Надежная инженерная система после выбора качественных элементов

Надежная инженерная система после выбора качественных элементов

В 1958 году Клод Шеннон, опубликовал статью: Вклад фон Неймана в теорию автоматов / Von Neumann’s contributions to automata theory, где в реферативной форме рассказал о результатах коллеги, полученных в 1956 году:

Надёжные машины и ненадёжные элементы. Одна из важных частей работы, проделанной фон Нейманом в теории автоматов, относится к проблеме синтеза надёжных машин из ненадёжных элементов.

Пусть дано множество элементарных блоков с некоторыми положительными вероятностями неправильного функционирования. Можно ли из этих блоков при помощи соответствующего метода синтеза строить произвольно большие и сложные автоматы, для которых вероятность появления ошибки на выходе поддавалась бы контролю? Можно ли сделать вероятность ошибки сколь угодно малой или хотя бы не превосходящей некоторого фиксированного значения (не зависящего от конкретного автомата)?

Мозг человека и животных даёт нам пример очень большой и относительно надёжной системы, построенной из индивидуальных компонент, нейронов, которые ненадёжны не только в выполнении операций, но и в тонких деталях взаимосвязи. Более того, хорошо известно, что при повреждении, несчастном случае, болезни и т. д. мозг продолжает функционировать замечательно правильно, даже если поражены его большие области.

Эти факты представляют сильный контраст по сравнению с поведением и организацией современных вычислительных машин. Индивидуальные элементы этих машин должны быть выполнены с чрезвычайной надёжностью, каждый провод должен быть соединен нужным образом и каждая команда в программе должна быть правильной. Любая ошибка в элементе, в соединении элементов или в программе обычно приводит к полному искажению результатов. Если рассматривать мозг как машину, то, очевидно, что предохранение от ошибок организовано в нём совершенно иначе, чем в вычислительных машинах.

Эта проблема аналогична проблеме, возникающей в теории связи, когда требуется построить такие коды для передачи информации, что надёжность полного кода высока даже в тех случаях, когда надёжность передачи отдельных символов мала. В теории связи эту проблему можно решить соответствующим введением избыточности, и в данном случае нужно применить аналогичные приёмы. Здесь недостаточно простого выполнения одних и тех же вычислений много раз подряд и выбора значения по большинству. Значение по большинству берётся от ненадёжных элементов, и так много раз подряд – значение по большинству от значений по большинству и т. д. Здесь возникает ситуация: кто будет сторожить сторожа.

Исследование этих проблем фон Нейман начал с рассмотрения формальной структуры автомата. Та система, которую он выбрал, аналогична модели Мак-Каллоха-Питтса; схемы состоят из отдельных элементов относительно простого типа, связанных между собой. Каждый элемент получает двоичные сигналы на входы от множества различных входных линий и выдаёт выходные двоичные сигналы на некоторую исходную линию. Сигнал на выходе появляется через целое число единиц времени после подачи сигнала на вход. Если бы выходной сигнал был функцией значений входных сигналов, имелся бы надёжный элемент, который может выполнять операцию и, не, штрих Шеффера и т.д. Однако если выходной сигнал зависит от входных только статистически, например, с вероятностью 1 – є, на выходе получается штрих Шеффера и с вероятностью е – отрицание этой операции, то имеется ненадёжный элемент. Если же дано неограниченное число таких ненадёжных элементов, например элементов для реализации штриха Шеффера, то можно ли из них построить надёжный вариант любого заданного автомата? Фон Нейман показал, что это можно сделать, и проиллюстрировал это двумя совершенно различными приёмами. Первый из них, возможно, более красив математически, так как он тесно связан с описанной проблемой и близко подходит к проблеме сторожа.

Решение состоит в конструировании из трёх ненадёжных подсхем и некоторых сравнивающих устройств одной более крупной и более надёжной подсхемы, выполняющей ту же функцию, что и исходная подсхема. Проделывая это для каждого элемента схемы с ненадёжными элементами, получим схему с тем же поведением, что и у заданной, но состоящую из ненадёжных элементов.

Первый приём, как он указывал, страдает двумя недостатками. Во-первых, окончательная надёжность не может быть сделана произвольно высокой, а может быть доведена только до определенного уровня є (є зависит от надёжности исходных элементов). Если эти элементы очень низкого качества, то решение едва ли может считаться удовлетворительным. Во-вторых, что более важно с практической точки зрения, требуемая избыточность в большинстве случаев фантастически велика. Число требуемых элементов растет экспоненциально по отношению к числу n элементов, необходимых для создания моделируемого автомата. Так как во всех случаях, представляющих практический интерес, n очень велико, то это решение ценно только с точки зрения логической возможности.

Второй приём состоит в том, что фон Нейман называл мульти-трюком. Он заключается в том, что двоичный выход в машине представляется не одной линией, а пучком из линий, и двоичный выходной сигнал определяется в зависимости от того, много линий или, наоборот, очень мало линий несут значения 1.

Метод синтеза автоматов, основанный на использовании надёжных элементов, в этом случае заменяется методом, в котором каждая линия становится пучком линий, а каждый элемент заменяется подсхемой, которая оперирует соответствующим образом с пучками входных и выходных линий. Фон Нейман показал, каким образом можно сконструировать такие подсхемы.

Он также сделал некоторые оценки избыточности, требуемой для достижения определенной надёжности. Например, вместо одного ненадёжного мажоритарного элемента, вероятность ошибки которого равна 1/200, использованием избыточности в 60 000 к 1 можно построить подсхему, представляющую мажоритарный элемент для пучков и с вероятностью ошибки 10 20 . Произведя соответствующий подсчёт, увидим, что этот автомат, обладающий сложностью и быстродействием мозга, может работать в течение ста лет, сделав при этом всего несколько ошибок. Другими словами, нечто родственное этой схеме может обладать, по крайней мере, такой же надёжностью, как мозг.

Клод Шеннон, Вклад фон Неймана в теорию автоматов, в Сб.: Информационное общество, М., Аст, 2004 г., с. 11-15.

Надежная система из ненадежных элементов – миф или правда

Из ничего не выйдет ничего.

