Redundancja (inżynieria) - Redundancy (engineering)

Wspólny nadmiarowy zasilacz
Podsystem nadmiarowy „B”
Obszernie redundantna instalacja tylnego oświetlenia w tajskim autobusie turystycznym

W inżynierii , redundancja to powielanie krytycznych komponentów lub funkcji systemu w celu zwiększenia niezawodności systemu , zwykle w postaci kopii zapasowej lub zabezpieczenia przed awarią , lub w celu poprawy rzeczywistej wydajności systemu, tak jak w przypadku Odbiorniki GNSS , czyli wielowątkowe przetwarzanie komputerowe.

W wielu systemach krytycznych dla bezpieczeństwa , takich jak systemy fly-by-wire i układy hydrauliczne w samolotach , niektóre części systemu sterowania mogą być potrójne , co formalnie nazywa się potrójną redundancją modułową (TMR). Błąd w jednym składniku może zostać przegłosowany przez pozostałe dwa. W systemie z potrójną redundancją system składa się z trzech podzespołów, z których wszystkie trzy muszą ulec awarii, zanim system ulegnie awarii. Ponieważ każdy z nich rzadko ulega awarii, a podkomponenty ulegną awarii niezależnie, prawdopodobieństwo awarii wszystkich trzech jest obliczane jako niezwykle małe; często przeważają inne czynniki ryzyka, takie jak błąd ludzki . Nadmiarowość może być również określana terminami „systemy głosowania większościowego” lub „logika głosowania”.

A podwieszenia mostu liczne przewody są formą redundancji.

Redundancja czasami daje mniej, zamiast większej niezawodności – tworzy bardziej złożony system, który jest podatny na różne problemy, może prowadzić do zaniedbania obowiązków przez człowieka i może prowadzić do wyższych wymagań produkcyjnych, które poprzez przeciążenie systemu mogą sprawić, że będzie on mniej bezpieczny.

Formy redundancji

W informatyce istnieją cztery główne formy redundancji, są to:

Zmodyfikowaną formą redundancji oprogramowania, zastosowaną do sprzętu, może być:

  • Wyraźna redundancja funkcjonalna, taka jak hamowanie mechaniczne i hydrauliczne w samochodzie. Stosowany w przypadku oprogramowania, kod napisany niezależnie i wyraźnie inny, ale dający te same wyniki dla tych samych danych wejściowych.

Konstrukcje są zwykle projektowane również z nadmiarowymi częściami, co zapewnia, że ​​w przypadku awarii jednej części cała konstrukcja się nie zawali. Konstrukcja bez nadmiarowości nazywana jest krytyczną pękaniem , co oznacza, że ​​pojedynczy uszkodzony element może spowodować zawalenie całej konstrukcji. Mosty, które zawiodły z powodu braku redundancji, obejmują most Silver Bridge i most międzystanowy 5 nad rzeką Skagit .

Systemy równoległe i połączone wykazują różny poziom nadmiarowości. Modele są przedmiotem badań z zakresu inżynierii niezawodności i bezpieczeństwa.

Odmienna nadmiarowość

W przeciwieństwie do tradycyjnej redundancji, która wykorzystuje więcej niż jedną rzecz, w redundancji odmiennej stosuje się różne rzeczy. Chodzi o to, aby różne rzeczy nie zawierały identycznych wad. Metoda głosowania może być bardziej skomplikowana, jeśli te dwie rzeczy zajmują różną ilość czasu. Odmienna nadmiarowość jest często stosowana w oprogramowaniu, ponieważ identyczne oprogramowanie zawiera identyczne wady.

Możesz zmniejszyć prawdopodobieństwo niepowodzenia, używając co najmniej dwóch różnych typów każdego z poniższych

  • procesory,
  • system operacyjny,
  • oprogramowanie,
  • czujniki,
  • rodzaje siłowników (elektryczne, hydrauliczne, pneumatyczne, ręczne mechaniczne itp.)
  • protokoły komunikacyjne,
  • sprzęt komunikacyjny,
  • sieci komunikacyjne,
  • ścieżki komunikacyjne

Redundancja geograficzna

Nadmiarowość geograficzna koryguje luki w zabezpieczeniach nadmiarowych urządzeń wdrożonych poprzez geograficzne oddzielenie urządzeń do tworzenia kopii zapasowych. Redundancja geograficzna zmniejsza prawdopodobieństwo wystąpienia zdarzeń, takich jak przerwy w dostawie prądu, powodzie, awarie HVAC, uderzenia piorunów, tornada, pożary budynków, pożary lasów i masowe strzelaniny, które mogłyby spowodować wyłączenie systemu.

