С автоматическим запуском
Предлагаемая категория предлагает премиум – сигнализации GSM с обратной связью и автозапуском. Высокочастотная работа дает гарантию надежности от всякого рода противодействий. Она затрудняет использование код – грабберов, настроенных под частотные колебания 433 МГц. GSM – автосигнализации наличествуют богатый комплект плюсов, куда включена цифровая блокировка мотора и безграничная дальность сигнала. Злоумышленники, если и доберутся к прибору, не смогут воспользоваться выключением, посредством замены блока или замыканием проводки.
StarLine A93 2CAN GSM GPS
Высококлассная марка девайса, выпущенная на платформе четвертого поколения, отличается от аналоговых устройств наличием выключателя. Рычаг открывает доступность к световым сигналам и предоставляет возможность управления центральным замком. В комплектацию новинки входит эргономичный брелок. Деталь обеспечивает двухстороннюю связь, а также оснащена хорошим жидкокристаллическим экраном.
Рамка, на основе жидких кристаллов, которой оборудован гаджет, имеет внутри защищенную антенну. С задействованным модулем данной установки в автомобиле совладает даже неопытный пользователь и ребенок. Значительным плюсом выделяется режим SUPER SLAVE и 3D – датчик удара.
StarLine A93 2CAN GSM GPS
Достоинства:
- невысокая цена;
- наличие экрана;
- работает на расстоянии 800 метров;
- интересный брелок.
Недостатки:
несмотря на стоимость, отсутствуют.
ZONT ZTC 710 slave
Не менее качественная сигнализирующая установка, наделенная GPS и GSM блоками. Даже на слишком большом удалении, оборудование сообщит о проблеме уведомлением или звонком. Установка системы не потребует особенных навыков.
Эксплуатация происходит с применением брелока, личного смартфона или через связь с интернетом. Примечательно ее взаимодействие с мобильными приложениями OS Android iOS. Anti-Hijack тоже гарантирует высокий уровень безопасности и предусматривает блокирование двигателя авто мобильным телефоном. Работоспособность силовой установки можно контролировать в фирменном ПО.
ZONT ZTC 710 slave
Достоинства:
- иммобилайзер, CAN;
- автоблокировка двигателя;
- мобильное управление;
- Anti-Hijack.
Недостатки:
малознакомый производитель на рынке.
Pandora DXL 4910
Разработчик получил известность и вышел на высокий уровень достаточно давно. Поэтому сомневаться в высококачественных товарах не приходится. Товаропроизводитель применяет во время производства надежные и качественные базовые элементы. Производитель решил пойти другим путем и убрал из комплекта ненужные детали, куда вошли брелоки дальней связи, а также подкапотный модуль. Однако модульный борт имеет современный 3 G GSM – модем с подключением двух сим – карт. К перечисленным преимуществам добавлен высококачественный GPS/ ГЛОНАСС – приемник с интегрированным и понятным Bluetooth – интерфейсом с максимальным набором возможностей.
Pandora DXL 4910
Достоинства:
- прекрасный функционал;
- расширенный комплект;
- отличное качество.
Недостатки:
завышенная стоимость.
StarLine B96 BT 2 LIN GSM GPS
Автосигнализация премиум – сегмента с обратной связью от Starline подойдет тем, кто располагает бюджетом до 20 000 рублей. Бросается в глаза оснащенностью прекрасным и надежным брелоком с хорошим экраном, а также двухсторонней связью. Немаловажна забота производителя про ударопрочный комплекс и эргономичное оформление.
Системный агрегат эффективно справляется с разнообразным температурным диапазоном, поэтому не подведет покупателя даже в минусовую температуру. Предусмотрена максимальная защищенность любимого транспорта от взломщика и угонщиков. Беспроблемное управление сигнализацией при помощи смартфона благодаря реализованной поддержке технологии Bluetooth Smart.
StarLine B96 BT 2 LIN GSM GPS
Достоинства:
- брелок действует на отдалении в 800 метров;
- предусматривает защиту от сканирования информации;
- 3-х вибрационный уровень;
- хороший дисплей.
Недостатки:
не выявлены.
