Наработку на отказ для датчиков общепромышленного назначения рекомендуется выбирать не меньше чем
MTBF — откуда берется «миллион часов MTBF»
Просто удивительно то, насколько велико непонимание вокруг такого широко распространенного понятия, как MTBF (Mean Time Between Failure — «Время между сбоями» или «наработка на отказ» ), насколько смысла этой величины не понимают, зачастую, даже специалисты в области хранения данных.
Казалось бы — что может быть проще. «Наработка на отказ» это время беспроблемной работы, от первого включения нового диска, до момента отказа, посчитанная в часах.
Почти любой, кто поинтересуется значением, приводимым производителями, в качестве MTBF современных дисков, и с легкостью сделает несложные подсчеты, будет удивлен странной его величиной.
На сегодня величина MTBF приводится в миллион или даже полтора миллиона часов.
В году — примерно 8760 часов, значит, исходя из нашего понимания «физического смысла» этого значения, производитель планирует «наработку на отказ» для любого такого диска более ста лет (114 лет, для миллиона часов MTBF), что является очевидной нелепостью для каждого, у кого подыхали жесткие диски.
Тогда что это за «миллион часов», где и каким образом он измерен?
Конечно же производитель не гоняет диск 114 лет, оценка производится искусственно, но откуда вообще взялась величина в «миллион часов»?
Дело в том, что MTBF измеряется для всей эксплуатируемой «дисковой популяции», и распространяется на период объявленного гарантийного срока для данного типа дисков. Оба выделенных момента являются важными, и часто опускаются в описании, что и приводит к принципиальному непониманию.
Представим себе, что мы поставили в сервер жесткий диск, который проработал 3 года гарантийного срока, и, будучи исправным, был заменен на новый. Следующий проработал три года, и был заменен по истечении гарантийного срока, и так далее. И вот на 38-м диске вы вправе ожидать, что до конца гарантийного срока он не доработает.
Или же представим себе чуть более приближенную к реальности ситуацию.
Допустим, для простоты подсчета, у нас есть система хранения на 115 дисков. Для каждого диска производитель приводит MTBF равный миллиону часов. Но надо принять во внимание то, что в большой дисковой популяции общий MTBF, то есть вероятность отказа, растет, с увеличением количества используемых дисков.
Для 115 дисков, исходя из приводимой вендором величины MTBF, мы вправе ожидать, что хотя бы один диск из популяции в 115 выйдет из строя до конца трехлетнего гарантийного срока.
Этот вариант уже куда более похож на правду.
Строго говоря, на практике, вместо MTBF гораздо практичнее пользоваться параметром AFR — Annual Failure Rate, или «ежегодная вероятность сбоев», выводимом из MTBF.
Он вычисляется как: AFR = 1-exp(-8760/MTBF)
Величина AFR для диска с миллионом часов MTBF составляет 0,87%, что, в принципе, хоть и чуть завышено (Google в известном исследовании 2007 года показывает для новых дисков в пределах гарантийного срока как раз AFR в районе 1%), но, все же уже довольно хорошо согласуется с практикой.
Любопытно, что, например, такой производитель жестких дисков как WD теперь вовсе перестал указывать величину MTBF, перейдя на указание другого параметра: «power on/off cycles», по видимому не в последнюю очередь именно в связи с явно видимым непониманием и неочевидностью применения указываемой величины MTBF пользователями.
Наработка на отказ
Наработка на отказ — технический параметр, характеризующий надёжность восстанавливаемого прибора, устройства или технической системы.
Средняя продолжительность работы устройства между ремонтами, то есть показывает, какая наработка в среднем приходится на один отказ. Выражается обычно в часах.
Для программных продуктов обычно подразумевается срок до полного перезапуска программы или полной перезагрузки операционной системы.
Наработка до отказа — эквивалентный параметр для неремонтопригодного устройства. Поскольку устройство неремонтируемое, то это просто среднее время, которое проработает устройство до того момента, как сломается.
Наработка — продолжительность или объем работы объекта, измеряемая в часах, мото-часах, гектарах, километрах пробега, циклов включений и др.
Измеряется статистически, путём испытания множества приборов, или вычисляется методами теории надёжности.
где ti — наработка i-го объекта между отказами; m — число отказов.
Содержание
Определение по ГОСТ
ГОСТ 27.002-89 определяет данные параметры следующим образом:
Зарубежная терминология
Системы, связанные с обеспечением безопасности, можно условно подразделить на две категории:
IEC 61508 (англ.) русск. количественно определяет эту классификацию, устанавливая, что частота запросов на работу системы обеспечения безопасности не превышает одного раза в год в режиме низкой частоты запросов, и более раза в год в режиме высокой частоты запросов (непрерывной работы).