Lokalizacje nadmiarowości geograficznej mogą być

  • 621 mil lub więcej od siebie [kontynentalne].
  • 62 mil od siebie. Klastry regionalne oddalone od siebie o mniej niż 93 mile [regionalne].
  • Mniej niż 62 mile od siebie, ale nie na tym samym kampusie.
  • Różne budynki na tym samym kampusie.
  • Różne skrzydła w tym samym budynku, w pokojach oddalonych o ponad 300 stóp.
  • Różne piętra w tym samym skrzydle budynku w pokojach, które są przesunięte poziomo o co najmniej 70 stóp ze ścianami przeciwpożarowymi między pokojami znajdującymi się na różnych piętrach.
  • W różnych pokojach, które są oddzielone trzecim pokojem, który ma co najmniej 70 stóp szerokości między pokojami. Powinny być co najmniej dwie oddzielne ściany przeciwpożarowe i po przeciwnych stronach korytarza.

Distant Early Warning Linia była przykładem redundancji Geographic. Te lokalizacje radarowe znajdowały się w odległości co najmniej 50 mil od siebie, ale zapewniały nakładający się zasięg.

Funkcja redundancji

Dwie funkcje redundancji to redundancja pasywna i redundancja aktywna . Obie funkcje zapobiegają spadkowi wydajności przed przekroczeniem limitów specyfikacji bez interwencji człowieka przy użyciu dodatkowej pojemności.

Nadmiarowość pasywna wykorzystuje nadmiar mocy w celu zmniejszenia wpływu awarii komponentów. Jedną z powszechnych form redundancji pasywnej jest dodatkowa wytrzymałość okablowania i rozpórek stosowanych w mostach. Ta dodatkowa wytrzymałość pozwala na awarię niektórych elementów konstrukcyjnych bez zawalenia się mostu. Dodatkowa wytrzymałość zastosowana w projekcie nazywana jest marginesem bezpieczeństwa.

Oczy i uszy dostarczają działających przykładów redundancji pasywnej. Utrata wzroku w jednym oku nie powoduje ślepoty, ale zaburzona jest percepcja głębi . Ubytek słuchu w jednym uchu nie powoduje głuchoty, ale traci kierunkowość. Spadek wydajności jest zwykle związany z nadmiarowością pasywną, gdy występuje ograniczona liczba awarii.

Aktywna nadmiarowość eliminuje spadki wydajności poprzez monitorowanie wydajności poszczególnych urządzeń, a monitorowanie to jest wykorzystywane w logice głosowania. Logika głosowania jest powiązana z przełączaniem, które automatycznie rekonfiguruje komponenty. Wykrywanie i korekcja błędów oraz globalny system pozycjonowania (GPS) to dwa przykłady aktywnej nadmiarowości.

Rozdział energii elektrycznej stanowi przykład aktywnej redundancji. Kilka linii energetycznych łączy każdy zakład wytwórczy z klientami. Każda linia energetyczna zawiera monitory wykrywające przeciążenie. Każda linia energetyczna zawiera również wyłączniki automatyczne. Połączenie linii energetycznych zapewnia nadwyżkę mocy. Wyłączniki automatyczne odłączają linię zasilania, gdy monitory wykryją przeciążenie. Moc jest redystrybuowana na pozostałe linie. Na lotnisku w Toronto znajdują się 4 nadmiarowe linie elektryczne. Każda z 4 linii zapewnia wystarczającą moc dla całego lotniska. Spot podstacji sieci zastosowania odwrócenia obecnych przekaźniki aby otworzyć wyłączników na liniach, które nie, ale pozwala moc nadal płynąć na lotnisko.

