Избыточность (инженерия)

Дублирование критических компонентов для повышения надежности системы

Общий резервный источник питания

Резервная подсистема «Б»

Установка избыточного заднего освещения на тайском туристическом автобусе

В инженерии и теории систем избыточность — это преднамеренное дублирование критических компонентов или функций системы с целью повышения надежности системы , обычно в форме резервного копирования или отказоустойчивости , или для улучшения фактической производительности системы, например, в случае приемников GNSS или многопоточной компьютерной обработки.

Во многих критически важных для безопасности системах , таких как системы управления по проводам и гидравлические системы в самолетах , некоторые части системы управления могут быть утроены, ^[1] что формально называется тройным модульным резервированием (TMR). Ошибка в одном компоненте может быть перекрыта двумя другими. В тройной избыточной системе система имеет три подкомпонента, все три из которых должны выйти из строя, прежде чем система выйдет из строя. Поскольку каждый из них выходит из строя редко, а подкомпоненты спроектированы так, чтобы исключить общие режимы отказа (которые затем можно смоделировать как независимый отказ), вероятность отказа всех трех рассчитывается как чрезвычайно малая; ее часто перевешивают другие факторы риска, такие как человеческая ошибка . Электрические скачки, возникающие из-за ударов молнии , являются примером режима отказа, который трудно полностью изолировать, если только компоненты не питаются от независимых шин питания и не имеют прямого электрического пути в их межсоединении (для голосования требуется связь каким-либо образом). Избыточность может также быть известна под терминами «системы большинства голосов» ^[2] или «логика голосования» ^{[3] .}

Многочисленные тросы подвесного моста являются своего рода избыточностью.

Избыточность иногда приводит к снижению надежности вместо повышения — она создает более сложную систему, подверженную различным проблемам, может привести к небрежному отношению со стороны человека и может привести к более высоким производственным требованиям, которые, перегружая систему, могут сделать ее менее безопасной. ^[4]

Избыточность — это одна из форм надежности , применяемая в информатике .

Географическая избыточность приобрела важное значение в отрасли центров обработки данных для защиты данных от стихийных бедствий и политической нестабильности (см. ниже).

Формы увольнения

В информатике существует четыре основных формы избыточности: ^[5]

• Аппаратное резервирование, например, двойное модульное резервирование и тройное модульное резервирование
• Избыточность информации, например методы обнаружения и исправления ошибок
• Избыточность по времени, выполнение одной и той же операции несколько раз, например, многократное выполнение программы или передача нескольких копий данных.
• Избыточность программного обеспечения, например, программирование N-версий

Модифицированная форма программной избыточности, применяемая к оборудованию, может быть:

• Отдельная функциональная избыточность, например, как механическое, так и гидравлическое торможение в автомобиле. Применяется в случае программного обеспечения, кода, написанного независимо и отчетливо отличающегося, но дающего одинаковые результаты для одинаковых входных данных.

Конструкции обычно проектируются с избыточными частями, что гарантирует, что если одна часть выйдет из строя, вся конструкция не разрушится. Конструкция без избыточности называется критичной к разрушению , что означает, что один сломанный компонент может вызвать обрушение всей конструкции. К мостам, которые разрушились из-за отсутствия избыточности, относятся Серебряный мост и мост Interstate 5 через реку Скагит .

Параллельные и комбинированные системы демонстрируют разный уровень избыточности. Модели являются предметом исследований в области надежности и техники безопасности. ^[6]

Неодинаковая избыточность

В отличие от традиционной избыточности, которая использует более одного экземпляра одной и той же вещи, разнородная избыточность использует разные вещи. Идея заключается в том, что разные вещи вряд ли будут содержать одинаковые недостатки. Метод голосования может включать дополнительную сложность, если две вещи занимают разное количество времени. Разнородная избыточность часто используется с программным обеспечением, поскольку идентичное программное обеспечение содержит одинаковые недостатки.

