Главная страница
Навигация по странице:

  • Полное резервирование сети

  • 8.3.3. Резервирование беспроводных сетей

  • 8.4. Оценка надежности резервированных систем

  • 5. Заключение к главе «Аппаратное резервирование»

  • Апраратное резервирование. Аппаратное резервирование. Httpbookasutp ruChapter8 aspx Аппаратное резервирование Страница 1 Аппаратное резервирование


    Скачать 1.3 Mb.
    НазваниеHttpbookasutp ruChapter8 aspx Аппаратное резервирование Страница 1 Аппаратное резервирование
    АнкорАпраратное резервирование
    Дата09.06.2022
    Размер1.3 Mb.
    Формат файлаpdf
    Имя файлаАппаратное резервирование.pdf
    ТипДокументы
    #582369
    страница5 из 5
    1   2   3   4   5
    Протокол
    Разработчик,
    стандарт
    Время
    переключения
    на резерв
    Топология
    Наличие
    стандарта
    STP
    IEEE 802.1D
    30 с
    Любая
    Есть
    RSTP
    IEEE 802.1w
    2 с
    Любая
    Есть
    Hyper Ring
    Hirschmann
    0,3 с
    Кольцевая
    Нет
    Turbo Ring
    Moxa
    0,15...0,3 с
    Кольцевая
    Нет
    Rapid Ring
    Contemporary
    Controls
    0,3 с
    Кольцевая
    Нет
    S-Ring
    GarretCom
    0,25 с
    Кольцевая
    Нет
    Real time
    Ring
    Sixnet
    0,08 с
    Кольцевая
    Нет
    Ring Healing
    N-Tron
    0,3 с
    Кольцевая
    Нет
    Super Ring
    Korenix
    0,3 с
    Кольцевая
    Нет
    Self healing
    Ring
    TC Communications
    0,25 с
    Кольцевая
    Нет
    Jet Ring
    Volktek
    0,3 с
    Кольцевая
    Нет
    Метод физического кольца имеет два существенных достоинства: во-первых, он предельно экономичен, поскольку способен восстановить работу сети при отказе любой ее ветви практически без затрат оборудования (дополнительно требуется всего один кабель для замыкания кольца и два лишних порта в двух коммутаторах). Во вторых, он позволяет примерно на порядок сократить время восстановления сети после отказа по сравнению со стандартным методом, использующим RSTP протокол (см. табл. 43
    ).
    К недостаткам метода относится неудобство кольцевой архитектуры, невозможность резервирования коммутаторов и сетевых адаптеров, а также ветвей, идущих от коммутаторов к конечным устройствам. При отказе коммутатора на рис. 19
    - а сеть оказывается разорванной и устройства, подключенные через коммутатор
    , становятся недоступны. Аналогично, рассмотренный метод резервирования не дает эффекта при отказе связи 3 на рис. 19
    -а.
    Два последних недостатка можно преодолеть, если в методе физического кольца использовать оконечные сетевые устройства с двумя Ethernet-портами (устройство

    http://bookasutp.ru/Chapter8_1.aspx
    Аппаратное резервирование
    Страница 33 на рис. 19
    -б), и каждый из этих портов подключить к двум соседним коммутаторам и
    . При отказе коммутатора на рис. 19
    -б мастер включает резервную ветвь и в сети появляется резервный путь к устройству через резервную ветвь и коммутаторы
    ,
    К недостаткам методов физического кольца относится также отсутствие стандартов и, как следствие, несоответствие идеологии открытых систем.
    Полное резервирование сети
    Наименьшее время переключения на резерв предоставляет метод полного дублирование всей сети целиком. Вторым его достоинством является живучесть при отказах не только соединений между коммутаторами, но также и самих коммутаторов, сетевых портов устройств и линий связи устройств с коммутатором. Недостатком является высокая цена, поскольку метод предполагает, что все сетевое оборудование используется в удвоенном количестве.
    Рис. 20. Полное резервирование сети Ethernet
    На рис. 20
    показан пример дублированной сети с шинной топологией. Здесь
    - коммутаторы основной сети,
    - коммутаторы дублирующей сети. Каждое оконечное устройство имеет по два Ethernet-порта, один из которых подключается к основной сети, второй - к резервной. При любом отказе в основной сети (обрыв 1 в ветви между коммутаторами, отказ 2 коммутатора, обрыв 3 ветви между портом оконечного устройства и коммутатором на рис. 20
    ) связь по сети восстанавливается путем переключения портов оконечных устройств на резервную сеть. Переключение выполняется быстро, поскольку метод не требует построения дерева, как в алгоритме STP.
    Разновидностью полного резервирования является одновременное резервирование сети и оконечных устройств [
    Moxa
    ]. В этом случае получаются две полностью независимые системы автоматизации и резервированным оказывается не только сетевое оборудование, но и вся система. Для выбора одной из сетей и обнаружения отказа необходимы средства диагностики, которые могут быть реализованы на основе стандарта IEEE 802.1p/Q [
    Moxa
    ].
    8.3.3. Резервирование беспроводных сетей
    Основным фактором, определяющим надежность связи по беспроводным сетям, является замирание электромагнитных волн. Поэтому резервирование приемопередающей аппаратуры не приводит к повышению коэффициента готовности сети.