Фразу «надежная система из ненадежных элементов» впервые озвучил Джон фон Нейман, венгеро-американский математик еврейского происхождения. ( Фон Нейман показал, что это можно сделать, и проиллюстрировал это двумя совершенно различными приёмами. цитата c vikent.ru)

Очередной раз подтверждается теория А. А. Богданов(основатель Тектологии), что законы мироздания универсальны. Это утверждение определенным образом конфликтует с тем, что “… нельзя успешные практики копировать из одной области в другую… с высокой долей риска. “. Можно допустить, что данное противоречие носит поверхностный характер, и если рассматривать ” в принципе”, возможно данного противоречия и не будет.

Закон отрытый Нейманом, в области далекой от «купили-продажи», тем не менее чувствует себя в бизнесе превосходно. Примеров масса, самый яркий это Mcdonalds, который на деле реализовал «надежная система из ненадежных элементов». Хотя до него не менее легендарная личность Г. Форд это сделал на своих заводах. По сути, методы Ф.Тейлора очень созвучны данному принципу.

Хочу поделится мыслю, что цитаты вырванные из контекста часто искажают суть… хотя это очевидно, но все же мы порой злоупотребляем этим, подтверждение этому данный заголовок. Данную цитату слушателям порой преподносят как аргумент, что «из говна можно сделать конфетку»(прощу прощения за грубое сравнение, но это хорошо отражает суть проблемы).

Часто данную фразу используют в бизнесе, предприниматели и бизнес-консультанты, при этом делается допущение, что люди/сотрудники это «ненадежные элементы», а «надежная система», это сам бизнес.

Когда я первый раз услышал данную фразу, она привлекла мое внимание парадоксальностью. «как интересно» пронеслось у меня в голове… но на этом интерес и закончился. Когда же в очередной раз услышал данную цитату, от предпринимателя, с соответствующей интерпретацией, то мне показалось, что товарищи-бизнесмены чуть изменили суть цитаты.

Скажу сразу — из плохого сырья хороший продукт не сделать… если не пользоваться разного рода ухищрениями… но эти ухищрения есть факт скрытия недостатков, что по сути является обманом. Люди являются по сути самыми сложными системами на земле, и если сравнить «сложность человека» и «сложность бизнеса», то мягко говоря последний явно уступает, даже сравнивать там особо нечего, бизнес система примитивная по сравнению с человеком. Если перекладывать данную цитату к бизнесу, то правильней было бы сказать так — ” как из сложных и не стабильных элементов/людей, создать стабильную простую систему/бизнес”

цитата:
… окончательная надёжность не может быть сделана произвольно высокой, а может быть доведена только до определенного уровня (зависит от надёжности исходных элементов).

Как мы тут видим сам автор предупреждает читателя, что из «крайне ненадежных людей» толковых сотрудников не сделать, поэтому, как говорил один из великих управленцев -«кадры решают все», но при этом явно не стоит недооценивать фактор ПРАВИЛЬНО построенной системы, о которой хорошо пишет Э.Деминг, основатель японского чуда.

Бизнес, матрица бизнеса, если рассматривать крупным планом, состоит из нескольких состовляющих:

— клиенты(люди, сложные системы)

— поставщики с их поставками услуг или товаров, сырья и т.д.(люди, сложные системы)

— сотрудники компании(люди, сложные системы)

Как мы видим, на входе «клиенты»+«поставщики»+«сотрудники»= бизнес. Наш бизнес состоит из сложных и нестабильных элементов. я специально избегаю слова «ненадежных», так как данный термин не совсем уместен.

Суть построения надежного бизнеса, в данной интерпретации сводится к тому, что создать ПРОСТУЮ и НАДЕЖНУЮ СИСТЕМУ(это наш бизнес из сложных и нестабильных элементов(это те самые — «клиенты»+«поставщики»+«сотрудники»).

Как это можно сделать ?

Принцип простой — все разложить/разбить на простые шаги/инструкции

Протестировать на предмет выполнения простых операций(бизнес-процессы) сложными элементами(людьми). Тест обязателен, ибо существует большой риск столкновения с «людски ограничениями». Эти ограничения по сути парадоксальны, звучит примерно так — «чем глупее сотрудник, тем надежнее система», т.е. если мы очень умного поставим на переборку картошки, то у нас будут проблемы связанные с тем, что ум человека требует выхода.

Возможно читатель негодует, считая все это общими фразами. Возможно уважаемый читатель вы правы, но минуточку терпения, перейдем и к конкретике.

Если говорить конкретно о построении эффективной системы, имеется виду эффективный бизнес. Принцип эффективности примитивен, это для конкретики… отношение расходов к доходам дает % эффективности битзнеса. Все просто. Идемте дальше. Чтобы делать эффективную систему, из нестабильных людей, нужно все и вся разбить на ЛОГИЧЕСКИЕ шаги. и РАСПИСАТЬ их.

Берем самый сложный случай в бизнесе, в малом бизнесе — вы и жнец и на дуде игрец, т.е. у вас вообще нет ни одного сотрудника. Для компаний, у которых есть сотрудники ниже изложенное касается в 100 больше. Кстати, стоит почитать статью эффективное управление предприятием, там тоже найдете много полезного по теме.

Все мы хорошо понимаем важность понятий – «вхождения в работу», «включения в работу», «концентрация на работе», в детали не будем вдаваться, эти интуитивно понятно всем, детали не так важны. Если человек не сконцентрирован, то результат слабый или вообще отрицательный. На вряд ли будет спорным утверждение, что сконцентрироваться, войти в работу, можно через определенный ритуалы — это принято считать ролевые игры или социальные роли. Доктор приходя на работу одевая халат, начинает переключаться из роли мужа-подкаблучника, в эксперта по раковым заболеваниям. Не хочу утомлять читателя, деталями социальных ролей и их важностью, просто примем за факт, что эти роли нам сильно облегчают жизнь. Особенно важно УМЕНИЕ ПЕРЕКЛЮЧАТЬСЯ, из одних ролей в другие, в соответствующих ситуациях. Так вот, это так же важно и в бизнесе.

Читайте также:  Каким должно быть электрическое отопление частного дома?