Значение SIL (англ.) русск. для систем обеспечения безопасности с низкой частотой запросов непосредственно зависит от диапазонов порядков средней вероятности того, что она не сможет удовлетворительно выполнить свои функции по обеспечению безопасности по запросу, или, проще говоря, от вероятности отказа при запросе (PFD). Значение SIL для систем обеспечения безопасности, работающих в режиме высокой частоты запросов (непрерывно) непосредственно зависит от вероятности возникновения опасного отказа в час (PFH).
PFD (Probability of Failure on Demand, Вероятность отказа при запросе) — средняя вероятность того, что система не выполнит свою функцию по запросу. PFH (Probability of Failure per Hour, Вероятность возникновения отказа за час) — вероятность возникновения в системе опасного отказа в течение часа. MTTR (Mean Time to Restoration, Среднее время до восстановления работоспособности) — среднее время, необходимое для восстановления нормальной работы после возникновения отказа. DC (Diagnostic Coverage, Диагностическое покрытие) — отношение количества обнаруженных отказов к общему числу отказов.
В свою очередь, λ = частота отказов = 1/ MTBF
Среднее время безотказной работы системы
Пределы несобственного интеграла изменяются от 0 до ∞, так как время не может быть отрицательным; 
— есть плотность вероятности возникновения отказов системы или её невосстанавливаемого элемента. 
— есть вероятность безотказной работы в интервале времени 
. В начальный момент вероятность Р(T) равна единице. В конце времени работы системы вероятность равна нулю. Вероятность связана с плотностью вероятности возникновения отказов системы или её невосстанавливаемого элемента следующим образом:
.
Проинтегрировав выражение для 
по частям, получим:
Графически полученное выражение для представлено на рисунке как площадь под графиком вероятности безотказной работы Р(T) от времени T. В начальный момент вероятность Р(T) равна единице. В конце времени работы системы вероятность P(T) равна нулю.
Здесь 
— случайное время работы системы до отказа или наработка на отказ для невосстанавливаемого элемента или системы.
Резервирование пожарных извещателей или … контактов?! Часть 1. Отечественные и зарубежные стандарты
Игорь Неплохов
к.т.н., технический директор по ПС компании «ПОЖТЕХНИКА»
ВЕРОЯТНОСТЬ БЕЗОТКАЗНОЙ РАБОТЫ ИЗВЕЩАТЕЛЯ
Требование установки минимум двух пожарных извещателей появилось в первом нормативном документе 30 лет назад, очевидно вследствие низкой надежности оборудования в то время. Тогда в конструкторской документации на пожарные извещатели, приборы и источники питания производители обычно указывали наработку на отказ 13 100 часов (1,5 года), иногда 17 500 часов (2 года). Низкий уровень надежности устройств отражал имеющийся уровень элементной базы. Например, из-за отсутствия светодиодов в фотоэлектрическом дымовом извещателе ИДФ-1М использовались лампы накаливания типа СГ24-1,2, и, для обеспечения приемлемого срока службы, напряжение питания было снижено с 24 В до 19 В. Вероятно, эти значения связывались с гарантийными обязательствами, которые составляли всего лишь полгода/год.
На рисунке 1 показана типовая зависимость интенсивности отказов электронных устройств во времени. Здесь можно выделить три области:
Контроль режима работы каждого электронного элемента в процессе изготовления и электрическая тренировка позволяют полностью исключить I этап из периода эксплуатации. В этом случае интенсивность отказов λ извещателей в первые годы эксплуатации сохраняется на постоянном уровне (λ = const), что позволяет вычислить вероятность безотказной работы P(t0) и вероятность отказа Q(t0) за промежуток времени t0 [9]: 
Приближенные значения P(t0) и Q(t0) [10], которые могут использоваться при малых величинах интенсивности отказов, имеют еще более простую и понятную форму: 
При этом погрешность не превышает, соответственно: 
При среднем времени наработки на отказ Т = 60 000 часов, интенсивность отказов будет равна λ = 1/То =1,66(6) х 10-5 [1/час]. Результаты вычислений по формуле (1) приведены в таблице 1. Вероятность отказа извещателя за один год составляет 0,136; за три года уже 0,355; за 5 лет превышает 0,5. При достижении среднего срока службы извещателей 10 лет вероятность отказа увеличивается до 0,768. Если извещатели эксплуатировать до 15 лет, то вероятность отказа становится близка к 0,9.
