompontenta v i -tem podsistemuv £asovni to£ki t deluje pravilno. Ob predpostavki, da imajo vse komponenteenako intenzivnost odpovedovanja, imamo opravka z enako funkcijo zanesljivostiposameznih komponent Rx(t). V tem primeru se sistemska zanesljivost izraºakot

Rsys(t) = [1− (1−Rx(t))m]n. (1.45)

V splo²nem velja, da ima serijsko paralelno kon�guriran sistem vi²jo zanesljivost,kot paralelno serijsko vezan sistem. Slednje velja ob predpostavki, da imamoenako ²tevilo komponent v kon�guraciji in imajo vse entitete enako intenzivnostodpovedovanja.

1.6.5 Me²ane vezave komponent

Me²ane vezave vsebujejo tako serijsko kot tudi paralelno vezane komponente,pri £emer so komponente lahko razporejene neenakomerno po posameznih blokihvezav. Oglejmo si nekaj zgledov me²anih povezav povzetih po viru [2].

Zgled 6 Imamo tri razli£ne kon�guracije vezave ²estih enakih komponent s kon-stantno intenzivnostjo odpovedovanja v izvedbi paralelno serijske vezave (a), se-rijsko paralelno vezave (b) in me²ane vezave (c), ki so prikazane na sliki 1.10.Zanesljivost delovanja posamezne komponente v £asovni to£ki t je Rx(t) = 0, 85.Izra£unaj verjetnosti delovanja vseh treh sistemov v opazovani £asovni to£ki t.


a b

c

Slika 1.10: Zgledi treh razli£nih razporeditev ²estih zanesljivostno ekvivalentnihkomponent.

Rx(t) = 0, 85, (1.46)

Rsysa(t) = 1− (1− 0, 853)2 ∼= 0, 85, (1.47)

Rsysb(t) =(1− (1− 0, 85)2

)3 ∼= 0, 93, (1.48)

Rsysc(t) =(1− (1− 0, 852

)2) ∗ (1− (1− 0, 85)2) ∼= 0, 9022. (1.49)

1.6.6 Optimalna razporeditev komponent v kon�guraciji

Zanesljivost sistema kot celote je ob vnaprej razpoloºljivi kvoti komponent od-visna predvsem od njihovega na£ina vezave. Problem iskanja optimalne vezaveje kombinatori£no teºak ºe z vidika komponent, ki imajo enako intenzivnostodpovedovanja, ²e kompleksnej²i pa, £e imamo opravka s komponentami, kate-rih intenzivnosti odpovedovanja so razli£ne. Oglejmo si enega od enostavnej²ihalgoritmov za iskanje razporeditve, ki nas glede na svojo naravo ne pripelje ve-dno do optimalne re²itve. Njegov cilj je postavitev serijsko paralelne vezave, zakatero smo ºe povedali, da je na£eloma ugodnej²a od paralelno serijske.

Predpostavimo, da je v serijsko paralelni vezavi n podsistemovK1,K2, ...Kn,v vsakem od njih pa m paralelno vezanih komponent, pri £emer so kompo-nente funkcionalno ekvivalentne. Celotno ²tevilo komponent v sistemu je takou = n ∗m, pri £emer imajo komponente razli£ne intenzivnosti odpovedovanja.Algoritem naj bi komponente razvrstil v serijsko paralelno vezavo tako, da ma-ksimiziramo zanesljivost sistema kot celote. Glede na serijsko naravo vezave jecilj algoritma sestaviti podsisteme tako, da bodo njihove zanesljivosti £imboljpodobne. �e ne bi bile, bi tako dobili v seriji po eni plati nekaj zelo zaneslji-vih podsistemov, po drugi plati pa nekaj dosti manj zanesljivih podsistemov.Slednji bi seriji kot celoti slab²ali zanesljivost. V nadaljevanju predstavljeni al-goritem avtorjev Baxter&Harche iz leta 1992 je �top-down� hevristi£ne naravein je uporaben samo za razvr²£anje komponent z enakim tipom intenzivnostiodpovedovanja. Z enakim tipom intenzivnosti odpovedovanja imamo v mislihto, da so vse intenzivnosti odpovedovanja bodisi konstantne, bodisi linearnonara²£ajo£e itd. Korake algoritma strnemo v naslednje alinee:


1. Razvrsti komponente po kriteriju zanesljivosti v £asovni to£ki t v padajo-£em vrstnem redu (R1(t) ≥ R2(t) ≥ ... ≥ Ru(t)).

