-
Data: 2011-08-08 09:40:24
Temat: Re: Dostepnosc systemu - metody formalne
Od: Sebastian Kaliszewski <s...@r...this.informa.and.that.pl> szukaj wiadomości tego autora
[ pokaż wszystkie nagłówki ]Seweryn Habdank-Wojewódzki wrote:
> Witam,
>
>> Bez analizy ryzyka i bez konkretnego poznania co i jak może się popsuć
>> niezależnie, udowodnienie czegoś jest ciężkie.
>
> Oczywiscie.
>
>> No i najpierw w ogóle trzeba mieć jakieś dane nt. niezawodności poszczególnych
>> komponentów. Z czym bywa różnie. Dla hardware czasem jeszcze coś można dostać,
>> dla software -- z rzadka.
>
> No wlasnie. Mam konkretny HW. Domyslnie oni gwarantuja, ze jalowy HW
> bedzie dzialal dobrze.
> Ale dostawca instaluje OS np. Linux lub Windows. Nie bardzo mam dane,
> ale moge przyjac,
> ze to bedzie X (OS availability w zaleznosci od HW).
>
>> Poważna trudność to common failure modes -- dla
>> software to np. bug w stosie komunikacyjnym powodujący, że jak przyjdzie jakiś
>> tam komunikat to stos się wywala. I jeden dobrze rozpropagowany komunikat
>> wykłada nam cały sytetm z fafset "niezależnych" komponentów.
>
> Wiem. Wlasnie takie analizy mam - czyli wiadomo co nalezy do SPOF.
> Rowniez mam definicje kiedy nasz klient uwaza, ze system lezy nawet
> jesli
> komunikacja dziala i niektore moduly dzialaja, ale jakas informacja
> nie jest dostarczana
> i system calosc nie jest sprawna.
>
>> Tak czy siak potrzeba wiele szacować.
>
> Jasne.
>
>> Możemy wtedy napisać że mamy dostępność 9.997. Albo, co tu jest istotne(!) możemy
>> napisać że jest np. 9.999 albo po prostu 100% -- a czas niedostępności bierzemy
>> na klatę i na kary umowne za niedostępność powyżej dopuszczalnego limitu.
>
> Tak to jest rozwiazanie, ale unikamy takich trikow.
>
>> Pojawiło się całkiem sporo serwisów gwarantujących po prostu dostępność 100% --
>> a realny czas niedostępności refundują w ramach gwarancji.
>
> Tak, ale to jest chwyt prawniczy a nie techniczna analiza
> zagadnienia :-).
Ale przy szacowaniu typu 4 czy 5 dziewiątek to ja z definicji nie mam zaufania
do "technicznej analizy zagadnienia". Bo jest problem "unknown unknowns". Na
"unknown unknowns" przykładów historycznych mamy (zbyt) wiele. Żebym miał
zaufanie, to mnie któś musi przekonać, że wziął pod uwagę te niewiadome
niewiadome i ma na nie niemal całkowicie pewne (też wielodziewiątkowe)
ograniczenie z góry.
Ot choćby:
1. Space Shuttle. Robiono różne analizy niezawodności i niby wyszło, że szansa
utraty statku wraz z załogą w jednej misji jest rzędu 1:10000 (mamy 4
dziewiątkową niezawodność). Realne dane historyczne wskazują, że tak naprawdę
można mówić o niezawodności rzędu 1:50 -- na 135 misji mamy 2 utraty statku i
załogi i 1 parszywy close-call ("failure mode" praktycznie taki sam jaki
zniszczył Columbię trafił się już wcześniej, i to w 2. misji po utracie
Challengera -- wtedy się udało bo dziura została wybita w szczęśliwym miejscu
gdzie akurat pod spodem był gruby element metalowy, który sprawnie odprowadzał
ciepło dalej, a nie pusta przestrzeń).
2. Albo ostatnio Fukushima -- nie przewidzieli że jednocześnie padną generatory
dizlowskie, zasilanie z sieci i transport kołowy, pozwalający na dowiezienie
akumulatorów z zewnątrz.
3. Albo ostatnio incydent z silnikiem RollsRoyce-a w Airbusie 380... W silniku
pękł dysk turbiny -- takie coś waży setki kg i przy dzisiejszej technologii nie
da się tak zbudować silnika, by taki połamany dysk z niego nie wyleciał na boki
(robi się osłony wytrzymujące łopatki wentylatora, ale na dysk turbiny nie ma
mocnych -- energia głównych fragmentów jest jak pocisku z działa dużego
kalibru). Samoloty się certyfikuje tak, by pojedyncze przestrzelenie przez
pojedynczy znaczny fragment dysku nie "zdejmowało samolotu z nieba". Przyjmuje
się trafienie 1 fragmentem bo taki dysk rozpryskuje się mniej więcej
równomiernie we wszystkich kierunkach (przed rozpryśnieciem jest pi*drzwi w
stanie równowagi, inne elementy są zbyt delikatne by istotnie zmienić tor ruchu)
i zwykle pęka na 3 główne fragmenty (plus nieco mniejszych). Tu wyszło inaczej
-- samolot został trafiony przez 3 istotne framgenty (z czego 2 duże) i tylko
jeden duży poleciał nie trafiając samolotu. Czyli była awaria której
konstruktorzy nie przewidywali -- istotne przewody elektryczne i hydraulika
zostały przecięte w 3 różnych miejscach (przy okazji został przestrzelony jeden
z dźwigarów w skrzydle i zbiornik paliwa). Na szczęście było więcej marginesów
niż przewidywała specyfikacja i certyfikacja i tym razem się udało. Ale parę
osób twierdzi, że samolot innego typu miałby marne szanse.
