Redundância (engenharia)

Da Wikipédia, a enciclopédia livre
Ir para navegação Pular para pesquisar
Fonte de alimentação redundante comum
Subsistema redundante "B"
Instalação de iluminação traseira amplamente redundante em um ônibus de turismo tailandês

Em engenharia , redundância é a duplicação de componentes ou funções críticas de um sistema com a intenção de aumentar a confiabilidade do sistema , geralmente na forma de um backup ou à prova de falhas , ou para melhorar o desempenho real do sistema, como no caso de Receptores GNSS ou processamento de computador multithread .

Em muitos sistemas críticos para a segurança , como sistemas fly-by-wire e hidráulicos em aeronaves , algumas partes do sistema de controle podem ser triplicadas, [1] o que é formalmente denominado redundância modular tripla (TMR). Um erro em um componente pode ser derrotado pelos outros dois. Em um sistema triplamente redundante, o sistema tem três subcomponentes, todos os três devem falhar antes que o sistema falhe. Uma vez que cada um raramente falha, e espera-se que os subcomponentes falhem independentemente, a probabilidade de todos os três falharem é calculada como extraordinariamente pequena; muitas vezes superado por outros fatores de risco, como erro humano. A redundância também pode ser conhecida pelos termos "sistemas de votação por maioria" [2] ou "lógica de votação". [3]

Um de ponte de suspensão numerosos cabos são uma forma de redundância.

A redundância às vezes produz menos, em vez de maior confiabilidade - ela cria um sistema mais complexo que está sujeito a vários problemas, pode levar à negligência humana do dever e pode levar a demandas de produção mais altas que, por sobrecarregar o sistema, podem torná-lo menos seguro. [4]

Formas de redundância

Na ciência da computação, existem quatro formas principais de redundância, [5] são elas:

Uma forma modificada de redundância de software, aplicada ao hardware pode ser:

  • Redundância funcional distinta, como frenagem mecânica e hidráulica em um carro. Aplicado no caso de software, código escrito de forma independente e distintamente diferente, mas produzindo os mesmos resultados para as mesmas entradas.

As estruturas geralmente são projetadas com peças redundantes também, garantindo que, se uma peça falhar, toda a estrutura não entrará em colapso. Uma estrutura sem redundância é chamada de crítica à fratura , o que significa que um único componente quebrado pode causar o colapso de toda a estrutura. As pontes que falharam devido à falta de redundância incluem a Silver Bridge e a ponte Interstate 5 sobre o rio Skagit .

Os sistemas paralelos e combinados demonstram diferentes níveis de redundância. Os modelos são objeto de estudos em engenharia de confiabilidade e segurança.

Redundância Dissimilar

Ao contrário da redundância tradicional, que usa mais de um da mesma coisa, a redundância diferente usa coisas diferentes. A ideia é que é improvável que as coisas diferentes contenham falhas idênticas. O método de votação pode envolver complexidade adicional se as duas coisas levarem diferentes quantidades de tempo. Redundância diferente é freqüentemente usada com software, porque software idêntico contém falhas idênticas.

Você pode reduzir a chance de falha usando pelo menos dois tipos diferentes de cada um dos seguintes

  • processadores,
  • sistemas operacionais,
  • Programas,
  • sensores,
  • tipos de atuadores (elétricos, hidráulicos, pneumáticos, mecânicos manuais, etc.)
  • protocolos de comunicação,
  • hardware de comunicação,
  • redes de comunicações,
  • caminhos de comunicação [6] [7] [8]

Redundância geográfica

A redundância geográfica corrige as vulnerabilidades de dispositivos redundantes implantados separando geograficamente os dispositivos de backup. A redundância geográfica reduz a probabilidade de eventos como cortes de energia, inundações, falhas de HVAC, quedas de raios, tornados, incêndios em edifícios, incêndios florestais e tiroteios em massa que desabilitariam o sistema.