Pandora DXL 4970
Лучший образец автосигнализации 2021 года. Имеется автозапуск и обратная связь класса – премиум, обозначающая максимальную защиту от опытных мошенников. Простая установка максимально комфортная в эксплуатации. В наборе представлен многодиапазонный 3 G GSM – модем без любых территориальных ограничений. Обустроен шикарным GPS/ГЛОНАСС – приемником и радио трактом с частотой 868 МГц.
Привлекает внимание яркий и четкий OLED – экран и миниатюрный, простой в использовании брелок. Pandora DXL 4970
Достоинства:
Pandora DXL 4970
Достоинства:
- 4 G поддержка;
- иммобилайзер, сирена CAN;
- невозможность сканирования.
Недостатки:
цена.
Что собой представляют
Исходя из статистических данных, угон — это самое частое преступление из всех существующих. При этом похищают как машины премиум класса, так и недорогие модели. Виной этому теневой рынок, на котором краденное авто могут как перепродать целиком, так и пустить на запчасти. Вариантов защиты много, и простая сигнализация — не единственный способ. Ниже приводится топ систем, которые нельзя назвать обычными сигнализациями. В свою очередь, они разделены на 3 группы:
- Электронные устройства. Защита осуществляется за счет блокирования 1 или 2-3 деталей, такие «сигналки» помогают выследить автомобиль при угоне.
- Механические системы. К примеру, блокирует руль или педаль.
- Нестандартные системы. Не обычные способы защиты, которые на первый взгляд не заметны.
Дополнительно:
- По способу связи. Односторонние, двусторонние и GSM. Односторонние не отличаются большим радиусом покрытия и сигнализируют исключительно звуковым сигналом. Подобные устройства даже не будут освящаться, так как они морально устарели. Двусторонние уже обладают большей широтой покрытия, так же уведомление приходит хозяину на брелок. GSM-сигнализации срабатывают по такой же системе, зато благодаря другой технологии не ограниченна расстоянием, и сообщение приходит на гаджет автомобилиста.
- По типу функционирования. Этот показатель часто является ценообразующим. Новейшие противоугонные системы колеблются в цене от 50 до 1000 дол. На рынке больший спрос у моделей, которыми можно управлять при помощи гаджетов, имеющих функция пуска двигателя, а также GPS-логгер.
Сказать, какое средство от угона эффективнее, не так просто. На практике не плохим противоугонным средством может стать простое приспособление, блокирующее руль, заметив его злоумышленник может предпочесть отказаться от своего грязного плана. Может отпугнуть тот факт, что придется потратить массу времени, и при этом необходимо будет использовать специфический инструмент, и возрастает шанс быть пойманным с поличным.
Особых стоит отметить незаурядные приспособления, которые блокируют доступ к некоторым узлам автомобиля, скажем к капоту. Похититель может проникнуть внутрь машины, но дальше столкнется с трудно решаемой проблемой. Доступ к электронным блокам надежно механически защищен, с этим похитители тоже предпочитают не иметь дела и переключаются на другой автомобиль.
Выбор охранной системы по параметрам популярности
Владельцы автомобилей, которые уже успели сменить несколько автосигнализаций, имеют с чем сравнивать. В связи с этим, они смогут подсказать неопытным какая именно сигнализация оправдала их ожидания. Если человек выбрал несколько вариантов из одного модельного ряда и хочет знать какой из них является самым надёжным, ему стоит поступить следующим образом:
Сигнализационные системы известных брендов привлекают внимание многих пользователей, только из-за своего громкого названия. Но если сравнить работоспособность автосигнализации известного бренда и менее популярной фирмы, они ничем кроме цены не будут отличаться
Уточнение «Правила дополнительных девяток» для вложенных компонентов
Случайный читатель может сделать вывод, что каждое дополнительное звено в цепочке зависимостей требует дополнительных девяток, так что для зависимостей второго порядка требуется две дополнительные девятки, для зависимостей третьего порядка — три дополнительные девятки и т. д.
Это неверный вывод. Он основан на наивной модели иерархии компонентов в виде дерева с постоянным разветвлением на каждом уровне. В такой модели, как показано на рис. 1, имеется 10 уникальных компонентов первого порядка, 100 уникальных компонентов второго порядка, 1 000 уникальных компонентов третьего порядка и т. д., что приводит к созданию в общей сложности 1 111 уникальных сервисов, даже если архитектура ограничена четырьмя слоями. Экосистема высоконадежных сервисов с таким количеством независимых критических компонентов явно нереалистична.