Как выше было изложено, даже в бизнесе состоящим из 1 человека, из самого предпринимателя, есть разные роли, которые нужно правильно играть и правильно переключаться.

Что это за роли:

— роль продавца(продаете товар или услугу)

— роль маркетолога/рекламиста(делаете маркетинговую акцию или готовите рекламу)

— роль покупателя(вы свои товары у кого-то берете ведь, их обычно называют поставщиками)

— роль управляющего(планирование ближайшего и далекого будущего, планирование)

— роли бухгалтера, сторожа, грузчика, водителя и т.д. мы рассматривать не будем. Просто отметим, что ролей много, и каждый имеет свою специфику.

Каждую роль нужно расписать. Как это сделать и для чего?

Когда все это расписано коротко и понятно, обычно это называют словом — лаконично, то включение в работу, переходы из роли в роли ускоряется в РАЗЫ. Более того, только в таком виде можно кому-то поручать задачи, а проблемы решать самому. По ссылке подробная статья, чем они отличаются.

Яркий пример реализации данного принципа — компания Макдональдс. Когда реализуется данный принцип, по сути, мы усредняем эффективность сотрудников. А это значит. что слабых, с помощью системы подтягиваем, а сильных «забиваем». Как мы видим, активным и инициативным в таких компаниях делать нечего, им не дадут себя проявить… если в компании не создана специальная политика для таких сотрудников.

Построение надежных схем из ненадежных элементов

Существуют, казалось бы, вполне очевидные решения задачи повышения надежности. Если устройство работает ненадежно, то можно включить параллельно несколько идентичных устройств с одинаковым входным сигналом. Далее нужно будет принимать решения о том, каким должен быть правильный выход, анализируя выходы всех параллельно работающих устройств.

Это простое решение не только расточительное, но и не всегда самое лучшее. Мы убедимся в этом на примере задачи, которую поставили и решили Мур и Шеннон в 1956 г.в работе [Moore E., Shannon C., Reliable circuits using less reliable relays, Journal of the Franlin Institute, № 3 (1956), 191; № 4, 281. Перевод: Надежные схемы из ненадежных реле. В сб. Шеннон К. Работы по теории информации и кибернетике. М., ИЛ., 1963 г., с. 114-153.].

Предположим, что проектируемое устройство должно выполнять функцию реле: по сигналу, поступающему на первичную обмотку, должно происходить включение некоторого внешнего устройства (реле «сработало»), а после окончания действия напряжения, это внешнее устройство должно быть выключено. Предположим также, что надежность срабатывания должна быть высокой, но в распоряжении разработчика имеются только реле недостаточной надежности: они включаются при подаче напряжения с вероятностью и остаются включенными при снятии напряжения с вероятностью (желательно иметь , ). Задача состоит в том, чтобы из нескольких ненадежных реле построить одно надежное.

Заметим, что, если включить 2 реле параллельно, то в такой схеме надежность срабатывания станет равной

. (5.1)

Например, если =0.9, то =0.99, т.е. надежность включения выросла на порядок. С другой стороны, при снятии напряжения в этой схеме отключение произойдет, только если отключатся оба реле. Таким образом,

. (5.2)

Например, при =0.1 получим , т.е. надежность выключения стало очень низкой, ниже, чем в исходной схеме.

Итак, параллельной включение устройств не привело к повышению надежности системы в целом! Нельзя ли собрать из ненадежных реле такую схему, которая срабатывала бы надежнее исходных реле, как на включение, так и на отключение? Работа Мура-Шеннона дает положительный ответ на этот вопрос. Более того, доказано, что, увеличивая сложность схемы, можно добиться сколь угодно высокой надежности. Полное изложение результатов выходит за рамки пособия. Мы ограничимся рассмотрением нескольких примеров, иллюстрирующих идею решения задачи.

Сравнение соотношений (5.1) и (5.2) показывает, что вместо двух функций достаточно анализировать одну – вероятность срабатывания схемы как функцию вероятности срабатывания исходного реле. Обозначим вероятность срабатывания реле через , а вероятность срабатывания схемы через . Функцию будем называть функцией надежности схемы. График функции показан на рис. 5.1. Поведение функции в окрестности характеризует надежность включения схемы, а ее поведение в окрестности характеризует надежность отключения. Желательно иметь в первой области близкой к 1, во второй – близкой к нулю. Это означает, что кривая надежности должна пересекать прямую, соединяющую точки (0,0) и (1,1).

Рис. 5.1. Надежность параллельного включения реле

Рассмотрим мостиковую схему, представленную на рис. 4.4. В соответствии с формулой (4.3) имеем

(5.3)

Рис. 5.2. Надежность мостиковой схемы

График функции показан на рис. 5.2. При 0.1 и 0.9 получим 0.0215 и 0.9785 соответственно. Таким образом, мостиковая схема позволяет из 5 ненадежных реле сделать одно надежное.

Упражнение 5.1. Подсчитайте функции надежности последовательно параллельных схем, представленных на рис. 4.3.

Что делать, если надежность мостиковой схемы также недостаточно высока? Одна из почти очевидных возможностей – построить мостиковую схему из мостиковых схем.

В общем случае, подставив в схему с функцией надежности в качестве в качестве элементов схемы с надежностью , получаем новую схему с надежностью . Увеличивая число итераций, можно добиться все более высокой надежности. На рис. 5.3. показаны результаты вычислений для нескольких итераций, выполненных с использованием мостиковой схемы.

Рис. 5.3. Надежность итеративных схем. Номера кривых соответствуют числу итераций

В действительности, итерирование схем – идея фон Неймана. Мур и Шеннон предложили более эффективное решение, основанное на использовании так называемых гамакообразных схем.

Рассмотренный в данном параграфе подход к повышению надежности представляется весьма поучительным. Понятно, что в любом случае повышение надежности достигается введением в схему дополнительных элементов. Это можно сделать по-разному, и приведенные в данном параграфе примеры демонстрируют один из возможных нетривиальных подходов к поиску оптимальных решений.

В следующей главе мы рассмотрим еще более изощренный способ повышения надежности информационной системы за счет введения избыточности – кодирование с исправлением ошибок.