2. Uvrsti entitete Rj(t) v podsistem Kj : j = 1, 2, ..., n.

3. Uvrsti entitete Rj(t) v podsistem K2n+1−j : j = n+ 1, ..., 2n.

4. v = 2.

5. Izra£unaj R(t)vi = 1 − Πj∈KiFj(t) za i = 1, 2, ...n. Uvrsti Rvn+i(t) vpodsistem Ki, za katerega je Rvi (t) j -ti najmanj²i (j = 1, 2, ...n).

6. �e je v < m potem v = v + 1 in ponovi korak 5. �e je v = m se ustavi.

Oglejmo si uporabo algoritma na konkretnem zgledu povzetem po viru [2].

Zgled 7 Predpostavimo, da gradimo sistem iz ²estih komponent s konstantnointenzivnostjo odpovedovanja in podanimi zanesljivostmi 0,95, 0,75, 0,85, 0,65,0,4 in 0,55 v opazovani £asovni to£ki t, pri £emer jih imamo namen razvrstiti vkon�guracijo n=2, m=3. Re²itev upo²tevajo£ korake algoritma je slede£a:

1. R1(t) = 0, 95, R2(t) = 0, 85, R3(t) = 0, 75, R4(t) = 0, 65, R5(t) =0, 55, R6(t) = 0, 4),

2. Komponento z zanesljivostjo R1(t) uvrstimo v podsistem K1, komponentoz R2(t) v K2.

3. Komponento z zanesljivostjo R3(t) uvrstimo v podsistem K2, komponentoz R4(t) pa v K1.

4. v = 2.5. R(t)

(2)1 = 1− (1− 0, 95)(1− 0, 65) = 0, 9825, R(t)

(2)2 = 1− (1− 0, 85)(1−

0, 75) = 0, 9625. Ker je R(t)(2)2 ≤ R(t)

(2)1 , komponento z zanesljivostjo R5(t)

uvrstimo v K2.6. v = 3, komponento z zanesljivostjo R6(t) uvrstimo v K1. S tem je

postopek kon£an. Kon£na zanesljivost sistema Rsys(t) v opazovani £asovni to£kit je 0,972802.

1.6.7 �k out of n� kon�guracija sistema

Sistem �k out of n� deluje, £e v njem deluje vsaj k od n razpoloºljivih entitet(1 ≤ k ≤ n). Tako kon�guracija �n out of n� predstavlja serijsko vezavo, �1 outof n� pa paralelno vezavo. Tipi£en primer �k out of n� sistemov so redundantnekon�guracije letalskih motorjev [6]:

• Boeing 737, 777 in Airbus 320 imajo �1 out of 2� kon�guracijo nabora mo-torjev: plovila imajo dva motorja, za normalen potek leta pa je dovolj²enen delujo£ motor (seveda se ob odpovedi enega motorja sku²a pristati nanajbliºjem letali²£u),

• DC-10 ima �2 out of 3� kon�guracijo nabora motorjev: plovilo ima tri mo-torje, za normalen potek leta pa sta dovolj²nja dva delujo£a motorja (tudiv tem primeru se ob odpovedi enega motorja sku²a pristati na najbliºjemletali²£u),


• Boeing 747, Airbus 340 in Airbus 380 imajo �3 out of 4� kon�guracijonabora motorjev: vsa plovila imajo ²tiri motorje, za normalen potek letapa so dovolj²nji trije delujo£i motorji (tudi v tem primeru se ob odpovedienega motorja sku²a pristati na najbliºjem letali²£u).