Вероятность отказа снижается при использовании не менее двух различных типов каждого из следующих:

• процессоры,
• операционные системы,
• программное обеспечение,
• датчики,
• типы приводов (электрические, гидравлические, пневматические, ручные механические и т. д.)
• протоколы связи,
• коммуникационное оборудование,
• сети связи,
• пути сообщения ^{[7] [8] [9]}

Географическая избыточность

Географическая избыточность устраняет уязвимости избыточных устройств, развернутых путем географического разделения резервных устройств. Географическая избыточность снижает вероятность таких событий, как отключение электроэнергии , наводнения , отказы систем отопления , вентиляции и кондиционирования воздуха, удары молний , ​​торнадо , пожары в зданиях, лесные пожары и массовые расстрелы, которые могут вывести из строя большую часть системы, если не всю ее.

Географические места избыточности могут быть

• более 621 мили (999 км) континентальной части , ^[10]
• более 62 миль друг от друга и менее 93 миль (150 км) друг от друга, ^[10]
• менее чем в 62 милях друг от друга, но не на одном кампусе, или
• разные здания, расположенные на расстоянии более 300 футов (91 м) друг от друга на одном кампусе.

Следующие методы могут снизить риск ущерба от пожара :

• большие здания на расстоянии не менее 80 футов (24 м) - 110 футов (34 м) друг от друга, но иногда не менее 210 футов (64 м) друг от друга. ^{[11] [12] : 9}
• высотные здания на расстоянии не менее 82 футов (25 м) друг от друга ^{[12] : 12  [13]}
• открытые пространства, свободные от легковоспламеняющейся растительности в радиусе 200 футов (61 м) с каждой стороны объектов ^[14]
• разные крылья одного здания, в помещениях, которые находятся на расстоянии более 300 футов (91 м) друг от друга
• разные этажи в одном крыле здания в помещениях, которые смещены по горизонтали минимум на 70 футов (21 м) с противопожарными стенами между помещениями, которые находятся на разных этажах
• две комнаты, разделенные еще одной комнатой, оставляя между ними зазор не менее 70 футов
• должно быть как минимум две отдельные противопожарные стены на противоположных сторонах коридора ^[10]

Географическая избыточность используется Amazon Web Services (AWS), Google Cloud Platform (GCP), Microsoft Azure, Netflix, Dropbox, Salesforce, LinkedIn, PayPal, Twitter, Facebook, Apple iCloud, Cisco Meraki и многими другими для обеспечения географической избыточности, высокой доступности, отказоустойчивости и обеспечения доступности и надежности их облачных сервисов. ^[15]

В качестве другого примера, чтобы минимизировать риск ущерба от сильных ураганов или ущерба от воды, здания могут быть расположены на расстоянии не менее 2 миль (3,2 км) от берега, с высотой не менее 5 футов (1,5 м) над уровнем моря. Для дополнительной защиты они могут быть расположены на расстоянии не менее 100 футов (30 м) от пойменных территорий. ^{[16] [17]}

Функции избыточности

Две функции избыточности — пассивная избыточность и активная избыточность . Обе функции предотвращают снижение производительности, превышающее пределы спецификации, без вмешательства человека, используя дополнительную емкость.

Пассивное резервирование использует избыточную мощность для снижения влияния отказов компонентов. Одной из распространенных форм пассивного резервирования является дополнительная прочность кабелей и стоек, используемых в мостах. Эта дополнительная прочность позволяет некоторым структурным компонентам выходить из строя без обрушения моста. Дополнительная прочность, используемая в конструкции, называется запасом прочности.

Глаза и уши являются рабочими примерами пассивной избыточности. Потеря зрения на один глаз не приводит к слепоте, но нарушается восприятие глубины . Потеря слуха на одно ухо не приводит к глухоте, но теряется направленность. Снижение производительности обычно связано с пассивной избыточностью, когда происходит ограниченное количество сбоев.