Надежная система из ненадежных элементов

Компьютерные способы обработки, хранения и передачи информации стали сегодня неотъемлемой частью любой сферы человеческой деятельности, поставив тем самым успех бизнеса в зависимость от надежности электронных устройств.

Даже для людей, далеких от производства комплектующих к вычислительным машинам, очевидно, что безотказных устройств не бывает. Каким же образом из «ненадежных» элементов можно создать надежную систему обработки ценной информации и обеспечить ее постоянную готовность к работе? Что представляют собой отказоустойчивые системы? Какие отказоустойчивые системы могут стать системами гарантированной готовности и что для этого необходимо?

Известно, что избыточность является минимальной платой за надежность – наличие запасных элементов обеспечивает работоспособность системы в целом при выходе из строя отдельных ее частей. Избыточность может быть пассивной или активной. Пассивная требует проведения процедуры восстановления, что неизбежно приводит к перерыву в работе пользователей. Активная избыточность как бы «маскирует» возникший отказ и обеспечивает непрерывность работы пользователей.

Характерным примером систем с пассивной избыточностью являются резервные серверы, которые вводятся в действие после отказа основного. Независимо от того, как проводится восстановление, вручную оператором или автоматически, информация как минимум какое-то время будет недоступна. Подобные решения можно отнести к категории высоконадежных, но они не могут обеспечить отказоустойчивости.

В качестве примера активной избыточности можно привести зеркалирование жестких дисков. При выходе из строя одного из зеркальных дисков, пользователь продолжает работу без остановки и потери производительности. Разумеется, только за счет использования массива RAID 1 сервер в целом не станет отказоустойчивым. Если аппаратная платформа не имеет возможности горячей замены дисков, то сервер придется остановить для проведения ремонта. Тоже относится и к резервным источникам питания и вентиляторам. Подавляющее большинство аппаратных платформ на базе Pentium не обеспечивает избыточности центральных процессоров и прочих элементов, расположенных на материнской плате.

Полностью отказоустойчивая система, в отличие от прочих, имеет три состояния:

  • рабочее, в котором система выполняет свое функциональное назначение и обеспечивает активную избыточность всех элементов;
  • незащищенное, в котором система выполняет свое функциональное назначение, но не обеспечивает активной избыточности хотя бы одного из элементов;
  • нерабочее, в котором система не выполняет своего функционального назначения.

Полностью отказоустойчивая система должна обеспечивать:

  • обнаружение ошибок до начала их влияния на целостность данных;
  • изоляцию элементов, вносящих ошибки;
  • автоматический переход в незащищенное состояние при сохранении непрерывности выполнения функционального назначения;
  • уведомление администратора о переходе в незащищенное состояние;
  • возможность замены отказавших элементов при сохранении непрерывности выполнения функционального назначения;
  • восстановление защищенного состояния при сохранении непрерывности выполнения функционального назначения.

Отказоустойчивая система обеспечивает защиту от отказов, возникающих в самой системе, однако причиной потери данных или перерыва в работе пользователей могут послужить и внешние воздействия: аварии устройств, расположенных в той же аппаратной, пожары и прочие стихийные бедствия.

Защищенность от внешних воздействий называется катастрофоустойчивостью. Для ее обеспечения взаимозаменяющие элементы должны быть разнесены на достаточное расстояние, способное обеспечить защиту от внешних воздействий. В большинстве случаев к наиболее вероятным внешним воздействиям относятся аварии системы электропитания и пожары, а достаточным удалением взаимозаменяющего оборудования, считается его размещение в разных аппаратных и, предпочтительно в разных строениях кампуса, что обычно составляет несколько сотен метров.

Физическое разнесение довольно часто используется в системах с пассивной избыточностью. Удаленное расположение взаимозаменяющих элементов систем с активной избыточностью реализовать значительно сложнее, однако именно такие аппаратные платформы серверов способны обеспечить наиболее полную защиту работы пользователей. Подобные системы носят название систем гарантированной готовности (assured availability) и обеспечивают не только защиту от внутренних отказов и внешних воздействий, но и возможность «маскирования» отказов транспортной среды.

Для того чтобы аппаратная платформа сервера обеспечивала гарантированную готовность, необходимо иметь:

  • отказоустойчивую аппаратную платформу с взаимозаменяющими элементами в виде автономных устройств;
  • средства коммуникации, способные обеспечить работоспособность данной отказоустойчивой аппаратной платформы при разнесении взаимозаменяющих элементов на достаточное расстояние.

В большинстве случаев отказоустойчивые аппаратные платформы весьма дороги, используют специализированные операционные системы и строго определенные приложения, для которых разрабатываются дополнительные программные модули.

Одно из возможных решений предлагается компанией Marathon, чье решение Endurance 4000 было специально разработано с учетом использования со стандартными аппаратно-программными платформами Wintel и стандартными приложениями (без необходимости написания дополнительных управляющих скриптов и программ).

Рис. 1. Разделение функций по Endurance 4000

Известно, что функции любой вычислительной системы можно разделить на: манипулирование данными и их преобразование; получение/отправку данных на накопители, в сеть и прочие устройства ввода/вывода.

Endurance 4000 позволяет логически и физически разделить выполнение этих функций между двумя разными ПК, осуществляя взаимодействие (рис. 1) через высокоскоростные PCI-интерфейсы – MIC (Marathon Interface Card).

Два ПК образуют один функционально полный комплекс. Два таких комплекса образуют отказоустойчивую систему.

Рис. 2. Схема обеспечения активной избыточности

Как показано на рис. 2, система обеспечивает активную избыточность вычислительного элемента (СЕ), процессора ввода/вывода (IOP), жестких дисков, сетевой платы и всего функционально полного комплекса (TUPLE). Интерфейсные платы MIC содержат приемо-передающую часть, для дуплексного обмена данными, и логические схемы, проверяющие идентичность результатов вычислений. Оба вычислительных элемента работают с пошаговой синхронизацией. Если в работе одного из вычислительных элементов будет обнаружена ошибка, второй обеспечит работу пользователей после паузы, не превышающей нескольких миллисекунд и необходимой для исключения отказавшего вычислительного элемента из конфигурации. Система сформирует сообщение об ошибке и переводится в незащищенное состояние с неощутимой для пользователей задержкой. После этого отказавший вычислительный элемент должен быть отключен, отремонтирован и вновь подключен. Система автоматически введет исправный вычислительный элемент в конфигурацию и, используя высокоскоростное соединение, произведет ресинхронизацию работы вычислительных элементов в течение нескольких секунд с минимальным влиянием на работу пользователей.