    http://bookasutp.ru/Chapter8_1.aspx
    Аппаратное резервирование
    Страница 34
    Как показывают эксперименты, поток ошибок в канале существенно изменяется с течением времени, поэтому беспроводной канал не может гарантировать доставку сообщений в заданный срок, речь может идти только о вероятности такой доставки. Одним из методов повышения вероятности доставки сообщений является резервирование физического канала связи с помощью применения нескольких антенн или нескольких передатчиков с антеннами [
    Willig
    ].
    Метод основан на том факте, что у приемной антенны электромагнитная волна представляет собой суперпозицию многих волн, пришедших с разных направлений после отражений, преломлений и дифракции на окружающих предметах. Если две приемные антенны расположены близко, то они принимают один и тот же сигнал с одинаковыми замираниями. Для того, чтобы сигналы в антеннах не были коррелированны, расстояние между ними должно быть больше некоторого расстояния, называемого дистанцией когерентности.
    Для реализации метода резервирования антенн используется несколько антенн, например, по три антенны на каждом конце канала связи. Передача сообщений выполняется пакетами. Один и тот же пакет передается по очереди первой антенной, второй, затем третьей. На приемном конце пакеты сравниваются методом мажоритарного голосования или проверяются их контрольные суммы, чтобы выделить пакет без ошибок.
    Используется также выделение достоверных сообщений с помощью анализа отдельных символов сообщения, а не пакетов [
    Alamouti
    ], избыточное кодирование и сложная обработка сигналов [
    Paulraj
    ].
    Как показано в работе [
    Willig
    ], добавление каждой очередной антенны позволяет снизить вероятность ошибки в канале в 10 раз. При этом под вероятностью ошибки понимается вероятность неполучения пакета за заданное время, поскольку в
    [
    Willig
    ] был использован метод ARQ (Automatic Repeat reQuest - "автоматический повтор запроса"), когда передающая станция повторяет передачу до тех пор, пока не получит подтверждение об успешном приеме или пока не истечет установленное время таймаута.
    8.4. Оценка надежности резервированных систем
    Надежность автоматизированной системы является комплексной характеристикой системы и состоит из нескольких показателей, основными из которых являются безотказность и ремонтопригодность. Безотказность численно характеризуется средней наработкой до отказа (MTTF - "Mean Time to Failure"), обозначается буквой , или интенсивностью отказов
    ("Average probability of failure per hour"), а также вероятностью безотказной работы в течение заданного времени .
    Ремонтопригодность характеризуется средним временем восстановления после отказа
    (MTTR - "Mean Time To Repair") или вероятностью восстановления в течение заданного времени.
    Для расчета показателей надежности сложных систем, состоящих из большого количества элементов, используют метод декомпозиции (расчет надежности по частям). Если показатели надежности отдельных элементов (в том числе резервированных) заданы или рассчитаны, то вероятность безотказной работы системы рассчитывают следующим образом. Событие, состоящее в безотказной работе -того элемента системы, обозначают символами , а противоположное событие (отказ элемента) обозначают как . Отказ