Рис. 1 — Иерархия компонентов: Неверная модель
Критический компонент сам по себе может вызвать сбой всего сервиса (или сегмента сервиса) независимо от того, где он находится в дереве зависимостей. Поэтому, если данный компонент X отображается как зависимость нескольких компонентов первого порядка, X следует считать только один раз, так как его сбой в конечном итоге приведет к сбою службы независимо от того, сколько промежуточных сервисов будут также затронуты.
Корректное прочтение правила выглядит следующим образом:
- Если сервис имеет N уникальных критических компонентов, то каждый из них вносит 1/N в ненадежность всего сервиса, вызванную этим компонентом, невзирая на то, как низко он расположен в иерархии компонентов.
- Каждый компонент должен учитываться только один раз, даже если он несколько раз появляется в иерархии компонентов (другими словами, учитываются только уникальные компоненты). Например, при подсчете компонентов Сервиса А на рис. 2, Сервис Б следует учитывать только раз.
Рис. 2 — Компоненты в иерархии
Например, рассмотрим гипотетический сервис A с лимитом ошибок 0,01 процента. Владельцы сервиса готовы потратить половину этого лимита на собственные ошибки и потери, а половину — на критические компоненты. Если сервис имеет N таких компонентов, то каждый из них получает 1/N оставшегося лимита ошибок. Типичные сервисы часто имеют от 5 до 10 критических компонентов, и поэтому каждый из них может отказать только в одной десятой или одной двадцатой степени от лимита ошибок Сервиса A. Следовательно, как правило, критические части сервиса должны иметь одну дополнительную девятку надежности.
Очень важные параметры надёжности сигнализаций
Каждая сигнализация, независимо от её внешнего вида, способа подключения, наличия дополнительных элементов охраны, должна исполнять свои функции исправно и своевременно. Если в транспортное средство проникает злоумышленник, сигнализация должна постараться его максимально долго задерживать, а в это время быстро оповестить водителя о проблеме.
Таким образом, для того, чтобы можно было считать автосигнализацию самой надёжной, у неё должны быть такие параметры:
- высокая скорость передачи данных, постоянно хороший уровень контакта;
- наличие дополнительных элементов блокировки сигнализации;
- внешний вид, позволяющий надёжно спрятать систему в салоне или за его приделами;
- герметичность основного блока и дополнительных датчиков;
- высокая устойчивость к разным температурным режимам, как высоким, так и низким;
- хорошие показатели работоспособности во всех параметрах.
Для каждого пользователя надёжность сигнализации определяется своими, преимущественными параметрами. Если охранная система не имеет встроенного иммобилайзера, пользователю лучше установить его дополнительно, ведь эта простая система блокировки задержит злоумышленника надолго.
Высокой надёжностью обладают беспроводные сигнализации, ведь их очень сложно найти в автомобиле, а именно это необходимо сделать перед отключением. Важную роль играет наличие интеллектуальной защиты против взлома и присутствие дополнительных блокировок. Если пользователь имеет возможность получать сигнал тревоги не только на брелок, а и на мобильный – это делает систему охраны более надёжной.
Для выбора самой надёжной системы охраны, автомобилисту придётся изучить много особенностей таких систем, пересмотреть значительное количество информации. Для этого необходимо потратить немного свободного времени, но результат того стоит. Чем надёжнее будет автосигнализация, тем спокойнее сможет чувствовать себя автомобилист. От правильного выбора охранной системы зависит не только безопасность автомобиля, а и комфорт самого водителя, что является немаловажным фактором. Надёжная сигнализация – это та, которая выполняет свою работу на отлично и это факт.
Стандартная или беспроводная – какая сигнализация надёжнее
Со стандартными сигнализационными системами знакомы практически все автомобилисты, ведь такие устанавливаются в транспортное средство, как только оно сходит с конвейера. Обладает сигнализация стандартного образца следующим набором качеств:
- подключение производится к системе питания автомобиля, при помощи набора проводов;
- большинство моделей имеют встроенный иммобилайзер, что позволяет сделать защиту более мощной;
- управлять системами необходимо исключительно при помощи брелоков;
- нельзя произвести максимально скрытную установку;
- для авторизации, пользователю достаточно брелока.