Читайте также:  Отопление частного дома угольным котлом

Аналогичным образом осуществляется замена отказавшего устройства ввода/вывода или жесткого диска с той только разницей, что в этих случаях после замены будет произведена ресинхронизация информации, хранящейся на жестких дисках. Для ресинхронизации используется выделенное сетевое соединение Full Duplex Ethernet, что также минимизирует влияние процесса восстановления на работу пользователей.

Активная избыточность сетевой платы обеспечивается следующим образом. Обе взаимозаменяемых сетевые платы используют один и тот же МАС-адрес, и оба работают на прием. Передавать данные может только одна из плат. Используя выделенное сетевое соединение, система следит за исправностью плат и в случае отказа переносит всю нагрузку на исправный, формируя сообщение об ошибке. Для замены сетевой платы необходимо лишь вывести из конфигурации соответствующее устройство ввода/вывода, что не требует остановки системы в целом и прекращения работы пользователей.

Отказ аппаратных средств из состава системы Endurance 4000 будет квалифицирован как выход из строя соответствующего функционального комплекса и приведет к переходу в незащищенное состояние. Последующий перевод в рабочее состояние не потребует остановки системы в целом и прекращения работы пользователей. Таким образом, такой сервер может быть отнесен к категории отказоустойчивых аппаратных платформ с автономными элементами.

Для использования Endurance 4000 в качестве сервера гарантированной готовности необходимо иметь средства коммуникации, способные обеспечить стабильное взаимодействие элементов при достаточной протяженности каждого из трех соединений. В рабочем состоянии система использует три соединения:

  • высокоскоростное нестандартное соединение между MIC-контролерами;
  • выделенное соединение Full Duplex Ethernet 10/100;
  • соединение между взаимозаменяемыми платами по транспортной среде локальной сети.

В компании Marathon разрабатывают средства для организации лишь первого из перечисленных соединений и, соответственно, указывает предельную для него протяженность до 1,5 км. Такое расстояние в большинстве случаев будет достаточным для обеспечения катастрофоустойчивости. Кроме того, эта величина обусловлена в основном ограничениями многомодового оптического волокна и, при использовании известных средств, скорее всего, может быть существенно увеличена.

Иначе дело обстоит с сетевыми соединениями, которые используют стандартный протокол обмена. Организация этих соединений, включая выбор сетевого оборудования, является задачей владельца сервера гарантированной готовности, и тут только от него самого зависит, обеспечат ли эти соединения достаточную удаленность взаимозаменяющих элементов.

Единственным условием, продиктованным спецификой аппаратных средств Endurance 4000, является использование сетевых плат стандарта Ethernet 10/100 для образования специализированного сетевого соединения, а также в качестве взаимозаменяемых сетевых адаптеров. Основанная на случайном методе доступа (CSMA/CD), технология Ethernet не обеспечивает какой-либо синхронизации или детерминированных интервалов передачи. По сути, такая специфика не соответствует потребностям задачи определения выхода из строя по таймауту, и создает определенные проблемы при необходимости передачи больших объемов информации между двумя оконечными устройствами, подключенными к сегменту с высоким трафиком. Однако на ограниченной транспортной среде ее влияние практически неощутимо. Для того чтобы снизить влияние специфики Ethernet на работу отказоустойчивой системы, в Marathon рекомендует использовать выделенную линию для образования специализированного сетевого соединения и подключать взаимозаменяемые платы к портам одного концентратора. В случае размещения оборудования в одной аппаратной это реализуется очень просто, но не обеспечивает катастрофоустойчивости. При размещении комплексов в разных аппаратных, использование одного концентратора становится невозможным, а наличие отдельного соединения между устройствами ввода/вывода требует прокладки дополнительного кабеля. Чем больше требуемое расстояние между аппаратными, тем больше внимания следует уделить организации транспортной среды. Как правило, чем больше протяженность транспортной среды, тем больше число оконечных устройств, сложнее задача развязки сетевого трафика и острее проблема создания прямых соединений между двумя произвольными точками. Серьезные осложнения как с точки зрения стабильности работы отказоустойчивого сервера, так и с точки зрения перегрузки транспортной среды в целом, могут возникнуть даже для расстояний гораздо меньших, чем 1,5 км.

Наиболее распространенным средством ограничения широковещательного трафика и сегментирования транспортной среды Ethernet является коммутация. Однако использование Ethernet-коммутаторов по-настоящему эффективно только в случае применения технологии коммутации виртуальных сетей (VLAN). Использование этой технологии теоретически позволяет организовать изолированный сегмент в пределах развитой транспортной среды, но на практике возможность создания виртуальных локальных сетей достаточно просто реализуется только на общей шине одного коммутатора. Созданию виртуальных локальных сетей путем группирования портов разных коммутаторов фактически препятствуют две основные проблемы. Первая заключается в слабом развитии стандартизации. До недавнего времени различные компании-производители коммутаторов использовали собственные протоколы. Сейчас принят стандарт IEEE 802.1Q, который имеет существенные недостатки и не пользуется широкой популярностью. Вторая проблема возникает при использовании стандарта Ethernet 100/1000 на распределенной магистрали, для которой группирование портов разных коммутаторов может привести к возникновению узких мест и внезапной потере производительности, что почти невозможно просчитать заранее.

Очевидно, что в транспортной среде на базе Ethernet 10/100/1000 допустимые точки установки взаимозаменяемых комплексов сервера гарантированной готовности надо определять для каждого конкретного случая. Расположение таких точек зависит от организации транспортной среды, специфики сетевого оборудования, а также от возможности прокладки дополнительного кабеля для специализированного сетевого соединения. При этом трудно гарантировать стабильность работы отказоустойчивого ресурса до окончания опытной эксплуатации. Кроме того, следует помнить, что любая последующая реорганизация, включая увеличение числа оконечных устройств, инсталляция новых приложений, и даже просто интенсификация работы пользователей, может оказать влияние на работоспособность отказоустойчивого ресурса. Задача обеспечения гарантированной готовности становится весьма проблематичной, но решить эти проблемы позволяет использование на магистральных соединениях АТМ.

