4.2 Основні поняття надійностіопераційних систем

4.2.1 Властивості надійності

Досягнутий рівень науково-технічного прогресу і накопиче-ний досвід світової економіки вже зараз дають змогу створюва-ти наднадійні і високоефективні операційні системи. Під на-дійністю системи слід розуміти її властивість зберігати в часіздатність до виконання необхідних функцій за заданих режимів іумов функціонування. У вітчизняній практиці прийнято тракту-вати надійність як комплексну властивість, що залежно від при-значення системи й умов її застосування (використання) можевключати безвідмовність, довговічність, збережність і здатністьдо відновлення чи визначені сполучення цих властивостей.

Під безвідмовністю операційної системи варто розумітивластивість стало зберігати працездатність протягом заданогоперіоду часу.

Довговічністю операційної системи називають її властивість,що полягає в здатності не досягати граничного стану протягомдеякого часу.

Збережність операційної системи — це її спроможність збе-рігати значення показників безвідмовності і довговічності в за-даних межах.

За сьогоднішніх умов особливе місце належить поняттю«відновлюваності» системи, яке визначає як властивість, щополягає в пристосованості до підтримки і відновлення праце-здатного стану шляхом різного роду заходів — вкладання інвес-тицій, перенавчання персоналу тощо. За суттю даний термін то-тожний міжнародному «пристосованість до підтримки праце-здатного стану», або «підтримуваність» (maintainability). Крімтого, це поняття містить у собі обслуговуваність системи, а та-кож контрольність і діагностованість.

Розвиток науки сприяє більш широкому підходу до за-безпечення надійності операційних систем. Так, у програмі «Reliabi-lity and maintainability by design: a blueprint for success» (авторGoodell F. S.) методи і засоби підтримки працездатності виділеніз категорій поняття надійності у вузькому змісті. При цьому по-няття «maintenance support» нарощено за рахунок матеріально-технічних і організаційних заходів і включає, наприклад, підго-товку персоналу. Усе це відбиває зрослу роль діагностики і людсь-кого чинника в проблемі забезпечення надійності складних опе-раційних систем, що функціонують за сучасних ринкових умов.

Всі такі властивості надійності є загальновизнаними і реко-мендуються для різних видів систем. Однак для операційнихсистем — виробничих, освітніх обчислювальних, інформаційних,фінансових типів — виявляється, що цих властивостей для ха-рактеристики надійності недостатньо. У практиці проектуванняі використання останніх знаходять застосування додаткові, при-ватні властивості, без врахування яких не можна повною мірою

представити комплексність поняття «надійність». Поява новихтехнологій ведення бізнесу, всі інформаційні технології, що роз-виваються, настійно вимагають внесення в прийнятий переліквластивостей надійності операційних систем ще і таких, як жи-вучість, достовірність і чутливість.

Живучість — це властивість операційної системи зберіга-ти дієздатність (цілком або частково) за умов несприятливоговпливу зовнішнього середовища, не передбаченого нормами істатутом організації.

У процесі проектування операційної системи за врахуванняменеджером вимог відносно надійності звичайно зазначаютьсянормальні умови її функціонування. Але до ряду операційних сис-тем відповідального призначення можуть пред'являтися вимогищодо виконання деяких функцій тоді, коли умови істотно відрізня-ються від нормальних (навіть катастрофічно руйнують). У та-ких випадках виникає вимога стосовно живучості операційноїсистеми. Така вимога може бути сформульована, приміром, так:«виконувати задані функції на заданому інтервалі часу після руй-нівного впливу» або «зберігати часткову працездатність після дії,що руйнує» тощо. Отже, будь-яка операційна система повиннабути «живучою» (fail-safe).

Головний зміст вимоги до живучості операційної системиполягає не тільки в тому, щоб вона тривалий час функціонувалабезперервно, без відмови, в нормальних умовах, але також і втому, щоб вона за кризових ситуацій зберігала працездатність,хоча б і обмежену.

Типовим прикладом «поганої живучості» операційної системи,обумовленої цілим комплексом причин, служить аварія, що стала-ся в Північному морі на норвезькому родовищі Екофіск 28 берез-ня 1980 р. Запроектована і виготовлена у Франції спочатку якбурова платформа «Александр Кьєлланд» була використана як

плавний готель для персоналу, що обслуговує виробничі плат-форми. У момент аварії на платформі знаходилися 212 робіт-ників. Перед аварією платформа простояла на якорі поблизу однієїз виробничих платформ близько 9 місяців. В умовах поганої по-годи (швидкість вітру 16-20 м/с, висота хвиль — 6-8 м) зруйну-вався один зі зв'язків, що скріплюють колони, потім решта з тих,що примикають. Виникло перевантаження однієї з колон, у ре-зультаті чого кут крену платформи досяг 30-35°. Підсумком «по-ганої живучості» платформи стала загибель 123 чоловік.