Такая сигнализация обеспечивает хорошую защиту, но если в брелоке сядет батарейка, завести машину не сможет даже её владелец. Ещё одним минусом стоит назвать провода, ведь злоумышленник сумеет их легко найти и обрезать.
Беспроводная автосигнализация на отечественном рынке является новинкой. Ещё не все осмеливаются её установить. Охранные системы такого типа обладают следующими показателями:
- наличие собственного элемента питания;
- возможность установки в самых неожиданных местах;
- усложнённый процесс авторизации;
- простота в плане установки и использования;
- возможность управлять системой и настраивать её при помощи мобильного устройства.
Такие сигнализации имеют много датчиков, которые передают сигналы, используя для этого gps или gsm канал, а значит, отсутствие интернета или мобильного покрытия играют не на пользу этой системы. У одного и второго варианта есть ряд положительных качеств, но не обошлось без минусов. Для того чтобы определить какая автосигнализация является самой надёжной, пользователю следует сравнить варианты из разных ценовых категорий, от разных производителей.
Влияет ли цена автосигнализации на её надёжность
Когда на плечи владельца транспортного средства обрушается ответственность по выбору сигнализации для машины, он должен руководствоваться не каким-то одним показателем, а целым набором критериев. Если подбирается сигнализация по ценовым параметрам, владелец машины должен чётко понимать, что чем вариант дороже, тем больше функций он имеет.
Бюджетные сигнализационные системы обладают следующими параметрами:
- работа исключительно в стандартном режиме;
- минимальный набор дополнительных параметров и функций;
- только стандартный метод подключения;
- отсутствие возможности добавлять дополнительные каналы блокировки и связи.
Сигнализация среднего класса имеет более расширенный ряд возможностей. Водителям, которые ищут надёжный механизм защиты и при этом не желают пользоваться дополнительными возможностями подойдёт именно вариант среднего класса.
Если владелец транспортного средства имеет желание, чтобы его сигнализационная система умела работать со всеми современными технологиями, имела несколько уровней защиты, ему стоит задуматься о покупке охранной системы премиум класса. Такая автосигнализация позволяет:
- управлять системой при помощи брелоков и мультимедийных устройств;
- используя мобильный телефон, вносить настройки и обновлять систему;
- получать уведомления тревоги на большой скорости;
- не чувствовать зависимости от элемента питания самого автомобиля;
- находить машину на парковке, производить диалоговую и кодовую авторизацию;
- устанавливать разные режимы охраны, продуктивно использовать сервисный и аварийный режимы.
Сигнализация такого типа будет надёжной, но перестраховаться стоит. Для более мощной защиты, владельцами транспортных средств используются целые охранные комплексы и часто они являются авторскими, а их цена достаточно приличная.
Расчет надежности сервиса
Ваша система надежна настолько, насколько надежны её компоненты
Как описано в книге «Site Reliability Engineering: Надежность и безотказность как в Google» (далее — книга SRE), разработка продуктов и сервисов Google может достигать высокой скорости выпуска новых функций, сохраняя при этом агрессивные SLO (service-level objectives, цели уровня обслуживания) для обеспечения высокой надежности и быстрого реагирования. SLO требуют, чтобы сервис почти всегда был в исправном состоянии и почти всегда был быстрым. При этом SLO также указывают точные значения этого «почти всегда» для конкретного сервиса. SLO основаны на следующих наблюдениях:
В общем случае для любого программного сервиса или системы 100% — неверный ориентир для показателя надежности, поскольку ни один пользователь не сможет заметить разницу между 100%-ной и 99,999%-ной доступностью. Между пользователем и сервисом находится множество других систем (его ноутбук, домашний Wi-Fi, провайдер, электросеть…), и все эти системы в совокупности доступны не в 99,999% случаев, а гораздо реже. Поэтому разница между 99,999% и 100% теряется на фоне случайных факторов, обусловленных недоступностью других систем, и пользователь не получает никакой пользы от того, что мы потратили кучу сил, добиваясь этой последней доли процента доступности системы. Серьёзными исключениями из этого правила являются антиблокировочные системы управления тормозами и кардиостимуляторы!
Подробное обсуждение того, как SLO соотносятся со SLI (service-level indicators, индикаторы уровня обслуживания) и SLA (service-level agreements, соглашения об уровне обслуживания), смотрите в главе «Целевой уровень качества обслуживания» книги SRE. В этой главе также подробно описывается, как выбрать метрики, имеющие значение для конкретного сервиса или системы, что, в свою очередь, определяет выбор соответствующего SLO для этого сервиса или системы.