Активное резервирование устраняет снижение производительности путем мониторинга производительности отдельных устройств, и этот мониторинг используется в логике голосования. Логика голосования связана с переключением, которое автоматически перенастраивает компоненты. Обнаружение и исправление ошибок и Глобальная система позиционирования (GPS) являются двумя примерами активного резервирования.

Распределение электроэнергии является примером активного резервирования. Несколько линий электропередач соединяют каждое генерирующее предприятие с потребителями. Каждая линия электропередач включает в себя мониторы, которые обнаруживают перегрузку. Каждая линия электропередач также включает в себя автоматические выключатели. Сочетание линий электропередач обеспечивает избыточную мощность. Автоматические выключатели отключают линию электропередач, когда мониторы обнаруживают перегрузку. Электроэнергия перераспределяется по оставшимся линиям. ^{[ необходима цитата ]} В аэропорту Торонто есть 4 резервные электрические линии. Каждая из 4 линий обеспечивает достаточное питание для всего аэропорта. Подстанция точечной сети использует реле обратного тока для размыкания выключателей на линиях, которые выходят из строя, но позволяет электроэнергии продолжать поступать в аэропорт.

Системы электропитания используют планирование мощности для перенастройки активного резервирования. Вычислительные системы корректируют выход продукции каждого генерирующего объекта, когда другие генерирующие объекты внезапно выходят из строя. Это предотвращает условия отключения электроэнергии во время крупных событий, таких как землетрясение.

Недостатки

Чарльз Перроу , автор книги «Обычные несчастные случаи» , сказал, что иногда избыточность приводит к обратному эффекту и снижает, а не повышает надежность. Это может произойти тремя способами: во-первых, избыточные устройства безопасности приводят к более сложной системе, более подверженной ошибкам и несчастным случаям. Во-вторых, избыточность может привести к уклонению от ответственности среди рабочих. В-третьих, избыточность может привести к увеличению производственного давления, в результате чего система работает на более высоких скоростях, но менее безопасно. ^[4]

Логика голосования

Логика голосования использует мониторинг производительности для определения того, как перенастроить отдельные компоненты, чтобы работа продолжалась без нарушения ограничений спецификации всей системы. Логика голосования часто включает компьютеры, но системы, состоящие из элементов, отличных от компьютеров, могут быть перенастроены с использованием логики голосования. Автоматические выключатели являются примером формы некомпьютерной логики голосования.

Простейшая логика голосования в вычислительных системах включает два компонента: основной и альтернативный. Они оба работают на схожем программном обеспечении, но выход альтернативного компонента остается неактивным во время нормальной работы. Основной компонент контролирует себя и периодически отправляет сообщение об активности альтернативному компоненту, пока все в порядке. Все выходы основного компонента останавливаются, включая сообщение об активности, когда основной компонент обнаруживает неисправность. Альтернативный компонент активирует свой выход и берет на себя управление основным компонентом после короткой задержки, когда сообщение об активности прекращается. Ошибки в логике голосования могут привести к тому, что оба выхода будут активными или неактивными одновременно или заставят выходы мерцать, включая и выключаясь.

Более надежная форма логики голосования включает нечетное число из трех или более устройств. Все выполняют идентичные функции, а выходные данные сравниваются логикой голосования. Логика голосования устанавливает большинство, когда есть несогласие, и большинство будет действовать, чтобы деактивировать выход от других устройств, которые не согласны. Одиночная неисправность не нарушит нормальную работу. Этот метод используется с системами авионики , такими как те, которые отвечают за работу Space Shuttle .