Verjetnost delovanja natanko k od n komponent v £asovni to£ki t se izraºav odvisnosti od zanesljivosti posamezne komponente Rx(t) po izrazu

Rsys(t, k) =

(nk

)Rx(t)k(1−Rx(t))n−k, (1.50)

verjetnost delovanja, kjer lahko deluje tudi ve£ kot k entitet pa po izrazu

Rsys(t) =n∑r=k

(nr

)Rx(t)r(1−Rx(t))n−r. (1.51)

Pri tem smo predpostavili, da imajo vse entitete enako intenzivnost odpovedo-vanja in s tem posledi£no enako funkcijo zanesljivosti Rx(t). Oglejmo si ²e zgleduporabe povzet po viru [2].

Zgled 8 Imamo komunikacijski sistem s ²tirimi zanesljivostno identi£nimi pa-ralelnimi komunikacijskimi kanali. Sistem kot celota deluje, £e delujejo vsaj trijekanali. �e je verjetnost delovanja posameznega kanala v opazovani £asovni to£kit 0, 9 (Rx(t) = 0, 9), se verjetnost delovanja sistema kot celote v isti £asovni to£kit izraºa po izrazu

Rsys(t) =

4∑r=3

(4r

)Rx(t)r(1−Rx(t))4−r =

= 4Rx(t)3(1−Rx(t)) +Rx(t)4 = 4Rx(t)3 − 3Rx(t)4 = 0, 9477. (1.52)

1.6.8 �Consecutive k out of n:F� kon�guracija sistema

V pri£ujo£em razdelku nas bodo zanimale odpovedi, tako da zapis �k out ofn:F� predstavlja eventuelne odpovedi k ali ve£ komponent, ki vodi do odpovedisistema kot celote. Termin �Consecutive� usmerja na²e opazovanje na odpo-vedovanje sklopa �zi£no sosednjih komponent. Tako za �Consecutive k out ofn:F� sistem velja, da preide iz delovanja v stanje odpovedi, ko odpove najmanjk sosednjih od n serijsko vezanih komponent. Tipi£en primer tovrstnih siste-mov so razporeditve satelitskih sistemov po elipti£ni tirnici, ki obkroºa zemljo,preko katerih se emitirajo signali. Obi£ajno so sateliti postavljeni tako, da iz-pad enega satelita ne povzro£i prekinitve komunikacije, £e le ne pride isto£asnotudi do odpovedi kak²nega od njegovih sosedov. Gre torej za �Consecutive 2out of n:F� kon�guracijo sistema. Oglejmo si na£in izra£una zanesljivosti tovr-stnih sistemov, pri £emer predpostavljamo, da so intenzivnosti odpovedovanjaposameznih komponent v kon�guraciji enake in s tem posredno enake tudi za-nesljivosti. Sistemsko zanesljivost tovrstnih sistemov izra£unamo po izrazu


Rsys(Rx(t), k = 2, n, t) = (1.53)

=

b(n+1)/2c∑j=0

R [sistem v £asovni to£ki t deluje, j entitet je v odpovedi] .

Z desnim delom gornjega izraza smo predpostavili, da je odpovedala najve£polovica komponent v seriji. �e bi jih odpovedalo ve£, bi se v sekvenci pojavilivsaj dve sosedni komponenti v odpovedi, kar bi vodilo do odpovedi sistema kotcelote. �e je torej odpovedalo najve£ pol komponent, moramo zagotoviti ²eto, da je med dvema okvarjenima vsaj ena delujo£a entiteta. �tevilo tovrstnihugodnih kombinacij je(

(j + 1) + (n− 2j + 1)− 1n− 2j + 1

)=

(n− j + 1

j

). (1.54)

Tako lahko za sistemsko zanesljivost zapi²emo naslednji izraz

Rsys(Rx(t), k = 2, n, t) =

b(n+1)/2c∑j=0

(n− j + 1

j

)(1−Rx(t))jRx(t)n−j . (1.55)

Navedeni izraz velja le za primer, ko so intenzivnosti odpovedovanja komponentenake, izra£un za primer, ko pa so slednje razli£ne, pa je dosti kompleksnej²i.

Zgled 9 Izra£unaj verjetnost delovanja �Consecutive 2 out of 4:F� sistema prienotni zanesljivosti posamezne komponente v £asovni to£ki t 0,95 (Rx(t) =0, 95).