>
> Pozdrawiam,
pzdr
\SK
--
"Never underestimate the power of human stupidity" -- L. Lang
--
http://www.tajga.org -- (some photos from my travels)
Następne wpisy z tego wątku
- 11.08.11 10:04 Seweryn Habdank-Wojewódzki
- 12.08.11 17:21 R. P.
- 12.08.11 18:18 n...@m...invalid
- 12.08.11 20:55 A.L.
- 12.08.11 21:41 R. P.
- 12.08.11 21:55 p...@p...onet.pl
- 12.08.11 22:18 p...@p...onet.pl
- 12.08.11 22:24 R. P.
- 12.08.11 22:50 p...@p...onet.pl
- 12.08.11 23:07 R. P.
- 13.08.11 18:06 R. P.
- 13.08.11 19:02 slawek
- 13.08.11 19:04 Michoo
- 13.08.11 19:23 R. P.
Najnowsze wątki z tej grupy
- Błąd w Sofcie Powodem Wymiany 3 Duńskich Fregat Typu Iver Huitfeldt
- Grok zaczął nadużywać wulgaryzmów i wprost obrażać niektóre znane osoby
- Can you activate BMW 48V 10Ah Li-Ion battery, connecting to CAN-USB laptop interface ?
- We Wrocławiu ruszyła Odra 5, pierwszy w Polsce komputer kwantowy z nadprzewodzącymi kubitami
- Ada-Europe - AEiC 2025 early registration deadline imminent
- John Carmack twierdzi, że gdyby gry były optymalizowane, to wystarczyły by stare kompy
- Ada-Europe Int.Conf. Reliable Software Technologies, AEiC 2025
- Linuks od wer. 6.15 przestanie wspierać procesory 486 i będzie wymagać min. Pentium
- ,,Polski przemysł jest w stanie agonalnym" - podkreślił dobitnie, wskazując na brak zamówień.
- Rewolucja w debugowaniu!!! SI analizuje zrzuty pamięci systemu M$ Windows!!!
- Brednie w wiki - hasło Dehomag
- Perfidne ataki krakerów z KRLD na skrypciarzy JS i Pajton
- Instytut IDEAS może zacząć działać: "Ma to być unikalny w europejskiej skali ośrodek badań nad sztuczną inteligencją."
- Instytut IDEAS może zacząć działać: "Ma to być unikalny w europejskiej skali ośrodek badań nad sztuczną inteligencją."
- Instytut IDEAS może zacząć działać: "Ma to być unikalny w europejskiej skali ośrodek badań nad sztuczną inteligencją."
Najnowsze wątki
- 2025-07-30 Białystok => Software Engineer .Net <=
- 2025-07-30 Gdańsk => Programista Delphi <=
- 2025-07-30 Kolejni bezrobotni inżynierowie na zasiłkach...
- 2025-07-30 Rzeszów => International Freight Forwarder <=
- 2025-07-30 Warszawa => Konsultant Wiodący SAP PP <=
- 2025-07-30 MILLER ZAORAŁ PRO-UKRAIŃSKIEGO REDAKTORA
- 2025-07-29 "cywilny przemysł stoczniowy w USA praktycznie nie istnieje"
- 2025-07-29 Błąd w Sofcie Powodem Wymiany 3 Duńskich Fregat Typu Iver Huitfeldt
- 2025-07-29 Re: PLL LOT na pokładzie zemdlało kilku pasażerów, a linie lotnicze nie zapewniły nawet podstawowego wsparcia - choćby szklanki wody.
- 2025-07-29 Re: Podkreślają też wielką szkodliwość zdrowotną wiatraków, które usytuowane bardzo blisko siedlisk ludzkich mają negatywny wpływ na zdrowie ludzkie".
- 2025-07-29 Re: bełkot reklamowy eSIM, których nikt nie chce, bo są niebezpieczne.
- 2025-07-29 Błąd w Sofcie Powodem Wymiany 3 Duńskich Fregat Typu Iver Huitfeldt
- 2025-07-29 Warszawa => IT Data Analyst (Power BI) <=
- 2025-07-29 Środa Wielkopolska => Konsultant wewnętrzny SAP FI/CO <=
- 2025-07-28 Warszawa => Sales Executive / KAM <=