Эта статья расширяет тему SLO, чтобы сосредоточиться на составных частях сервисов. В частности, мы рассмотрим, как надежность критических компонентов влияет на надежность сервиса, а также как проектировать системы так, чтобы смягчить влияние или сократить количество критически важных компонентов.
Большинство сервисов, предлагаемых Google, направлены на обеспечение 99,99-процентной (иногда называемой «четыре девятки») доступности для пользователей. Для некоторых сервисов в пользовательском соглашении указывается более низкое число, однако внутри компании сохраняются целевые 99.99%. Эта более высокая планка дает преимущество в ситуациях, когда пользователи высказывают недовольство производительностью сервиса задолго до случая нарушения условий соглашения, поскольку цель № 1 команды SRE состоит в том, чтобы пользователи были довольны сервисами. Для многих сервисов внутренняя цель 99,99% представляет собой «золотую середину», которая уравновешивает стоимость, сложность и надежность. Для некоторых других, в частности глобальных облачных сервисов, внутренняя цель составляет 99,999%.
Как правильно выбрать
Необходимо выделить параметры, которые помогут определиться с правильным выбором при покупке автомобильной сигнализации. Широкий ценовой диапазон, различие функций – вынуждают серьезно подходить к подобному вопросу. Не обязательно приобретать гаджет, увиденный у знакомого. Лучше не верить неправдивым обещаниям производителей, а стоит сравнивать образцы, просматривать обзоры и интересоваться комментариями и отзывами. Помогут базовые представления и оптимальные характеристики:
1. Нерегламентированное количество датчиков. К ним относятся:
- концевые (люк, багажник, капот, открытие дверей,
- шок – сенсор (сведение об ударе),
- датчик напора (фиксация перемещения транспорта),
- ультразвуковой (регистрация проникновения в салон),
- радарный (оповещает о перемещении в зоне действия,
- инфракрасный (реагирует на касание). Последние два датчика находятся в продвинутых устройствах, что приведет к лишним тратам.
3. Доп. функции – подогрев сидений, включение подсветки, складывание зеркал. В основном зависит от свободы финансов и желания потребителя. Главный параметр автосигнализации – дальность и качество сигнального шифра.
Специфическая техника предполагает серьезный подход к ассортименту. Следует ориентироваться на продукцию, представленную знаменитыми брендами с заявленной 2-х сторонней связью. Преступники изучили стандартные места определения устройств. Нужно учитывать фактор того, что классические блоки питания могут быть вскрыты за короткое время. Лучше не жалеть денег на приобретение дополнительных датчиков, ориентируясь на GSM с поддержкой иммобилайзера.
Практичные советы по выбору сигнализации, чтобы она стала самой надёжной
Сигнализация современного образца – это набор проводов, датчиков, дополнительных систем блокировки и защиты. Если правильно подобрать такой комплект, автомобилист сможет не просто защитить своё транспортное средство, а и постоянно находиться в зоне комфорта. Чтобы выбрать самую надёжную сигнализацию, среди множества вариантов, автомобилисту следует учитывать следующие факторы:
- уровень популярности охранной системы среди автомобилистов;
- качество сборки основных элементов охранной системы;
- возможные параметры подключения и присоединения дополнительных защитных элементов;
- параметры внешнего вида сигнализации, благодаря которым её можно надежно спрятать;
- алгоритм настройки системы, постановки на режим охраны и разблокировки;
- наличие дополнительных защитных функций, элементов для комфорта.
Если человек знает, какой вариант будет для него оптимальным, стоит заниматься поисками такой охранной системы. Если автосигнализация является комфортной для пользователя, имеет дополнительные варианты охраны, её можно считать надёжной.
Практическое применение
Давайте рассмотрим пример сервиса с целевой надежностью в 99,99% и проработаем требования как к его компонентам, так и к работе с его сбоями.
Цифры
Предположим, что ваш 99,99-процентно доступный сервис имеет следующие характеристики:
Одно крупное отключение и три незначительных отключения в год
Это звучит пугающе, но обратите внимание, что целевой уровень надежности в 99,99% подразумевает один 20-30-минутный масштабный простой и несколько коротких частичных отключений в год. (Математика указывает, что: а) отказ одного сегмента не считается отказом всей системы с точки зрения SLO и б) общая надежность вычисляется суммой надежности сегментов.)