Цей приклад аварії платформи «Александер Кьєлланд»свідчить про те, що порушення вимог забезпечення живучостіможе стати джерелом виникнення кризової ситуації будь-якоїопераційної системи.

Достовірність інформації, надаваної операційною систе-мою. Це властивість особливо важлива для інформаційних, об-числювальних операційних систем.

Операційна система може мати високу надійність, однак у нійможуть мати місце збої, що спотворюють інформацію. У системівиходить з ладу не її елемент чи підсистема, а «скривджується»інформація. Це не менш небезпечний «негаразд». Тому так важли-ва ще одна додаткова сторона надійності — вірогідність.

Чутливість — властивість операційної системи негайно ви-являти реакцію на несприятливі (або сприятливі) зміни як внут-рішнього, так і зовнішнього середовища з деяким випереджен-ням у часовому масштабі з метою збереження дієздатності.Особлива роль у підтримці чутливості системи приділяєтьсяаналітичним службам і операційним менеджерам.

4.2.2 Відмови операційних систем

У системній теорії надійності особливе місце приділяєтьсяпоняттю «відмова». Відмова — подія, що полягає в порушенні

працездатного стану, коли операційна система не здатна викону-вати задані функції, що відповідають вимогам нормативно-тех-нічної і (або) проектно-конструкторської документації.

На підставі обробки наукової літератури, досліджень функ-ціонування великої кількості операційних систем різного призна-чення і топології пропонується конкретна класифікація відмов(рис. 4.1).

Природа походження відмови поділяє його на відмови при-родні і навмисні (штучні). Остання може бути викликанарізними причинами внаслідок свідомих чи підсвідомих дійменеджера або персоналу в цілому.

Місце виникнення відмови показує на слабку точку опера-ційної системи, її підсистеми чи складового елемента. На-приклад, падіння продажів може бути слабким місцем служ-би маркетингу, тобто підсистеми маркетингу.

Час виникнення відмови вказує, коли вона виникає протягомжиттєвого циклу операційної системи. Ці відмови розділяютьна пускові (характерні для першого етапу життєвого циклужиття системи і виникають через несформульованість коор-динації й інтеграції між основними і допоміжними ланками,елементами, підсистемами; у принципі, можна виключити цюкатегорію, якщо до початку функціонування системи здійсни-ти «технологічний прогін»), а також деградаційні.

До деградаційних відмов відносять усі випадки, обумов-лені природними процесами: змінами зовнішніх умов функціо-нування і внутрішніх деструктивних процесів, пов'язаних з па-дінням відповідальності, погіршенням відносної якості проф-рівня персоналу, фізичним і моральним застаріванням устат-кування тощо.

За характером відмови розподіляють на раптові, поступові,перемежовані, стійкі, самоліквідні, збої.

Відмова

і розподілу

Клас відмови

Ознака розподілу І Відмова

Місцевиникнення

ЕлементПідсистема

Система

Природапоходження

Природний іНавмисний '

Пускові і

- Часвиникнення

Деградаційні

РаптовийПоступовий

Незалежний

Характер ^ *виникнення 4 ПеретиналЬний

СамоліквіднийСтійкий

Характер^-.-|-,"",-''взаємозв,язк^

Зовнішніознаки

ОчевиднийПрихований

6.

©

Розрахунково-проектні

ВиробничіЕксплуатаційні

Рис. 4.1 Узагальнена класифікація відмов операційних систем

На відміну від раптової відмови, настанню поступової пе-редують безперервна і монотонна зміна одного або декількохпараметрів, що характеризують здатність операційної системивиконувати задані функції. Через це часто вдається запобігтинастанню відмов або вжити превентивних заходів щодо усунен-ня (локалізації) небажаних наслідків.

Перемежована відмова — багаторазовий збій того самогохарактеру. Прикладом може бути періодичне відключення енер-гоносіїв, перебої в постачаннях сировини тощо. Відключенняелектроенергії операційна система може самоусувати введен-ням в експлуатацію резервних генераторних установок, що пра-цюють у режимі самовключення за певних режимів. Таку відмовуможна назвати «самоліквідною». Наприклад, перезавантаженняпрограми в комп'ютері у разі збою.

Стійка відмова обумовлена постійністю прояву за певнихзаданих умов функціонування операційної системи.

Взаємозв'язок відмов визначає їхня сумісність. До залежноївідмови операційної системи відноситься призупинення вироб-ничого циклу через припинення енергопостачання. У той жечас збій у системі через некоректне планування чи керуванняне залежить від дискретності подання енергоресурсів.

