8.13.2Поняття відмовостійкоті
Під відмовою розуміється подія, яка полягає в порушенні працездатності ІС або її компонент.
У простому випадку можна вважати, що відмови будь-якого компоненту складеного виробу ведуть до загальної відмови, а розподіл відмов в часі є простим Пуассоновським потоком подій. У такому разі вводять поняття інтенсивності відмов і середнього часу напрацювання на відмову, які зв'язані між собою співвідношенням
,
де i - номер компоненту;
i - інтенсивність відмов;
Ті - середній час напрацювання на відмову.
Інтенсивності відмов незалежних компонентів складаються
,
а середній час напрацювання на відмову для складного виробу задається співвідношенням
.
Вже ці прості викладення показують, що якщо існує компонент, інтенсивність відмов якого набагато більше, ніж у інших, то саме він визначає середній час напрацювання на відмову всієї ІС. Це є теоретичним обґрунтуванням принципу першочергового зміцнення найслабкішої ланки.
Пуассоновська модель дозволяє обґрунтувати ще одне дуже важливе положення, що полягає в тому, що емпіричний підхід до побудови систем високої доступності не може бути реалізований за прийнятний час.
При традиційному циклі тестування/налагодження програмної системи за оптимістичною оцінкою кожне виправлення помилки приводить до експоненціального спадання (приблизно на половину десяткового порядку) інтенсивності відмов. Звідси витікає, що для того, щоб на досвіді переконатися в досягненні необхідного рівня доступності, незалежно від вживаної технології тестування і налагодження, доведеться згаяти час, практично рівний середньому часу напрацювання на відмову. Наприклад, для досягнення середнього часу напрацювання на відмову 105 годин буде потрібно більше 104,5 годин, що складає більше трьох років. Значить, потрібні інші методи побудови систем високої доступності, методи, ефективність яких доведена аналітично або практично за більш ніж п'ятдесят років розвитку обчислювальної техніки і програмування.
Пуассоновськая модель застосовна в тих випадках, коли ІС містить одиночні точки відмови, тобто компоненти, вихід яких з ладу веде до відмови всієї системи. Для дослідження систем з резервуванням застосовується інший формалізм.
Відповідно до постановки завдання вважатимемо, що існує кількісна міра ефективності інформаційних послуг, що надаються виробом. У такому разі вводяться поняття показників ефективності окремих елементів і ефективності функціонування всієї складної системи.
Як міру доступності можна прийняти вірогідність прийнятності ефективності послуг, що надаються ІС, на всьому протязі даного відрізка часу. Чим більший запас ефективності має в своєму розпорядженні система, тим вище її доступність.
За наявності надмірності в конфігурації системи вірогідність того, що в даний проміжок часу ефективність інформаційних сервісів не опуститься нижче за допустиму межу, залежить не тільки від вірогідності відмови компонентів, але і від часу, протягом якого вони залишаються непрацездатними, оскільки при цьому сумарна ефективність падає, і кожна наступна відмова може стати фатальною. Щоб максимально збільшити доступність системи, необхідно мінімізувати час непрацездатності кожного компоненту. Крім того, слід враховувати, що, взагалі кажучи, ремонтні роботи можуть викликати зниження ефективності або навіть часового відключення працездатних компонентів; такого роду впливи також необхідно мінімізувати.
Декілька термінологічних зауважень. Звичайно в літературі з теорії надійності замість доступності говорять про готовність (зокрема про високу готовність). Ми віддали перевазі термін "доступність", щоб підкреслити, що інформаційний сервіс повинен бути не просто "готовий" сам по собі, але доступний для своїх користувачів в умовах, коли ситуації недоступності можуть викликатися причинами, що на перший погляд не мають прямого відношення до сервісу (приклад - відсутність консультаційного обслуговування).
Далі, замість часу недоступності звичайно говорять про коефіцієнт готовності. Нам хотілося звернути увагу на два показники - тривалість одноразового простою і сумарну тривалість простоїв, тому ми віддали перевазі термін "час недоступності" як більш ємкий.