Rsys(Rx(t), 2, 4, t) =

(50

)(1−Rx(t))0Rx(t)4+

+

(41

)(1−Rx(t))1Rx(t)3 +

(32

)(1−Rx(t))2Rx(t)2 =

= 3Rx(t)2 − 2Rx(t)3 = 0, 99275. (1.56)

Izra£unavanje zanesljivosti za primere, ko so zanesljivosti delovanja komponentrazli£ne (pri vseh pa je prisoten enak tip intenzivnosti delovanja) in se njihovo²tevilo povzpne, postane dosti bolj kompleksno. Poglejmo si primer hevristi£-nega algoritma avtorja Shantikumar-ja, ki re²uje omenjeni problem. Korakialgoritma so slede£i:

1. Izberi (k, n) in preveri £e velja (1 ≤ k ≤ n).

2. Fi(t) = 1−Ri(t), (i = 1, 2..., n).

3. F (r; k) = 0, r = 0, 1.

4. Q = Πki=1Fi(t).


5. F (k; k) = Q.

6. Do for r = k + 1 to n:

Q = Q ∗ Fr(r)Fr−k(t)

F (r; k) = F (r − 1; k) + (1− F (r − k − 1; k)) ∗Rr−k(t) ∗Q

7. R(n; k) = 1− F (n; k).

8. End.

Oglejmo si zgled uporabe algoritma na konkretnem zgledu povzetem po viru [2].

Zgled 10 V ra£unalni²kem omreºju imamo zaradi slabitve signalov postavljenihv sekvenci pet oja£evalnikov. Njihove verjetnosti odpovedi v £asovni to£ki t sopo vrsti 0, 62, 0, 079, 0, 25, 0, 22 in 0, 42. Uporaba algoritma je razvidna iznaslednjih korakov:

• Korak 1: k = 2, n = 5, R1(t) = 0, 38, R2(t) = 0, 921, R3(t) = 0, 75, R4(t) =0, 78, R5(t) = 0, 58;

• Koraki 2, 3, 4, 5: F (0; 2) = 0, F (1; 2) = 0, Q = F1(t) ∗ F2(t) = 0, 62 ∗0, 079 = 0, 0489, F (2; 2) = 0, 0489;

• Korak 6: r = 3, Q = 0, 0489∗F3(t)F1(t) = 0, 0197, F (3; 2) = F (2, 2)+[1− F (0; 2)]∗

0, 38 ∗ 0, 0197 = 0, 0563;

• Korak 6: r = 4, Q = 0, 0197∗F4(t)F2(t) = 0, 0548, F (4; 2) = F (3, 2)+[1− F (1; 2)]∗

0, 921 ∗ 0, 0548 = 0, 1068;

• Korak 6: r = 5, Q = 0, 0548∗F5(t)F3(t) = 0, 0920, F (5; 2) = F (4, 2)+[1− F (2; 2)]∗

0, 75 ∗ 0, 0920 = 0, 1724;

• Rsys(t) = 1− F (5; 2) = 0, 827;

1.7 Glasovalni redundantni sistemi

Glasovalni redundantni sistemi temeljijo na glasovalnih tehnikah in izdelavi de-cizije (sklepa) na osnovi ve£inskega glasu [7]. Ideja metode temelji na predpo-stavki, da se dve funkcionalno identi£ni komponenti na isti vhod odzivata enako(formirata enak odziv - izhod). V tem primeru lahko predpostavljamo, da seobe odzivata pravilno (delujeta normalno), ali pa se obe odzivata napa£no (staobe odpovedali na isti na£in). Sistem kot celota je preko razli£nih odzivov lahkosposoben detektirati napako (ena od komponent se odziva druga£e kot druga),ne zna pa je odpraviti. Najverjetnej²i sta situaciji ko obe komponenti delujetapravilno (se enako odzivata), ali ena komponenta deluje pravilno, druga pa jev odpovedi (razli£na odziva). Tretja situacija - obe komponenti sta v enakiodpovedi in dajeta enak odziv, je najmanj verjetna.


Obi£ajno tvori glasovalni sistem liho ²tevilo komponent - glasovalcev. Pritem predpostavljamo, da je ve£inski odziv komponent pravilen, preostanek odzi-vov, ki se od prej navedenih razlikuje, pa nas vodi do sklepa, da so komponente,ki so sprocesirale preostanek odzivov, v odpovedi.