    http://bookasutp.ru/Chapter8_1.aspx
    Аппаратное резервирование
    Страница 35 системы без резервирования наступает при отказе хотя бы одного элемента. Поэтому событие, состоящее в безотказной работе системы
    , равно произведению событий , т. е.
    , где - количество элементов в системе. Вероятность произведения независимых событий равна произведению вероятностей событий. Поэтому вероятность работоспособного состояния системы равна
    (9)
    Учитывая зависимость вероятности безотказной работы элементов от времени (5) для каждого -того элемента, предыдущее выражение можно записать в виде
    =
    =
    ,
    (10) где
    =
    ,
    (11)
    - интенсивность отказа всей системы;
    - интенсивность отказа -того элемента.
    Поскольку в эксплуатационной документации обычно указывают среднюю наработку до отказа, которая связана с интенсивностью отказов соотношением (8), то, пользуясь выражением (11), наработку до отказа всей системы можно представить в виде где - наработка до отказа -того элемента.
    В частности, для системы из одинаковых элементов с наработкой =
    =
    ,
    (13) т. е. наработка на отказ системы обратно пропорциональна количеству ее элементов.
    Резервированный элемент (контроллер, датчик и др.) при расчете надежности можно рассматривать как один элемент системы, если для него найдены показатели надежности.
    Поскольку в системах автоматизации используются, как правило, только два вида резервирования: горячее резервирование замещением и резервирование методом
    =
    ,
    (12)

    http://bookasutp.ru/Chapter8_1.aspx
    Аппаратное резервирование
    Страница 36 голосования, то при расчете их показателей безотказности можно обойтись без аппарата цепей Маркова [
    Александровская
    ], ограничившись алгеброй случайных событий и теорией вероятностей. При расчете вероятности отказа "теплое" резервирование не отличается от горячего.
    В случае горячего резервирования два элемента (например, два ПЛК) находятся постоянно во включенном состоянии и при отказе одного из них в работу включается второй. Если считать, что общие элементы, обеспечивающие процесс резервирования, абсолютно надежны, то безотказная работа резервированной системы
    , состоящей из двух ПЛК, будет обеспечена, если работоспособен хотя бы один из них.
    Обозначим событие, состоящее в безотказной работе 1-го элемента как
    , 2-го как
    , а противоположные им события (отказы элементов) как и
    . Тогда событие, состоящее в работоспособности резервированной системы (в данном примере система состоит из двух ПЛК), будет иметь место, если работоспособен первый ПЛК и одновременно работоспособен второй (
    ) ИЛИ работоспособен первый и отказал второй (
    ) ИЛИ отказал первый и работоспособен второй: (
    ), т.е.
    =
    +
    +
    =
    =
    (14)
    Найдем теперь вероятность работоспособности системы
    , пользуясь тем, что события
    , и несовместны (т.е. не могут иметь место в одно и то же время), следовательно, вероятность суммы событий равна сумме вероятностей каждого из них, а вероятность произведения событий равна произведению вероятностей:
    =
    =
    =
    =
    =
    (
    (15)
    Здесь использовано также свойство
    Поскольку элементы в резервированной системе идентичны, то и, обозначая
    , получим
    =
    (16)
    Подставляя сюда вместо его зависимость от времени (5), получим вероятность безотказной работы системы при горячем резервировании в виде
    =
    ,
    (17) где
    - интенсивность отказов элемента без резервирования.

    http://bookasutp.ru/Chapter8_1.aspx
    Аппаратное резервирование
    Страница 37
    Плотность распределения времени до отказа (частота отказов) согласно (6) равна
    =
    ,
    (18) а среднее время наработки до отказа
    ,
    (19) где
    - средняя наработка на отказ одного контроллера. Интеграл в (8.19) берется по частям.
    Рассуждая аналогично, можно получить вероятность безотказной работы системы из трех элементов, например, трех контроллеров, в схеме голосования 2оо3. Обозначим события, состоящие в работоспособности трех элементов соответственно и
    , а противоположные им события (отказы) - как и
    . Тогда резервированная система будет работоспособной, если работоспособны первый И второй И отказал третий контроллер ИЛИ работоспособен первый И третий И отказал второй контроллер ИЛИ работоспособен второй И третий И отказал первый контроллер ИЛИ работоспособны все три контроллера одновременно, т.е.
    =
    (20)
    Переходя от событий к их вероятностям и учитывая, что слагаемые в (20) являются событиями несовместными, а также считая, что все контроллеры идентичны, т.е.
    , получим:
    =
    =
    ,
    (21) поэтому
    =
    (22)
    Графики зависимостей (8.17) и (8.22) показаны на (
    рис. 21
    -а).
    Плотность распределения времени до отказа (частота отказов) согласно (6) равна
    =
    ,
    (23) а среднее время наработки до отказа