Пять критических компонентов в виде других независимых сервисов с надежностью 99,999%.
Пять независимых сегментов, которые не могут отказать друг за другом.
Все изменения проводятся постепенно, по одному сегменту за раз.
Математический расчет надежности будет выглядеть следующим образом:
Требования к компонентам
- Суммарный лимит ошибок за год составляет 0,01 процента от 525 600 минут в год, или 53 минуты (на основе 365-дневного года, при наихудшем сценарии).
- Лимит, выделяемый на отключения критических компонентов, составляет пять независимых критических компонентов с лимитом 0,001% каждый = 0,005%; 0,005% от 525 600 минут в год, или 26 минут.
- Оставшийся лимит ошибок вашего сервиса составляет 53-26=27 минут.
Требования к реагированию на отключения
- Ожидаемое количество простоев: 4 (1 полное отключение и 3 отключения, затрагивающие только один сегмент)
- Совокупное воздействие ожидаемых отключений: (1×100%) + (3×20%) = 1.6
- Время обнаружения сбоя и восстановления после него: 27/1.6 = 17 минут
- Время, выделенное мониторингу на обнаружение сбоя и оповещение о нем: 2 минуты
- Время, данное дежурному специалисту чтобы начать анализировать оповещение: 5 минут. (Система мониторинга должна отслеживать нарушения SLO и посылать сигнал на пейджер дежурному каждый раз, когда в системе происходит сбой. Многие сервисы Google находятся на поддержке посменных дежурных SR-инженеров, которые реагируют на срочные вопросы.)
- Оставшееся время для эффективной минимизации отрицательных последствий: 10 минут
Является ли авторская сигнализация самой надёжной
Совсем недавно на отечественном и иностранном автомобильных рынках появились авторские сигнализации. Они представляют собой мощные противоугонные системы, которые отличаются от стандартных сигнализаций такими показателями:
- ни одна авторская система не является похожей друг на друга;
- разработчики добавляют дополнительные элементы защиты на своё усмотрение;
- сигнализационные системы такого типа не устанавливаются по стандартной схеме;
- все элементы комплекса надёжно прячутся за счёт того, что разработчик, он же установщик, производит разбор сложных, внутренних механизмов автомобиля.
Единственная проблема такой системы может скрываться в том, что владелец транспортного средства сам запутается во всех этих механизмах защиты и не сможет разблокировать собственное транспортное средство.
Такая проблема решается довольно легко, ведь всегда можно записать все ходы и пароли. Злоумышленник в машине, где установлена такая система, потеряет огромное количество времени зря и не сможет осуществить задуманного.
Система охраны, которая создавалась по авторскому проекту, имеет очень высокие показатели надёжности, но её цена не всегда позволяет пользователю установку. Такая сигнализация будет долго сохранять свою работоспособность.
Лимиты ошибок
Концепция лимитов ошибок довольно подробно освещена в книге SRE, но и здесь следует ее упомянуть. SR-инженеры Google используют лимиты ошибок, чтобы сбалансировать надежность и темпы внедрения обновлений. Этот лимит определяет допустимый уровень отказа для сервиса в течение некоторого периода времени (обычно — месяц). Лимит ошибок — это просто 1 минус SLO сервиса, поэтому ранее обсуждавшаяся 99,99-процентно доступная служба имеет 0,01% «лимита» на ненадежность. До тех пор, пока сервис не израсходовал свой лимит ошибок в течение месяца, команда разработчиков свободна (в пределах разумного) запускать новые функции, обновления и т. д.
Если лимит ошибок израсходован, внесение изменений в сервис приостанавливается (за исключением срочных исправлений безопасности и изменений, направленных на то, что вызвало нарушение в первую очередь), пока служба не восполнит запас в лимите ошибок или пока не сменится месяц. Многие сервисы в Google используют метод скользящего окна для SLO, чтобы лимит ошибок восстанавливался постепенно. Для серьёзных сервисов с SLO более 99,99%, целесообразно применять ежеквартальное, а не ежемесячное обнуление лимита, поскольку количество допустимых простоев у них невелико.