1.7.1 TMR modularna redundanca

Najpogosteje sistemi modularne glasovalne redundance temeljijo na treh kom-ponentah (N=3) (angl. triple modular redundancy, TMR). Na sliki 1.11 je pri-kazan tovrstni sistem. Komponente A, B in C so funkcijsko ter zanesljivostnoneodvisne in ekvivalentne, glasovalnik (angl. voter) pa predstavlja glasovalnipodsistem, kjer se primerjajo rezultati odziva komponent. Ugodne kombinacijestanja delovanja naprav so ABC, ABC, ABC, ABC, neugodne kombinacije paABC, ABC, ABC in ABC. Pri tem oznaka A predstavlja delujo£e, oznaka Apa nedelujo£e stanje naprave A (naprava je v odpovedi).

A

B

C

GlasovalnikVhod Izhod

Slika 1.11: �Triple� modularna redundanca (N = 3).

Izra£un zanesljivosti sistema v odvisnosti od verjetnosti delovanja posameznekomponente Rx(t) v £asovni to£ki t je podan z izrazom

Rsys(t) = B(3 : 3) +B(2 : 3) =

(33

)Rx(t)3 +

(32

)Rx(t)2(1−Rx(t)) =

= Rx(t)2(3− 2Rx(t)), (1.57)

pri £emer smo predpostavili, da je glasovalnik idealen (ne more odpovedati).Navedeni izraz sovpada z zanesljivostjo delovanja �2 out of 3� sistema.

Zgled 11 Predpostavimo, da imamo TMR sistem sestavljen iz treh komponent,pri £emer je verjetnost delovanja posamezne komponente v opazovani to£ki t0, 9. Z uporabo izraza za izra£un TMR zanesljivosti v £asovni to£ki t bi pri²li doverjetnosti delovanja sistema 0, 972.


1.7.2 N modularna redundanca

V primeru N modularne redundance (NMR) je ²tevilo komponent N pravilomaliho in ve£je od 3, za glasovalnik pa bomo ²e vedno predpostavljali, da je idealen,£emur v praksi ni tako. Za tovrstne sisteme veljata izraza

N = 2n+ 1, (1.58)

Rsys(t) =

2n+1∑i=n+1

B(i : 2n+ 1) = (1.59)

=

2n+1∑i=n+1

(2n+ 1i

)Rx(t)i ∗ (1−Rx(t))2n+1−i.

Ob predpostavljenih konstantnih intenzivnostih odpovedovanja posameznih kom-ponent, pridemo do slike 1.12 povzete po viru [7], ki prikazuje poteke funkcijzanesljivosti v odvisnosti od izbranega N -ja skozi £as.

0 0.2 0.4 0.6 0.8 10.2

0.3

0.4

0.5

0.6

0.7

0.8

0.9

1

t

Rsy

s(t)

N=1N=3N=5

Slika 1.12: Potek zanesljivosti v odvisnosti od ²tevila N .

Iz slike je razvidno, da so vse zanesljivosti doseºene z redundanco �ugodne�do neke to£ke na £asovni osi, pri kateri velja, da je λt = 0, 69. Po tej to£kiso redundantno doseºene zanesljivosti slab²e od neredundantega sistema, zato


moramo venomer za predvideno ºivljensko dobo T preveriti, £e produkt λ ∗T nesega preko omenjene kriti£ne £asovne to£ke. Glede na povedano, je potrebnoza sistem najprej dolo£iti predvideno ºivljensko dobo (angl. mission time, lifetime), ²ele nato pa N in λ.

1.7.3 Serijska vezava N modularnih sistemov

V nekaterih sistemih prenesemo glasovanje na podsistemske sklope, ki so vezaniserijsko. Predpostavimo, da imamo opravka s serijo m podsistemov z verjetno-stjo delovanja posamezne komponente Rx(t) v £asovni to£ki t. Omenjeni sistemje predstavljen na sliki 1.13.

1

2 +1n

G1

1

2 +1n

Gm

IzhodVhod

Slika 1.13: Serijska vezava N redundantnih sistemov.