РАЗМЕЩЕНИЕ ИЗВЕЩАТЕЛЕЙ И РЕЗЕРВИРОВАНИЕ
Включение не менее двух извещателей, по логике «ИЛИ», очевидно подразумевает резервирование извещателей, т.е. при случайном отказе одного из двух извещателей работоспособность пожарной сигнализации не должна нарушаться. При этом никакие сигналы неисправности в системе не появляются, и отказавший извещатель может быть идентифицирован только при ручном тестировании всех извещателей, которое практически не проводится из-за значительной трудоемкости.
Рис. 2. Резервирование обеспечивается только в центре помещения
При размещении извещателей на нормативных расстояниях площадь, контролируемая одновременно двумя извещателями, незначительна и резервирование практически отсутствует. Для обеспечения резервирования каждая точка помещения должна контролироваться одновременно двумя извещателями, то есть каждый извещатель должен контролировать площадь в несколько раз больше нормативной: кроме «своего» квадрата 9х9 м еще и соседние квадраты на случай отказа ближайшего извещателя. Соответственно, радиус защищаемой площади должен быть увеличен более чем в два раза с 6,36 м, до 14 м (рис. 2).
По ГОСТ Р 53325-2012 [11] чувствительность в дымовом канале должна быть не хуже 0,2 дБ/м. Очевидно эта величина создает иллюзию высокой эффективности дымовых извещателей и возможности обнаружения очагов на значительных расстояниях, поскольку при удельной оптической плотности порядка 0,1-0,2 дБ/м видимость превышает 50 метров. Однако в соответствии с введенным с 1 января 2014 года ГОСТ Р 53325-2012, аналогично требованиям EN54-7, дымовые извещатели должны обнаруживать тестовые очаги при оптической плотности до 2 дБ/м и при расстоянии до очага всего лишь 3 м! А в условиях удельной оптической плотности порядка 2 дБ/м видимость сокращается до 5 метров, что в 4 раза меньше значения ОФП (рис. 3) [12]. Реально пороговые дымовые извещатели обнаруживают очаги при оптической плотности 1-2 дБ/м, адресно-аналоговые извещатели могут обеспечивать реальную чувствительность порядка 0,5-1 дБ/м, и только лучшие образцы мультикритериальных извещателей с использованием сложных экспертных алгоритмов обработки аналоговой информации, например FastLogic и High Performance Optical (HPO), обеспечивают обнаружение очагов при оптической плотности менее 0,5 дБ/м [13].
Рис. 3. Зависимость видимости от оптической плотности
Объясняется это положение более низкими скоростями движения дыма при огневых испытаниях в сравнении со скоростью аэрозоля в дымовом канале и различным размером обнаруживаемых частиц. Аэродинамическое сопротивление дымозахода определяет значительно более низкую оптическую плотность среды по сравнению с окружающим пространством: чем больше аэродинамическое сопротивление и меньше скорость воздушного потока, тем больше перепад плотности среды. Даже оптимизированная конструкция по минимуму аэродинамического сопротивления дымозахода, за исключением бескамерных, линейных и аспирационных извещателей, не обеспечивает поступление дыма в камеру при скоростях дыма менее 0,15 м/с. Извещатели с неоптимальной конструкцией дымозахода, с дополнительными элементами для защиты от пыли, «теряют» чувствительность даже при больших скоростях, порядка 0,20,3 м/с, что определяет их низкую чувствительность в реальных условиях.
Рис. 4. Очаг TF4 на момент окончания испытания на 160 секунде
РЕАЛЬНАЯ НАДЕЖНОСТЬ ИЗВЕЩАТЕЛЕЙ
Статистические данные о работоспособности различных устройств пожарной автоматики с распределением по типам в открытых источниках практически отсутствуют. Исключением является статья [14], в которой проведен анализ надежности извещателей и приборов на десяти АЭС за период с 1 января 2000 года по 31 мая 200б года. Как отмечается в данной статье: «Всего за это время был зафиксирован в системах АУПТ и АУПС 331 отказ технических средств (в том числе отказы, приводящие к ложному срабатыванию) и 725 ложных срабатываний (в том числе 62 срабатывания АУПТ с пуском огнетушащего вещества)». На основании проведенных исследований был разработан и с 01.01.2005 введен в действие РД ЭО 0585-2004 «Методика оценки технического состояния и остаточного ресурса пожарных извещателей и приемно-контрольных приборов систем пожарной сигнализации АЭС».