Технология АТМ изначально создавалась для глобальных сетей, и с целью ее адаптации к условиям локальных сетей используется так называемая эмуляция локальных сетей. Технология АТМ, в отличие от Ethernet10/100/1000, обеспечивает гарантированную доставку, а также возможность динамического перераспределения используемой полосы пропускания и ограничения трафика, создаваемого разными оконечными устройствами. Требуемая производительность отдельных соединений может быть просчитана достаточно точно, а создаваемая нагрузка, при необходимости, может быть скорректирована в процессе эксплуатации. Эти свойства АТМ позволяют избежать угрозы возникновения узких мест и обеспечить поддержку задач, чувствительных к временным задержкам, а также дают возможность перенастройки транспортной среды с целью оптимизации ее производительности при последующем развитии или реорганизации сети. Возможность маршрутизации на уровне АТМ позволяет объединять удаленные IP сегменты без низкопроизводительной маршрутизации третьего уровня модели OSI.

Использование протокола АТМ на магистральных соединениях между виртуальными сетями позволяет полностью изолировать внутренний трафик отдельных сетей (рис. 3). Для образования специализированного сетевого соединения Full Duplex Ethernet 100 и для подключения к транспортной среде локальной сети клиентов отказоустойчивого сервера используются устройства доступа к сети АТМ, которые представляют собой Ethernet коммутаторы с портом АТМ и реализующие функции клиента эмулированной локальной сети. Стандарт LANE обеспечивает поддержку коммутации виртуальных сетей и совместимость устройств доступа разных производителей. Однако при выборе сетевого оборудования, следует отдавать предпочтение устройствам, обладающим максимальным набором функциональных возможностей. Так, например, использование устройства доступа ES-3810 компании Marconi (Fore Systems) позволит объединить виртуальные сети не только при помощи LANE, но и по постоянным виртуальным соединениям (PVC), что значительно расширит возможности использования преимуществ протокола АТМ.

Как показано на рис. 3, специализированное сетевое соединение реализовано в виде виртуальной локальной сети, включающей в себя по одному порту каждого из устройств доступа. Трафик, создаваемый при ресинхронизации информации, хранящейся на жестких дисках, при передаче по сети АТМ может быть ограничен до уровня, допустимого, с точки зрения производительности транспортной среды, и достаточного, с точки зрения времени восстановления рабочего состояния отказоустойчивого сервера. Количество АТМ коммутаторов, образующих соединение, а, соответственно, и расстояние между аппаратными, в которых установлены устройства доступа, практически не ограничено. Прямого кабельного соединения между аппаратными не требуется.

Виртуальная локальная сеть клиентов отказоустойчивого сервера надежно изолирована от влияния трафика специализированного сетевого соединения, а также от нагрузки, создаваемой прочими оконечными устройствами. Так же, как и в случае специализированного сетевого соединения, количество АТМ коммутаторов, образующих соединение, не ограничено.

Таким образом, при использовании на магистрали протокола АТМ, специфика организации транспортной среды не станет более значимой причиной ограничения дистанции, необходимой для обеспечения катастрофоустойчивости, чем максимально допустимая протяженность высокоскоростного соединение между MIC-контролерами.

Отвечая на вопросы, поставленные в начале статьи, можно порадовать владельцев самых рядовых по надежности аппаратных платформ Wintel – систему обработки ценной информации можно сделать и из того, что есть, используя аппаратно-программные средства Endurance 4000. Для поддержки Windows 2000 разработана новая версия – Endurance 6200. Ни в том, ни в другом случае не понадобиться никаких сверхнадежных устройств, и даже RAID-контролеров. Единственное строгое требование к ПК – это их попарная идентичность, причем ПК, используемые в качестве вычислительных элементов, кроме материнской платы с процессором и оперативной памятью, должны иметь в своем составе только гибкий дисковод. Для обеспечения минимальной конфигурации отказоустойчивого сервера, ПК, используемые в качестве устройств ввода/вывода должны быть укомплектованы полностью, использовать контроллеры жестких дисков стандарта SCSI и иметь по два сетевых адаптера стандарта Ethernet. Конфигурация сервера может расширяться в соответствии с потребностями и возможностями владельца, точно так же, как и при использовании обычных аппаратных платформ.

Отказоустойчивый сервер, созданный на базе Endurance 4000/6200, сможет обеспечить катастрофоустойчивость и гарантированную готовность на транспортной среде любой сложности и протяженности (в случае использования протокола АТМ на магистральных соединениях).

10 ошибок при выборе системы автономной канализации для дома

К нам в последнее время часто обращаются с просьбой исправить неработающие и при этом недавно установленные другими «специалистами» системы канализации. И эти проблемы выливаются в десятки, сотни тысяч рублей. Тем более неприятно, ведь этих расходов можно было избежать.
Поэтому я совместно с нашими специалистами создал эту мини-книгу, чтобы Вы могли избежать ошибок, сэкономить деньги и создать надежную систему канализации у себя на участке.

1. Не учтен уровень грунтовых вод (УГВ)

Грунтовые воды – воды, залегающие на первом водоупорном горизонте. Обычно они связаны с выдержанным водонепроницаемым пластом и характеризуются более или менее постоянным дебетом.

2. Не учтен тип грунта

Часть клиентов стремятся организовать у себя на участке энергонезависимый септик.
Есть 2 способа сделать это. Первый – использовать накопительную емкость.
Второй – септик с почвенной доочисткой.
При расчете септика с почвенной доочисткой важно рассчитать площадь размещения полей фильтрации для последующей почвенной доочистки. Для этого используется допустимая расчётная нагрузка сточных вод на 1 кв.м. фильтрующей поверхности сооружений почвенной фильтрации.
Ниже представлена таблица с типом грунта, расчетной нагрузкой и площадью полей фильтрации, при проживании в доме 5 человек (объем сточный вод 1000 л/сут.)