Za tak²en sistem izra£unamo verjetnost delovanja v £asovni to£ki t po izrazu

Rsys(t) =

[2n+1∑i=n+1

(2n+ 1i

)Rx(t)i ∗ (1−Rx(t))2n+1−i

]m. (1.60)

1.7.4 Glasovalni sistemi z neidealnim glasovalnikom

V realnih sistemih lahko odpove tudi glasovalnik. Vklju£imo moºnost njegoveodpovedi v TMR sistem. Isto£asno predpostavimo, da funkcija zanesljivostiposamezne komponente ni monotono padajo£a, temve£ konstanta [7], £emurv praksi seveda ni tako. Tako iz izraza Rx(t) lahko preidemo na konstantnoverjetnost delovanja posamezne komponente p in s tem posredno na sistemskoverjetnost Psys. Ob znani verjetnosti p za delovanje posamezne komponenteTMR sistema pridemo do dopolnjenega izraza

Psys = pv(3p2 − 2p3), (1.61)

kjer je pv verjetnost pravilnega delovanja glasovalnika. Tudi zanjo predposta-vimo, da ni £asovno pogojena. Cilj redundance je, da postane sistemska ver-jetnost delovanja psys ve£ja od verjetnosti p delovanja posamezne komponente.Iz omenjenega dejstva sledi, da je na² cilj doseganje relacije

psys ≥ p =⇒ psysp≥ 1 =⇒ p ∗ pv(3− 2p) ≥ 1. (1.62)


Slednji cilj je doseºen, ko je minimalni pv (njegova minimalna vrednost naszanima zaradi cene realizacije) tak²en, da zadostimo izrazu p ∗ pv(3 − 2p) = 1,kar je doseºeno glede na maksimum funkcije p ∗ (3− 2p) pri p = 3/4 (glej sliko1.14). V tem primeru bi moral biti pv enak ali ve£ji od 8/9, v ostalih primerihpa ²e ve£ji. Potek funkcije po izrazu p ∗ (3− 2p) je ponazorjen na sliki 1.14.

0.25 0.50 0.75 1.00 p

p p(3-2 )

Slika 1.14: Potek funkcije p ∗ (3− 2p).

1.8 Sistemski pogled na zanesljivost delovanja

V pri£ujo£em poglavju smo spoznali osnove teorije zanesljivosti. Pri njenemspoznavanju smo se sklicevali po eni plati na zanesljivosti delovanja posameznihentitet sistema, po drugi plati pa na zanesljivost delovanja sistema kot celote.Pri izra£unih celotne zanesljivosti opazovanega ra£unalni²kega sistema bi takopod pojmom posameznih entitet ali komponent morali upo²tevati slede£e de-javnike:

• zanesljivost programske opreme;

• zanesljivost strojne opreme;

• zanesljivost upravitelja sistema (npr. administratorja, tehnika, vzdrºe-valca) ali uporabnika, pri £emer oba sodita med t.i. �£love²ke faktorje�;

• pogostost zunanjih nepredvidenih dejavnikov (npr. udar strele in s temposledi£no izpad elektri£nega napajanja itd.);

Glede na povedano lahko naredimo sklep, da je dolo£anje zanesljivosti v praksibolj kompleksen problem, kot je predstavljen v teoriji izra£una zanesljivosti.

Literatura

[1] L. W. Condra, Reliability improvement with design of experiments. MarcelDekker Inc., 2001.

[2] E. A. Elsayed, Reliability Engineering. Addison Wesley Longman Inc., 1996.

[3] M. Xie, Y. S. Dai, and K. L. Poh, Computing systems reliability: Modelsand analysis. Kluwer Academic, 2004.

[4] I. Peterson, Fatal defect - chasing killer computer bugs. Vintage Books, USA,1996.

[5] B. Dodson and D.Nolan, Reliability engineering handbook. Marcel Dekker,Inc., 1999.

[6] M. Rausand and A. Hoyland, System reliability theory: Models, statisticalmethods, and applications. John Wiley & Sons, Inc., 2004.

[7] M. L. Shooman, Reliability of computer systems and networks: fault tole-rance, analysis, and design. J.Wiley and Sons, 2002.

27

teorija zanesljivosti - university of...

Documents