Systemy zasilania elektrycznego wykorzystują planowanie zasilania do rekonfiguracji aktywnej nadmiarowości. Systemy obliczeniowe dostosowują produkcję każdego zakładu wytwórczego, gdy inne zakłady wytwórcze zostają nagle utracone. Zapobiega to zaciemnieniu podczas poważnych wydarzeń, takich jak trzęsienie ziemi.

Alarmy przeciwpożarowe, alarmy włamaniowe, centrale telefoniczne i podobne inne krytyczne systemy działają na prąd stały.

Niedogodności

Charles Perrow , autor książki Normal Accidents , powiedział, że czasami redundancje przynoszą odwrotny skutek i powodują mniejszą, a nie większą niezawodność. Może się to zdarzyć na trzy sposoby: Po pierwsze, nadmiarowe urządzenia zabezpieczające skutkują bardziej złożonym systemem, bardziej podatnym na błędy i wypadki. Po drugie, redundancja może prowadzić do uchylania się od odpowiedzialności wśród pracowników. Po trzecie, nadmiarowość może prowadzić do zwiększonych nacisków produkcyjnych, w wyniku czego system działa z większymi prędkościami, ale mniej bezpiecznie.

Logika głosowania

Logika głosowania wykorzystuje monitorowanie wydajności w celu określenia sposobu rekonfiguracji poszczególnych komponentów, tak aby działanie było kontynuowane bez naruszania ograniczeń specyfikacji całego systemu. Logika głosowania często obejmuje komputery, ale systemy złożone z elementów innych niż komputery mogą być rekonfigurowane za pomocą logiki głosowania. Wyłączniki są przykładem formy niekomputerowej logiki głosowania.

Najprostsza logika głosowania w systemach obliczeniowych obejmuje dwa elementy: podstawowy i alternatywny. Obydwa używają podobnego oprogramowania, ale dane wyjściowe z alternatywnego pozostają nieaktywne podczas normalnej pracy. Monitor główny sam się monitoruje i okresowo wysyła komunikat o aktywności do zastępcy, o ile wszystko jest w porządku. Wszystkie wyjścia z głównego zatrzymania, w tym komunikat o aktywności, gdy główny wykryje usterkę. Alternatywny aktywuje swoje wyjście i przejmuje od podstawowego po krótkim opóźnieniu, gdy komunikat aktywności ustanie. Błędy w logice głosowania mogą spowodować, że oba wyjścia będą aktywne lub nieaktywne w tym samym czasie, lub spowodować, że wyjścia będą włączać się i wyłączać.

Bardziej niezawodna forma logiki głosowania obejmuje nieparzystą liczbę trzech lub więcej urządzeń. Wszystkie pełnią identyczne funkcje, a wyjścia są porównywane przez logikę głosowania. Logika głosowania ustala większość, gdy istnieje różnica zdań, a większość będzie działać w celu dezaktywacji wyjścia z innych urządzeń, które się nie zgadzają. Pojedyncza usterka nie przerwie normalnej pracy. Ta technika jest stosowana w systemach awionicznych , takich jak te odpowiedzialne za działanie promu kosmicznego .

Obliczanie prawdopodobieństwa awarii systemu

Każdy zduplikowany element dodany do systemu zmniejsza prawdopodobieństwo awarii systemu zgodnie ze wzorem:-

gdzie:

  • – ilość elementów
  • – prawdopodobieństwo uszkodzenia komponentu i
  • – prawdopodobieństwo awarii wszystkich komponentów (awaria systemu)

Ta formuła zakłada niezależność zdarzeń awarii. Oznacza to, że prawdopodobieństwo awarii komponentu B, biorąc pod uwagę, że komponent A już uległ awarii, jest takie samo jak w przypadku awarii B, gdy A nie uległ awarii. Zdarzają się sytuacje, w których jest to nierozsądne, np. używanie dwóch zasilaczy podłączonych do tego samego gniazdka w taki sposób, że gdyby jeden zasilacz uległ awarii, drugi też.

Zakłada również, że do utrzymania działania systemu potrzebny jest tylko jeden komponent.

Zobacz też

Bibliografia

Zewnętrzne linki