Os locais de redundância geográfica podem ser

  • 621 milhas ou mais de distância [Continental].
  • 62 milhas de distância. Aglomerados regionais a menos de 93 milhas de distância [Regional].
  • A menos de 62 milhas de distância, mas não no mesmo campus.
  • Edifícios diferentes no mesmo campus.
  • Alas diferentes no mesmo edifício, em quartos separados por mais de 300 pés.
  • Andares diferentes na mesma ala de um edifício em quartos que são deslocados horizontalmente por um mínimo de 21 metros com paredes corta-fogo entre os quartos que estão em andares diferentes.
  • Em salas diferentes que são separadas por uma (s) terceira (s) sala (s) com pelo menos 70 pés de largura entre as salas. Deve haver no mínimo duas paredes corta-fogo separadas e em lados opostos de um corredor. [9]

A Distant Early Warning Line foi um exemplo de redundância geográfica. Esses sites de radar tinham um mínimo de 50 milhas de distância, mas forneciam cobertura sobreposta.

Função de redundância

As duas funções de redundância são redundância passiva e redundância ativa . Ambas as funções evitam que o declínio do desempenho exceda os limites de especificação sem intervenção humana usando capacidade extra.

A redundância passiva usa o excesso de capacidade para reduzir o impacto de falhas de componentes. Uma forma comum de redundância passiva é a força extra de cabeamento e suportes usados ​​em pontes. Essa resistência extra permite que alguns componentes estruturais falhem sem o colapso da ponte. A força extra usada no projeto é chamada de margem de segurança.

Olhos e ouvidos fornecem exemplos funcionais de redundância passiva. A perda de visão em um dos olhos não causa cegueira, mas a percepção de profundidade é prejudicada. A perda de audição em um ouvido não causa surdez, mas a direcionalidade é perdida. O declínio do desempenho é comumente associado à redundância passiva quando ocorre um número limitado de falhas.

A redundância ativa elimina quedas de desempenho monitorando o desempenho de dispositivos individuais, e esse monitoramento é usado na lógica de votação. A lógica de votação está ligada à comutação que reconfigura automaticamente os componentes. A detecção e correção de erros e o Sistema de Posicionamento Global (GPS) são dois exemplos de redundância ativa.

A distribuição de energia elétrica fornece um exemplo de redundância ativa. Várias linhas de energia conectam cada instalação de geração aos clientes. Cada linha de energia inclui monitores que detectam sobrecarga. Cada linha de alimentação também inclui disjuntores. A combinação de linhas de energia fornece capacidade excedente. Os disjuntores desconectam uma linha de alimentação quando os monitores detectam uma sobrecarga. O poder é redistribuído pelas linhas restantes. [ carece de fontes? ] No Aeroporto de Toronto, existem 4 linhas elétricas redundantes. Cada uma das 4 linhas fornece energia suficiente para todo o aeroporto. Uma subestação de rede Spot usa relés de corrente reversa para abrir disjuntores para linhas que falham, mas permite que a energia continue fluindo para o aeroporto.

Os sistemas de energia elétrica usam a programação de energia para reconfigurar a redundância ativa. Os sistemas de computação ajustam a saída de produção de cada instalação de geração quando outras instalações de geração são perdidas repentinamente. Isso evita condições de blecaute durante grandes eventos, como um terremoto.

Alarmes de incêndio, alarmes de roubo, centrais telefônicas e outros sistemas críticos semelhantes operam com alimentação CC.

Desvantagens

Charles Perrow , autor de Normal Accidents , disse que às vezes o tiro sai pela culatra e produz menos, não mais confiabilidade. Isso pode acontecer de três maneiras: Primeiro, dispositivos de segurança redundantes resultam em um sistema mais complexo, mais sujeito a erros e acidentes. Em segundo lugar, a redundância pode levar à evasão de responsabilidades entre os trabalhadores. Terceiro, a redundância pode levar ao aumento das pressões de produção, resultando em um sistema que opera em velocidades mais altas, mas com menos segurança. [4]

Lógica de votação

A lógica de votação usa o monitoramento de desempenho para determinar como reconfigurar componentes individuais para que a operação continue sem violar as limitações de especificação do sistema geral. A lógica de votação freqüentemente envolve computadores, mas os sistemas compostos de itens diferentes de computadores podem ser reconfigurados usando a lógica de votação. Os disjuntores são um exemplo de uma forma de lógica de votação sem computador.