Значения наработки на отказ и на ложное срабатывание пожарных извещателей, вычисленные в статье [14], приведены в таблице 2. Исследования показали, что только первый дымовой извещатель ИДФ-1М показал наработку на отказ менее 400 000 часов, эквивалентной двум извещателям с нормативной наработкой на отказ 60 000 часов. И только из-за отказа лампы накаливания СМ-28-0,05, срок службы которой значительно меньше светодиодов, использующихся во всех дымовых извещателях более поздних разработок. Но то, что эти древние извещатели дожили до 2006 года, тоже говорит о многом. А уже первый дымовой извещатель со светодиодом ДИП-1 показал наработку на отказ 12 000 000 часов (1369,9 лет) и наработку на ложное срабатывание 5 900 000 часов (673,5 лет). Причем без перезапросов, судя по типам приемно-контрольных приборов, установленных на АЭС.
Табл. 2. Наработка на отказ и на ложное срабатывание извещателей на АЭС
Современные отечественные извещатели, установленные на АЭС в небольших количествах, показали, как ни странно, более скромные результаты по надежности и по ложным срабатываниям в сравнении с ДИП-1, ДИП-3 и ДИП-5, но также превысили 400 000 часов. По извещателю ИП212-45 (330 шт.), наработка на отказ составила 2 000 000 часов (228,3 лет) при наработке на ложное срабатывание 3 700 000 часов (422,4 лет). У извещателя ИП212-46 (107 шт.) наработка на отказ оказалась еще меньше: 625 000 часов (71,3 лет) и такая же наработка на ложное срабатывание 625 000 час. (71,3 лет), совершенно одинаковые значения позволяют предположить, что отказ извещателей сопровождался формированием ложного срабатывания.
Что касается широко распространенного мнения, что у тепловых извещателей практически полностью отсутствуют отказы и ложные срабатывания, в отличие от дымовых извещателей, практика показывает, что это совсем не так. На АЭС эксплуатировались тепловые извещатели ИП105-2/1 в количестве 6204 шт., которые показали наработку на отказ 9 500 000 часов (1084,3 лет), что несколько меньше, чем даже у ДИП-1, и в 4 раза меньше, чем у ДИП-3. Наработка на ложное срабатывание составила 9 100 000 часов (1038,8 лет), не выше чем у дымового из-вещателя ИП212-5.
Однако необходимо отметить, что полученные результаты получены для устройств, которые эксплуатировались до контрольного периода и прошли этап приработки, а также были обеспечены регулярным техническим обслуживанием с контролем работоспособности. Какую надежность будут иметь новые пожарные извещатели, это зависит от проведения полноценного цикла тестирования и электрической тренировки в процессе изготовления. Кроме того, регулярное тестирование пожарных извещателей достаточно трудоемкое, требует дорогостоящего оборудования и по этим причинам на многих объектах не проводится, в отличие от особо важных объектов. Причем простейшие тестеры, использующиеся для проверки дымовых и тепловых пожарных извещателей, не позволяют обнаружить снижение их чувствительности. Исходя из этого положения, совсем не понятно создание «нормативных» трудностей при установке одного извещателя с контролем работоспособности. Если в автоматическом режиме обнаруживается снижение чувствительности извещателя, то его надо заменить в кратчайшие строки, а обычные пороговые извещатели могут «моргать» индикаторами при снижении чувствительности до нуля.
Несмотря на полученные фантастические результаты наработки на отказ по сравнению с нормативными 60 000 часов по отечественным извещателям, которые выпускались для АЭС, зарубежное оборудование, вероятно, показало еще более высокую надежность. На АЭС эксплуатировались извещатели и панели двух зарубежных производителей, но по ним результаты в численном виде в статье [14] приведены не были, только было отмечено, что «по тем типам извещателей и приборов, у которых наблюдались единичные отказы и (или) ложные срабатывания, расчеты не проводились».
Что обеспечивает высокую надежность извещателей, сертифицированных по европейским стандартам серии EN 54, и что означает «резервирование контактов», указанное в заглавии, мы подробно рассмотрим в следующей части статьи.
MTBF (наработка на отказ) и гарантия в мире компьютеров. Что важно?
Введение
Разработчик – производитель – продавец – покупатель. Этот стандартный путь проходит любое устройство, будь то электронный блок для космического телескопа или ПК на вашем рабочем столе. И на каждом этапе используются результаты анализа, выполненного с помощью теории надежности.