Расчет вероятности отказа системы

Каждый дублирующий компонент, добавленный в систему, снижает вероятность отказа системы в соответствии с формулой:

${\displaystyle {p}=\prod _{i=1}^{n}p_{i}}$

где:

• ${\displaystyle n}$– количество компонентов
• ${\displaystyle p_{i}}$– вероятность отказа компонента i
• ${\displaystyle p}$– вероятность отказа всех компонентов (отказ системы)

Эта формула предполагает независимость событий отказа. Это означает, что вероятность отказа компонента B при условии, что компонент A уже вышел из строя, такая же, как вероятность отказа B, когда компонент A не вышел из строя. Существуют ситуации, когда это неразумно, например, использование двух блоков питания, подключенных к одной розетке таким образом, что если один блок питания выйдет из строя, другой тоже выйдет из строя.

Также предполагается, что для поддержания работоспособности системы необходим только один компонент.

Избыточность и высокая доступность

Вы можете достичь более высокой доступности за счет избыточности. Допустим, у вас есть три избыточных компонента: A, B и C. Вы можете использовать следующую формулу для расчета доступности всей системы:

Наличие избыточных компонентов = 1 - (1 - наличие компонента A) X (1 - наличие компонента B) X (1 - наличие компонента C) ^{[18] [19]}

Следовательно, если у вас есть N параллельных компонентов, каждый из которых имеет X доступностей, то:

Наличие параллельных компонентов = 1 - (1 - X)^ N

10 хостов, каждый из которых имеет 50% доступности. Но если они используются параллельно и выходят из строя независимо, они могут обеспечить высокую доступность.

Использование избыточных компонентов может экспоненциально повысить доступность всей системы. ^[19]  Например, если каждый из ваших хостов имеет доступность только 50%, используя 10 хостов параллельно, вы можете достичь доступности 99,9023%.

Однако следует отметить, что добавление избыточности не всегда приводит к повышению доступности. По словам Марка Брукера, для достижения высокой доступности ваши избыточные компоненты должны соответствовать следующим условиям ^[20] :

• Резервные компоненты должны выходить из строя независимо друг от друга.
• Сложность, возникающая из-за введения избыточности, не должна приводить к увеличению доступности за счет дополнительных затрат.
• Система должна иметь возможность работать в режиме пониженной производительности.
• Система должна надежно определять, какие из избыточных компонентов исправны, а какие — неисправны.
• Система должна иметь возможность вернуться в режим полного резервирования.

Смотрите также

• Воздушный зазор (сеть)  – Мера безопасности сети
• Общая причина и особая причина (статистика)  – Концепция статистики
• Избыточность данных  – наличие дополнительных данных к фактическим данным, которые могут позволить исправить ошибки в хранимых или передаваемых данных.Страницы, отображающие описания викиданных в качестве резерва
• Двойное переключение  – использование многополюсного переключателя для замыкания или размыкания двух сторон цепи.Страницы, отображающие описания викиданных в качестве резерва
• Отказоустойчивость  – устойчивость систем к отказам компонентов или ошибкам
• Радиационное упрочнение  – процессы и методы, используемые для создания электронных устройств, устойчивых к ионизирующему излучению.
• Фактор безопасности  – прочность системы сверх предполагаемой нагрузки
• Надежность техники  – раздел системной инженерии, который уделяет особое внимание надежности.
• Теория надежности старения и долголетия  – Биофизическая теория
• Техника безопасности  – инженерная дисциплина, которая гарантирует, что спроектированные системы обеспечивают приемлемый уровень безопасности.
• Надежность (компьютерные сети)  – возможность подтверждения протокола
• MTBF  – прогнозируемое время между собственными отказами системы во время работыСтраницы, отображающие краткие описания целей перенаправления
• Избыточность N+1  – форма устойчивости с независимыми резервными компонентами
• Отказоустойчивая компьютерная система  – Устойчивость систем к отказам компонентов или ошибкамСтраницы, отображающие краткие описания целей перенаправления
• ZFS  – Файловая система
• Византийская ошибка  – ошибка в компьютерной системе, которая проявляется по-разному у разных наблюдателей.
• Византийский Паксос  – Семейство протоколов для решения консенсуса
• Квантовое византийское соглашение  – Квантовая версия протокола византийского соглашения
• Задача двух генералов  – Мысленный эксперимент
• Вырождение  – процесс в биологии