Тип грунтаРасчетная нагрузка, л/сут.Площадь полей фильтрации, кв.м.
Глина0,52000
Суглинок тяжелый1567
Суглинок средний и легкий3529
Песок8013
Гравийные, галечные грунты10010

В таблице приведены усредненные данные, конкретную расчетную нагрузку можно определить только испытанием грунта на впитываемость по определенной методике.
Спросите себя, есть ли у вас на участке необходимая площадь для устройства полей фильтрации в зависимости от вашего грунта.
Расчётные нагрузки, представленные в таблице, даны из условия поступления на фильтрующие сооружения сточных вод со средними концентрациями взвешенных веществ 80-100 мг/л (стандартные бытовые сточные воды) и расчётным сроком службы сооружений не менее 20 лет.
Стоит ли удивляться, почему септики из бетонных колец, которые используют повсеместно, служат хозяевам не более 2-6 лет.

В 5 из 10 случаев к нам обращаются клиенты установившие септик из бетонных колец или монолитный бетонный септик, со временем заилившийся, и теперь вода из него не уходит, или септик, который разгерметизировался, и грунтовые и поверхностные воды поступают в него. Как следствие необходимо постоянно вызывать ассенизатора.

3. Не учтен/не заложен в проект фановый стояк

Фановый стояк – вентиляционная часть трубы, отходящей от основного канализационного стояка выше уровня кровли.

Обратите внимание! Фановый стояк должен быть установлен внутри дома, а не снаружи, для того чтобы отводить неприятные запахи из канализационных труб, проложенных как снаружи, так и внутри.

4. Не учтен сброс систем водоподготовки

Система водоподготовки – система, обеспечивающая обработку воды, поступающей от водоисточника (централизованного или природного), для приведения ее качества в соответствие с технологическими требованиями потребителей. Смягчение, обезжелезивание и др.

Обратите внимание! Некоторые из наших клиентов на этапе установки системы канализации еще не задумываются о том, будет ли у них система водоподготовки. Если есть вероятность, что она будет, заложите трубу под выброс из системы, чтобы потом не пришлось дополнительно ее прокладывать, когда уже будут сделаны внутренняя отделка и ландшафт на участке.

5. Разделение стоков в системах глубокой биологической очистки (СГБО)

По закону сброс любых сточных вод без предварительной очистки в открытый грунт ЗАПРЕЩЕН

А так же необходимо отметить, что недостаток поступления жидких стоков в СГБО нарушает ее работу.
Грамотное разделение стоков возможно при использовании для «черных» стоков выгребной ямы (накопителя), а для «серых» почвенной доочистки (где ее можно использовать). Но это приводит к удорожанию всей системы канализации и нецелесообразно. Дешевле и проще поставить современную систему с СГБО, соответствующую вашим потребностям.
Разделение стоков – это так же дополнительные расходы на внутренние системы канализации + два фановых стояка.

Проблемы
Нарушение режима работы септика. Засорение труб и неприятный запах.
Цена ошибки
20 000 – 40 000 рублей. Перекладка труб канализации.
Решение
Обращайтесь за консультацией – возможны несколько решений по раздельному отведению стоков, наши специалисты помогут вам выбрать оптимальный.

6. Когда проектируют/монтируют выход канализационной трубы слишком глубоко

Увеличение глубины врезки септиков решается по-разному: у некоторых производителей есть просто удлиненные модели, у других наращивается горловина на месте. Удлиненные модели в любом из вариантов доставляют в дальнейшем проблемы в обслуживании.

7. При выборе места под септик не следуют правилам размещения

Периодически в нашу компанию обращаются клиенты, у которых дома находятся в подобных зонах. Им выписывают предписания по перечню мероприятий и технических решений, обеспечивающих охрану природных и водных объектов. Без исполнения данных предписаний отказывают в регистрации дома, даже если клиенты уже потратили деньги на устройство системы канализации (установили септик из бетонных колец или септик с почвенной доочисткой). Результат – полная переделка системы канализации.

8. Не учитывают дальнейшую эксплуатацию

Случай из практики. У клиента был септик из бетонных колец, который работал хорошо. Септик был расположен на заднем дворе, с фасадной части дома доступа к септику не было. Ассенизаторская машина заезжала с задней части дома, где был пустырь. Клиент откачивал его раз в месяц и горя не знал. Но однажды этот пустырь кто-то купил и начал строить дом, дальнейшая эксплуатация септика стала невозможна. Клиент обратился к нам, мы поставили ему СГБО, которая не требует вызова ассенизатора. Понятно, что наперед всех факторов не учесть, но выбрать систему, которая не потребует постоянного вызова специализированной техники, стоит.

9. Забывают про качество и думают только о цене

Вы всегда можете найти дешевое предложение, потом еще дешевле и потом самое дешевое. Но будет ли это то, что вам действительно нужно. Систему канализации ставят на десятки лет. Главное, чтобы она правильно работала и не доставляла вам проблем и головную боль.
Бывает так, что клиенты, подобрав определенную модель, ищут аналог дешевле и попадают к некомпетентным «специалистам», которые совершенно не понимают различий в работе, устройстве и обслуживании разных моделей очистных сооружений. Или в надежде сделать предложение дешевле, предлагают модель с заниженным залповым сбросом или объемом суточной переработки, не соответствующим техническим требованиям конкретного заказчика.
Действительно, на рынке существуют модели станций, которые немного дешевле именитых аналогов, но также надежны. В них так же необходимо разбираться, понимать принцип работы, преимущества и недостатки.

Наши специалисты разбираются в том, чем отличается Топас от Астры, Евролос от Евробиона или Биодеки, и почему не просто организовать систему с доочисткой УФ-лампами. Они знают отличия систем на аэротэнке с загрузкой из инертных материалов от систем с капельным биофильтром, что такое БПК 5 и БКП ПОЛН., для чего нужна камера уравновешивания (усреднения) поступающих стоков, какие в ней происходят процессы аэробные или анаэробные. Они могут объяснить какие системы проще в обслуживании, где можно сэкономить без потери качества, а где этого категорически делать нельзя.