Лимиты ошибок устраняют напряженность в отношениях между отделами, которая в противном случае могла бы возникнуть между SR-инженерами и разработчиками продукта, предоставляя им общий, основанный на данных механизм оценки риска запуска продукта. Они также дают и SR-инженерам, и командам разработки общую цель развития методов и технологий, которые позволят внедрять нововведения быстрее и запускать продукты без «раздувания бюджета».
Вывод: рычаги для увеличения надежности сервиса
Стоит внимательно посмотреть на представленные цифры, потому что они подчеркивают фундаментальный момент: есть три основных рычага, для увеличения надежности сервиса.
- Сократите частоту отключений — за счет политик выпуска, тестирования, периодических оценок структуры проекта и т.д.
- Уменьшите уровень среднего простоя — с помощью сегментирования, географического изолирования, постепенной деградации, или изолирования клиентов.
- Сократите время восстановления — с помощью мониторинга, спасательных действий «одной кнопкой» (например, откат к предыдущему состоянию или добавление резервной мощности), практики оперативной готовности и т. д.
Вы можете балансировать между этими тремя методами для упрощения реализации отказоустойчивости. Например, если трудно достичь 17-минутного MTTR, сосредоточьте свои усилия на сокращении времени среднего простоя. Стратегии минимизации отрицательных последствий и смягчения влияния критических компонентов рассматриваются более подробно далее в этой статье.
Надежность 99.99%: наблюдения и выводы
Давайте рассмотрим несколько ключевых наблюдений и выводов о проектировании и эксплуатации сервиса с надежностью 99,99%, а затем перейдем к практике.
Наблюдение № 1: Причины сбоев
Сбои происходят по двум основным причинам: проблемы с самим сервисом и проблемы с критическими компонентами сервиса. Критический компонент — это компонент, который в случае сбоя вызывает соответствующий сбой в работе всего сервиса.
Наблюдение № 2: Математика надежности
Надежность зависит от частоты и продолжительности простоев. Она измеряется через:
- Частоту простоя, или обратную от нее: MTTF (mean time to failure, среднее время безотказной работы).
- Продолжительность простоя, MTTR (mean time to repair, среднее время восстановления). Продолжительность простоя определяется временем пользователя: от начала неисправности до возобновления нормальной работы сервиса.
Таким образом, надежность математически определяется как MTTF/(MTTF+MTTR), используя соответствующие единицы измерения.
Вывод № 1: Правило дополнительных девяток
Сервис не может быть надежнее всех его критических компонентов вместе взятых. Если ваш сервис стремится обеспечить доступность на уровне 99,99%, то все критические составные части должны быть доступны значительно больше, чем 99,99% времени.
Внутри Google мы используем следующее эмпирическое правило: критические компоненты должны обеспечивать дополнительные девятки по сравнению с заявленной надёжностью вашего сервиса — в примере выше 99,999-процентную доступность — потому что любой сервис будет иметь несколько критических компонентов, а также свои собственные специфические проблемы. Это называется «правилом дополнительных девяток».
Если у вас есть критический компонент, который не обеспечивает достаточно девяток (относительно распространенная проблема!), вы должны минимизировать отрицательные последствия.
Вывод № 2: Математика частоты, времени обнаружения и времени восстановления
Сервис не может быть надежнее, чем произведение частоты инцидентов на время обнаружения и восстановления. Например, три полных отключения в год по 20 минут приводят в общей сложности к 60 минутам простоя. Даже если бы сервис работал отлично в остальное время года, 99,99-процентная надежность (не более 53 минут простоя в год) стала бы невозможной.
Это простое математическое наблюдение, но его часто упускают из виду.
Заключение из выводов № 1 и № 2
Если уровень надежности, на который полагается ваш сервис, не может быть достигнут, необходимо предпринять усилия для исправления ситуации — либо путем повышения уровня доступности службы, либо путем минимизации отрицательных последствий, как описано выше. Снижение ожиданий (т. е., объявленной надежности) тоже вариант, и зачастую — самый верный: дайте понять зависимому от вас сервису, что он должен либо перестроить свою систему, чтобы компенсировать погрешность в надежности вашей службы, либо сократить свои собственные цели уровня обслуживания. Если вы сами не устраните несоответствие, достаточно длительный выход системы из строя неизбежно потребует корректировок.