    http://bookasutp.ru/Chapter8_1.aspx
    Аппаратное резервирование
    Страница 38
    ,
    (24) где - средняя наработка на отказ одного контроллера.
    Обратим внимание, что средняя наработка до отказа у системы с голосованием получилась ниже, чем у нерезервированной системы. Это объясняется тем, что система с
    тремя контроллерами и голосованием по схеме 2оо3 не является троированной, а имеет дробную кратность резервирования 1:2, т.е. в ней резервный элемент - один, а резервируемых - два, поскольку в схеме голосования только наличие двух работоспособных контроллеров обеспечивает работоспособность системы. Поэтому эффект снижения безотказности вследствие нарастания числа элементов в системе (13) при больших наработках оказывается сильнее эффекта резервирования. График вероятности безотказной работы для системы с голосованием (
    рис. 21
    -б) идет ниже, чем у системы без резервирования, начиная с некоторого значения наработки, а средняя наработка до отказа получается меньше. а) б)
    Рис. 21. Вероятность безотказной работы ПЛК с =500 тыс. час. в течение времени наработки для случаев дублирования, голосования по схеме 2оо3 и при отсутствии резервирования. Графики а) и б) отличаются масштабом.
    Сравнение систем только по средней наработке до отказа может вводить в заблуждение так же, как "средняя температура по больнице". Такое сравнение эффективно только для случаев, когда функциональные зависимости элементов имеют одинаковый вид. Для систем с резервированием это условие не выполняется. Поэтому следует делать сравнение по более информативному показателю - вероятности безотказной работы, которая у системы с голосованием в течение практически всего времени эксплуатации значительно больше, чем у системы без резервирования (
    рис. 21
    -а и -б).
    Графики, приведенные на рис. 21
    , иллюстрируют вероятность безотказной работы системы, в которой после отказа одного из элементов не выполняется его замена или ремонт. Если же замена элемента производится сразу, то понятие вероятности безотказной работы теряет значение, поскольку после замены вероятность отказа без замены элемента реализоваться не может. Актуальной становится длительность перехода на резерв, а также продолжительность выполнения горячей замены или восстановления после отказа. Поэтому для обслуживаемых систем автоматизации целью резервирования

    http://bookasutp.ru/Chapter8_1.aspx
    Аппаратное резервирование
    Страница 39 является обеспечение непрерывности процесса управления или увеличение коэффициента готовности, но не увеличение вероятности безотказной работы. По этим же характеристикам система с голосованием превосходит все остальные.
    Проделанный выше сравнительный анализ двух методов резервирования не может быть использован для систем безопасности, в которых вероятности опасного и безопасного отказов различны. Если в системах 2оо3, где требуется безотказность, после отказа двух элементов наступает отказ всей системы, то в системах безопасности опасный
    отказ наступает только после того, как исчерпаны все варианты деградации (например,
    2оо3 - 1оо2 - 1001 - 0). Таким образом, для анализа вероятности опасного отказа система
    2оо3 имеет кратность резерва не 2:1, а 1:2, т.е. она является троированной; после отказа одного элемента становится дублированной, после отказа двух элементов становится не резервированной и только после отказа всех трех элементов наступает отказ системы.
    Кроме того, для анализа систем, связанных с безопасностью, важна не вероятность отказа, а вероятность отказа при наличии запроса [
    МЭК
    ] которая рассчитывается иным путем.
    Поскольку автоматизированная система выполняет множество самостоятельных задач (функций), то параметры надежности по ГОСТ 24.701-86 [
    ГОСТ
    ] оцениваются не для всей системы, а для каждой выполняемой функции отдельно.
    При количественных оценках параметров надежности, а также при интерпретации полученных результатов следует учитывать достоверность исходных данных. Существующие методы экспериментальной оценки показателей надежности
    [
    ГОСТ
    ,
    ГОСТ
    ] были разработаны во времена, когда наработка на отказ вычислительных машин (EC-1061, "Электроника Д3-28" и др.) составляла от нескольких часов до нескольких суток. Экспериментальный материал по отказам, собранный в течение месяца, был достаточен не только для оценки наработки на отказ, но даже для построения функций распределения, изучения зависимостей параметров надежности от условий эксплуатации (температуры, вибрации, влажности и т. п.).
    С тех пор ситуация изменилась коренным образом. Появилась технология поверхностного монтажа, увеличилась степень интеграции микросхем, были разработаны новые материалы для монтажа и изготовления печатных плат. Надежность электронных изделий возросла настолько, что экспериментальные данные невозможно накопить в достаточном количестве не только при стендовых испытаниях у изготовителя, но даже путем анализа отказов изделий, возвращенных потребителями в течение гарантийного срока (такая методика используется фирмой GE Fanuc [
    Programmable
    ]). Так, из 3 тыс. модулей ввода-вывода
    RealLab!
    серии NL [
    Денисенко
    ], проданных фирмой
    НИЛ АП
    , в течение гарантийного срока не было ни одного возврата по причине аппаратного отказа.
    Кроме того, ПЛК не относятся к изделиям массового производства и поэтому за период между сменой их поколений количество отказавших изделий может оказаться недостаточным для расчета наработки на отказ. Получить же зависимость показателей надежности от условий эксплуатации еще более проблематично.
    Ускоренные испытания
    [
    Федоров
    ], широко применяемые в полупроводниковом производстве, неприменимы к ПЛК из-за невозможности экспериментального или расчетного определения коэффициентов подобия.
    В то же время органы сертификации, в соответствии с существующими стандартами, требуют обязательного указания параметров надежности в ТУ и