10. Выбор делается в пользу сомнительных компаний или неофициальных дилеров

Установка систем канализации – бизнес сезонный, на рынке встречается масса компаний, которые весной открылись и уже к зиме перестанут существовать.
Строители, которые возводят вам дом, тоже не могут разбираться во всех нюансах канализационных систем, мы уже не говорим о гостях из средней Азии, которые «все знают и все умеют».

Важно! Гарантия на станции глубокой биологической очистки любых моделей распространяется, если монтаж был произведен квалифицированными специалистами компании, которая является официальным дилером.

ПОСТРОЕНИЕ НАДЕЖНЫХ СИСТЕМ ИЗ НЕНАДЕЖНЫХ ЭЛЕМЕНТОВ

СТРУКТУРНО-ЛОГИЧЕСКИЙ АНАЛИЗ ТЕХНИЧЕСКИХ СИСТЕМ

Конечной целью расчета надежности технических средств (программ, устройств и пр.) является оптимизация конструктивных решений и параметров, режимов эксплуатации, организация сопровождения и администрирования. Техническая (в том числе информационная) система (ТС) – совокупность технических устройств (элементов), предназначенных для выполнения определенной функции или функций. Соответственно, элемент – составная часть системы.

Расчленение ТС на элементы достаточно условно и зависит от постановки задачи расчета надежности.

Для расчетов параметров надежности удобно использовать структурно-логические схемы надежности ТС, которые графически отображают взаимосвязь элементов и их влияние на работоспособность системы в целом. Структурно-логическая схема представляет собой совокупность ранее выделенных элементов, соединенных друг с другом последовательно или параллельно. Критерием для определения вида соединения элементов (последовательного или параллельного) при построении схемы является влияние их отказа на работоспособность ТС.

Последовательным (с точки зрения надежности) считается соединение, при котором отказ любого элемента приводит к отказу всей системы (рис. 1).

Параллельным (с точки зрения надежности) считается соединение, при котором отказ любого элемента не приводит к отказу системы, пока не откажут все соединенные элементы (рис. 2).

Рис.1. Последовательное соединение элементов Рис.2. Параллельное соединение элементов

В целом анализ структурной надежности ТС, как правило, включает следующие операции:

  1. Анализируются устройства и выполняемые системой и ее составными частями функции , а также взаимосвязь составных частей.
  2. Формируется содержание понятия “безотказной работы” для данной конкретной системы.
  3. Определяются возможные отказы составных частей и системы, их причины и возможные последствия.
  4. Оценивается влияние отказов составных частей системы на ее работоспособность.
  5. Система разделяется на элементы, показатели надежности которых известны.
  6. Составляется структурно – логическая схема надежности технической системы, которая является моделью ее безотказной работы.
  7. Составляются расчётные зависимости для определения показателей надёжности ТС с использованием данных по надежности её элементов и с учётом структурной схемы.

В зависимости от поставленной задачи на основании результатов расчета характеристик надежности ТС делаются выводы и принимаются решения о необходимости изменения или доработки элементной базы, резервировании отдельных элементов или узлов, об установлении определенного режима профилактического обслуживания, о номенклатуре и количестве запасных элементов для ремонта и т.д.

Системы с последовательным соединением элементов

Системой с последовательным соединением элементов называется система, в которой отказ любого элемента приводит к отказу всей системы (см. п. 2, рис 2.1). Такое соединение элементов в технике встречается наиболее часто, поэтому его называют основным соединением.

В системе с последовательным соединением для безотказной работы в течении некоторой наработки t необходимо и достаточно, чтобы каждый из ее n элементов работал безотказно в течении этой наработки. Считая отказы элементов независимыми, вероятность одновременной безотказной работы n элементов определяется по теореме умножения вероятностей: вероятность совместного появления независимых событий равна произведению вероятностей этих событий:

(1)

(2)

–>

Если система состоит из равнонадёжных элементов (pi=p), то

(2)

Из формул (1), (2) очевидно, что даже при высокой надежности элементов надежность системы при последовательном соединении оказывается тем более низкой, чем больше число элементов (например, при p=0.95 и n=10 имеем P=0.6, при n=15 P=0.46, а при n=20 P=0.36). Кроме того, поскольку все сомножители в правой части выражения (1) не превышают единицы, вероятность безотказной работы ТС при последовательном соединении не может быть выше вероятности безотказной работы самого ненадежного из ее элементов (принцип “хуже худшего”) и из малонадежных элементов нельзя создать высоконадежной ТС с последовательным соединением.

Системы с параллельным соединением элементов

Системой с параллельным соединением элементов называется система, отказ которой происходит только в случае отказа всех ее элементов (см. п. 2, рис. 2.2). Такие схемы надежности характерны для ТС, в которых элементы дублируются или резервируются, т.е. параллельное соединение используется как метод повышения надежности (см. п. 4.2). Однако такие системы встречаются и самостоятельно (например, системы двигателей четырехмоторного самолета или параллельное включение диодов в мощных выпрямителях).

Для отказа системы с параллельным соединением элементов в течение наработки t необходимо и достаточно, чтобы все ее элементы отказали в течение этой наработки. Так что отказ системы заключается в совместном отказе всех элементов, вероятность чего (при допущении независимости отказов) может быть найдена по теореме умножения вероятностей как произведение вероятностей отказа элементов:

(3)

Соответственно, вероятность безотказной работы

(4)

Для систем из равнонадежных элементов (pi=p)

(5)

т.е. надежность системы с параллельным соединением повышается при увеличении числа элементов (например, при p=0.9 и n=2, P=0.99, а при n=6 P=0.999999).

Поскольку qi

Рис. 3. Параллельное соединение рабочих элементов с решающим элементом

Как понятно из рис.3 реальная система состояит из двух последовательных частей, а значит, ее результирующая надежность будет ниже надежности этих двух частей, определяемой по формуле (1), где количество элементов n=2.

Таким образом, надежность реальной системы определяется количеством рабочих элементов и надежностью решающего элемента, которые являются критическими параметрами системы.

Ссылка на основную публикацию