Ссылки

1. Метод управления избыточностью для компьютеров космических челноков (PDF), IBM Research
2. Р. Джаяпал (2003-12-04). «Аналоговая схема голосования более гибкая, чем ее цифровая версия». elecdesign.com. Архивировано из оригинала 2007-03-03 . Получено 2014-06-01 .
3. "Аэрокосмическая корпорация | Обеспечение успеха космической миссии". Aero.org. 2014-05-20 . Получено 2014-06-01 .
4. Скотт Д. Саган (март 2004 г.). "Извлечение уроков из обычных аварий" (PDF) . Организация и окружающая среда . Архивировано из оригинала (PDF) 2004-07-14.
5. Корен, Израиль; Кришна, К. Мани (2007). Отказоустойчивые системы . Сан-Франциско, Калифорния: Morgan Kaufmann. стр. 3. ISBN 978-0-12-088525-1.
6. [1] Смитсоновский институт | Управление по охране труда, здоровья и окружающей среды | Руководство по проектированию систем противопожарной защиты и безопасности жизнедеятельности. Независимые источники | Объекты, максимальный возможный ущерб от пожара которых превышает 50 миллионов долларов, должны иметь два независимых источника воды для противопожарной защиты.
7. [2] Почему разнородные избыточные архитектуры необходимы для DAL A | Curtis Wright Defense Systems ]
8. [3] Цепи пожарной сигнализации | Цепь класса X продолжит работать при единичном обрыве или единичном коротком замыкании за счет использования резервного пути.
9. [4] Защита от силы молнии | для защиты от индуцированных скачков напряжения, а не от прямых ударов молнии. 1 февраля 2005 г. Витая пара
10. [5] Резервирование центра обработки данных | HM Brotherton и J. Eric Dietz | Компьютерные информационные технологии, Университет Пердью
11. [6] Фабричное общество взаимного страхования | 1-20 Защита от внешнего воздействия пожара
12. [7] Национальный исследовательский совет | Канада | Отдел исследований в области строительства | Пространственное разделение зданий | Ноябрь 1959 г.
13. [8] Руководство по проектированию высотных зданий | Город Торонто | Март 2013 г. | Страница 52 | расстояние между башнями на одном участке 25 метров или более
14. [9] Защита жилых домов от лесных пожаров | Говард Э. Мур (Общий технический отчет PSW-50) | страница 30, пункт 10.
15. [10] Локальное облако — это провал. У Google есть решение | Элиас Хнасер | 17.05.2023
16. https://www.archives.gov/files/records-mgmt/storage-standards-toolkit/file3.pdf Стандарты для объектов хранения записей
17. https://www.archives.gov/preservation/storage/presidential-library-standards.html Стандарты постоянного хранения записей и президентских библиотек
18. Системная поддержка: процессы приобретения и проектирования для поддержки критически важных и устаревших систем . 2022. ISBN 9789811256868.
19. Надежность и доступность техники: моделирование, анализ и приложения . 2017. ISBN 978-1107099500.
20. Понимание распределенных систем . 2022. ISBN 9781838430214.

Внешние ссылки

• Безопасное движение с использованием усовершенствованного избыточного управления
• Использование линии электропередач в качестве резервного канала связи
• Flammini, Francesco; Marrone, Stefano; Mazzocca, Nicola; Vittorini, Valeria (2009). «Новый подход к моделированию оценки безопасности N-модульных избыточных компьютерных систем при наличии несовершенного обслуживания». Надежность техники и безопасность систем . 94 (9): 1422–1432. arXiv : 1304.6656 . doi :10.1016/j.ress.2009.02.014. S2CID  6932645.