Зовнішні ознаки відмов чи збою операційної системи визна-чають можливість виявлення — діагностування — й усу-нення доступними на даний момент заходами. З цієї причи-ни вони можуть бути очевидними і прихованими.

Міра відмови характеризує можливість подальшого вико-ристання операційної системи або її підсистем. Повна від-мова визначає ліквідацію операційної системи, а часткова,імовірніше за все, є поштовхом, провісником модернізації.

Причини виникнення. За цією ознакою вони розподіляютьсяна три види відмов: розрахунково-проектувальні, виробничі,експлуатаційні.

Відмову називають розрахунково-проектувальною, якщо вонавиникла через недосконалість розрахункових методів чи порушен-ня встановлених правил і (або) норм проектування. Якщо причинавідмови пов'язана з недосконалістю чи порушенням введеного циклувиготовлення продукції або технології надання послуг, відмову опе-раційної системи називають виробничою. Якщо ж відмова чи збійу системі виникає через порушення норм і правил функціонування,то її відносять до категорії експлуатаційних.

Класифікація відмов із причин виникнення введена з метоювстановлення стадії створення чи існування операційної систе-ми, на якій варто вжити заходи для усунення причин відмов аботих же збоїв. Дана класифікація не є вичерпною для операційнихсистем. Так, приміром, деградаційні відмови, що наступили докінця планового терміну служби об'єкта, а також відмови, обу-мовлені причинами, не передбаченими встановленими правила-ми і нормами (наприклад, стихійні лиха), не відносяться до однієїз цих трьох категорій. Крім того, на практиці часто виникаютьвідмови, викликані сполученням двох і більше причин, віднесе-них до різних груп.

9. Наслідки або ціна відмов. Дана класифікація необхідна, на-самперед, для установлення відносин між системою і спо-живачем, тобто для розробки гарантійних зобов'язань роз-робника (виробника) перед замовником (споживачем).Серед усіх типів відмов виділяють критичні — катастрофічнівідмови, наслідки яких загрожують життю і здоров'ю людей, атакож для навколишнього середовища або спричиняють важкіекономічні втрати. Як приклад наведемо аварію на ЧАЕС, вихідз ладу сухих сховищ відходів ядерного палива і магістральнихтрубопроводів передання і розподілу палива тощо. Крім того, докритичних можуть бути віднесені відмови, що спричинюють не-виконання відповідального завдання (не будучи за природою ка-тастрофічними).

Інша частина відмов відноситься до некритичних, що по-діляються на мажорні (істотні) і мінорні (несуттєві). У даномувипадку критерієм для їхнього розподілу можуть слугувати ви-трати праці і часу на усунення наслідків від відмов або рівеньзниження продуктивності операційної системи у разі відмов, щопризводить до частково непрацездатного стану останньої.

З погляду тривалості життєвого циклу операційної системи,особлива роль належить поняттю граничного стану — станусистеми, за яким її подальше функціонування неприпустиме абонедоцільне. Критерієм граничного стану можуть бути витратина відновлення, поява неприпустимих відхилень показників якостівиробленої продукції або послуг і інші види економічного збитку.Критерії граничного стану можуть вводитися з розумінь безпе-ки. І, нарешті, використання операційної системи можна вважа-ти недоцільним унаслідок її морального зносу. Перехід системив граничний стан спричиняє тимчасове або остаточне припи-нення її функціонування, тобто ліквідації.

4.2.3 Поняття ефективності операційної системи

У безпосередньому зв'язку з поняттям «надійність» знахо-диться поняття «ефективність». Ефективністю операційної си-стеми можна назвати її властивість давати певний корисний ре-зультат (ефект) у разі виконання своєї місії.

Виходячи з визначень надійності й ефективності, стає оче-видним, що це різні, хоча і взаємозалежні, поняття. І, природньо,чим вища надійність операційної системи, тим вище і її ефек-тивність, але до деякої межі. Залежність ефективності (Е) віднадійності (Н) наведено на рис. 4.2, з якого видно, що на ділянціа - в зміна надійності істотно впливає на ефективність. Підви-щення ж надійності вище рівня (с) недоцільно з погляду підви-щення ефективності.

На практиці розріз- Eняють наступні види ефек-тивності.

Ефективність номіналь-на — ефективність опера-ційної системи за безвідмов-ного її стану.

Ефективність реаль-на — ефективність реальноїопераційної системи, тобтосистема, яка не володіє іде-альною надійністю.

Ефективність технічна — це так званий технічний ефект,отриманий під час функціонування системи. Наприклад, кількістьпереданої інформації, зниження витрат часу тощо.

Ефективність економічна—ступінь вигідності економічних вит-рат при функціонуванні (використанні) операційної системи.

Ефективність оперативна — вплив результатів застосуван-ня операційної системи на виконання деякої масштабної операції.