Как известно, покупатели делятся на две принципиально разные категории: частные лица и фирмы. Корпоративный покупатель обеспечен внимательным отношением, так как он умеет не только защищаться, но и выбирать продавца с подходящей репутацией. А обычный покупатель и защищен плохо, и считать ему приходится каждый рубль. О нем и пойдет речь.
Не все вещи доживают до конца гарантии
Когда такой покупатель приходит в магазин компьютерной техники, один из главных вопросов, который его волнует – надежность устройства. Каждому хочется, чтобы его ПК устарел морально и физически, будучи в рабочем состоянии, и чтобы не пришлось через месяц после окончания гарантийного срока мучиться вопросом «что полетело?» и «во что обойдется теперь ремонт?».
Что такое MTBF, «наработка на отказ» или «ресурс»
Согласно ГОСТ 27.002-89 для оценки надежности используются следующие термины, с которыми мы сталкиваемся в магазине: «наработка на отказ» – наработка от окончания восстановления работоспособного состояния после отказа до возникновения следующего отказа. Это в случае ремонтопригодной продукции. Эквивалент в английской литературе – MTBF (Mean (operating) time between failures) – среднее время между отказами. В случае продукции не подлежащей ремонту используется термин «наработка до отказа» – наработка от начала эксплуатации до возникновения первого отказа. Эквивалент в английской литературе – MTTF (Mean (operating) time to failures) – среднее время до отказа.
Часто встречается также термин Lifetime warranty. Это, как правило, гарантия соответствия параметров изделия на все время его эксплуатации. Некоторые фирмы ограничивают гарантию каким то количеством лет (обычно не больше пяти) после прекращения выпуска данного изделия или изделия способного его заменить. Поэтому, если эти нюансы принципиальны, то в спецификации желательно прочесть, что подразумевает производитель под lifetime warranty.
100 лет может прожить только танк. в мирное время
Покупая то или иное устройство, мы можем, наряду с гарантийным сроком, столкнуться с упомянутой терминологией. Если продавец сообщает, что у выбранного вами процессора, который не подлежит ремонту, MTBF составляет 500000 часов – это неправильно. Для процессора должно быть указано MTTF. MTBF должно употребляться только для ремонтопригодных устройств.
Терминология, используемая производителем и продавцом, употребляется иногда достаточно вольно, так как юридически все определяет описание того в каком значении применен данный термин к данному устройству. Это должно присутствовать в прилагаемых документах. «Уши» такого подхода «растут» из принципов регулирования главного рынка планеты – США, которые вырабатываются Федеральной Комиссией по Торговле (The Federal Trade Commission).
Как оценивается MTBF? Это иллюстрирует нижеследующая диаграмма, где приведена U-образная кривая интенсивности отказов (bathtub curve) для электронного устройства некоего научного оборудования, чтобы читатель мог видеть, что можно иметь в идеале при покупке электроники, в том числе компьютерной.
По вертикальной оси отложена вероятность выхода устройства из строя. По горизонтальной оси – время без соблюдения масштаба. Левая кривая перед красной границей соответствует длительности времени в течение которого большая часть устройств выходит из строя при наличии брака. На этом этапе бракованные устройства для научного оборудования отсеиваются сразу же, на заводе при стрессовых испытаниях. Это возможно, т.к. длительность выявления брака не превышает 50 часов и число устройств не велико.
Для комплектующих обычных компьютеров длительность нисходящей кривой значительно больше. В этом случае, для получения информации о длительности периода, когда проявляется заводской брак, очень важны рекламации от покупателя, потому что невозможно выискивать дефекты в течение месяцев на заводе у многих тысяч устройств. К тому же, некоторые наименования комплектующих ПК за год устаревают и сходят с рынка.
Далее следует вторая горизонтальная часть кривой, когда вероятность отказа примерно постоянна. Длительность ее и есть MTBF. Половина этой длительности часто берется производителем в качестве ориентира для определения гарантийного срока.
Справа от красной границы, после окончания срока MTBF, кривая демонстрирует увеличение вероятности отказов. Имеются ввиду не только поломки, но и отклонение параметров работы изделия от требуемых. Это увеличение вероятности выхода обусловлено тем, что ряд элементов в устройстве достигает своего жизненного предела из-за технологии изготовления, т.е. наступает технологический износ элементной базы. Таким образом, время MTBF статистически определяет время работоспособной жизни устройства при заданных условиях эксплуатации.