    http://bookasutp.ru/Chapter8_1.aspx
    Аппаратное резервирование
    Страница 40 эксплуатационной документации на изделие. Одним из реально осуществимых методов оценки показателей надежности является использование статистических данных объектов-аналогов по ГОСТ 27.301-95 [
    ГОСТ
    ]. Поскольку аналоги, как правило, являются изделиями, изготовленными по устаревшей технологии, показатели надежности оказываются заниженными, по крайне мере, на порядок.
    Рассмотрим, например, вероятность безотказной работы процессора CPU 313C-
    2DP фирмы Siemens, на который изготовителем указывается наработка на отказ (MTBF)
    =16,9 лет [
    Product
    ]. В соответствии с (8.4) и (8.5), вероятность отказа процессора в течение гарантийного срока 18 мес. будет равна
    =0,08. Поскольку оценка вероятности отказа рассчитывается как доля отказавших изделий в испытуемой партии, то, например, из 1000 находящихся в эксплуатации процессоров в течение гарантийного срока должны отказать в среднем 80 шт. и только 920 шт. остаться исправными. Однако любой пользователь продукции Siemens скажет, что эта цифра отличается от реальной, по крайней мере, на порядок. Можно было бы предположить, что наработка на отказ занижена потому, что при ее экспериментальном определении условия испытаний были выбраны предельными. Однако документ "Reliability Consulting" ("Консультация по надежности"), расположенный рядом с таблицей наработок на отказ [
    Reliability
    ] указывает только одно условие: температура при испытаниях составляет 40 °С, и не дает методики пересчета для других условий эксплуатации. Выглядит странным также указание наработки на отказ тремя значащими цифрами, что по теории погрешностей должно означать, что приведенные данные отличаются от действительных не более чем на 1%.
    Наличие большого числа парадоксов наводит на мысль, что показатели надежности, указываемые производителями электронных средств автоматизации, определяются политическими, а не техническими факторами, и по мере совершенствования технологии производства мы будем наблюдать только снижение достоверности этих показателей. В этих условиях о надежности изделий лучше судить по общей репутации фирмы и наличии системы управления качеством на базе стандартов
    ISO 9001 или ISO 9014, но не по наработке на отказ.
    5. Заключение к главе «Аппаратное резервирование»
    В системах автоматизации нашли широкое применение только два метода резервирования: горячее резервирование замещением и метод голосования. Основной целью резервирования является обеспечение высокого коэффициента готовности.
    Вероятность безотказной работы важна только для редко обслуживаемых систем автоматизации. Метод голосования позволяет также обеспечить непрерывность процесса управления.
    Методы резервирования систем, связанных с безопасностью, имеют ряд особенностей, порождаемых делением отказов на опасные и безопасные.
    При проектировании резервированных систем особое внимание следует уделять устранению отказов по общим причинам, которые могут обесценить все затраты на резервирование.
    Наиболее эффективным методом резервирования промышленных сетей является метод физического кольца, если в качестве критерия эффективности использовать отношение надежности к стоимости.
    Достоверность оценок вероятности безотказной работы электронных средств автоматизации крайне низка и по мере совершенствования технологии производства будет только снижаться.
    1   2   3   4   5


    написать администратору сайта