A lógica de votação mais simples em sistemas de computação envolve dois componentes: primário e alternativo. Ambos executam software semelhante, mas a saída do alternativo permanece inativa durante a operação normal. O principal monitora a si mesmo e envia periodicamente uma mensagem de atividade para o alternativo, desde que tudo esteja OK. Todas as saídas da parada primária, incluindo a mensagem de atividade, quando o primário detecta uma falha. O alternativo ativa sua saída e assume o controle do primário após um breve atraso quando a mensagem de atividade cessa. Erros na lógica de votação podem fazer com que ambas as saídas fiquem ativas ou inativas ao mesmo tempo, ou fazer com que as saídas sejam ativadas e desativadas.

Uma forma mais confiável de lógica de votação envolve um número ímpar de três dispositivos ou mais. Todos desempenham funções idênticas e as saídas são comparadas pela lógica de votação. A lógica de votação estabelece maioria quando há discordância, e a maioria atuará para desativar a saída de outro (s) dispositivo (s) que discordem. Uma única falha não interromperá a operação normal. Essa técnica é usada com sistemas aviônicos , como os responsáveis ​​pela operação do Ônibus Espacial .

Cálculo da probabilidade de falha do sistema

Cada componente duplicado adicionado ao sistema diminui a probabilidade de falha do sistema de acordo com a fórmula: -

Onde:

  • - número de componentes
  • - probabilidade de falha do componente i
  • - a probabilidade de falha de todos os componentes (falha do sistema)

Esta fórmula pressupõe independência de eventos de falha. Isso significa que a probabilidade de um componente B falhar, dado que um componente A já falhou, é a mesma de B falhar quando A não falhou. Existem situações em que isso não é razoável, como usar duas fontes de alimentação conectadas no mesmo soquete de forma que, se uma fonte de alimentação falhar, a outra também falhará.

Também assume que apenas um componente é necessário para manter o sistema funcionando.

Veja também

Referências

  1. ^ Técnica de gerenciamento de redundância para computadores do ônibus espacial (PDF), IBM Research
  2. ^ R. Jayapal (04/12/2003). "O circuito de votação analógica é mais flexível do que sua versão digital" . elecdesign.com. Arquivado do original em 03/03/2007 . Recuperado em 01/06/2014 .
  3. ^ "The Aerospace Corporation | Assuring Space Mission Success" . Aero.org. 20/05/2014 . Recuperado em 01/06/2014 .
  4. ^ a b Scott D. Sagan (março de 2004). "Aprendendo com acidentes normais" (PDF) . Organização e meio ambiente . Arquivado do original (PDF) em 14/07/2004.
  5. ^ Koren, Israel; Krishna, C. Mani (2007). Sistemas Tolerantes a Falhas . São Francisco, CA: Morgan Kaufmann. p. 3. ISBN 978-0-12-088525-1.
  6. ^ [1] Por que arquiteturas redundantes diferentes são uma necessidade para DAL A | Curtis Wright Defense Systems]
  7. ^ [2] Circuitos de alarme de incêndio | Um circuito Classe X continuará a funcionar com um único circuito aberto ou um único curto-circuito pelo uso de um caminho redundante.
  8. ^ [3] Protegendo-se contra o poder dos raios | para proteger contra surtos induzidos em vez de descargas atmosféricas diretas. 1 de fevereiro de 2005 Par trançado
  9. ^ [4] Redundância do site do data center | HM Brotherton e J. Eric Dietz | Tecnologia da Informação Informática, Purdue University

Ligações externas