возможно ли гарантированно защитить от единичного необратимого отказа (компонента/канала) систему , в которой 90% ( весу/количеству элементов) только дублированные подсистемы а остальные как придется - троированные и т.д ?

Я сторонник: "Действительно, прост, как тапок!"
Я сторонник кворум-элементов (КЭ) на пассивных деталях. Ссылку http://stu.scask.ru/book_ar2.php?id=94 я уже приводил. Там на рис. XI.60 схема, в которой вместо источника питания (Iо) диодных мостов ошибочно указан полярный конденсатор.
Более подробно можно глянуть здесь: https://cloud.mail.ru/public/LC9H/bRUtHEPgr

Безотказного ничего не бывает, поэтому на регламентных работах (раз в пару лет) проводится "контроль средств контроля" – поочерёдно в каждый подканал вводится рассогласование, по которому "блок контроля" этого подканала должен отключить питание диодных мостов (в данном случае они сыграют роль ключей) и выдать сигнализацию.

Это в вычислительной части, где сигналы в пределах рабочего диапазона не предсказуемы. Сигнал вычислителя затем поступает на исполнительный механизм (привод). Привод описывается несложной (для средств контроля) математической моделью. Не убиваемый КЭ тоже может ломаться, поэтому у нас кворумированные сигналы вычислителя (одинаковые по амплитуде и фазе, но, физически раздельные) раздельно поступают на привод и электронную модель привода, и там свой контроль.

Т.е. если КЭ в случае своей поломки пропустит неправильный сигнал, то это ловится на следующем участке тракта. И это "контроль" тоже контролируется на регламентных работах.
* * * * *
КЭ на диодных мостах в работе, например, с четырьмя подканалами вычислителя отбрасывает крайние по уровню сигналы, а из оставшихся двух в середине (на числовой оси) выбирает меньший по уровню. Если один подканал вычислителя скачком выдаёт большой ложный сигнал, то КЭ на диодных мостах на выходе выдаст скачок не превышающий рабочей погрешности вычислителей.

Есть, так называемый (у нас) американский кворум на операционных усилителях, который вычисляет среднее арифметическое из нескольких входных. Здесь при скачке сигнала одного из входных сигналов на выходе будет скачок меньший в число подканалов вычислителей, но, гораздо больший, чем в диодном КЭ. Есть ещё отрицательные нюансы, которые надо учитывать.

Вы имеете в виду https://mak-iac.org/rassledovaniya/an-148-1...704-11-02-2018/
По этому поводу я высказал своё скромное мнение здесь
https://www.aviaport.ru/conferences/45245/#p511249
Подчеркну из сказанного в ссылке:
" Сигнализация о не включении обогрева, и сигнализация о необходимости сравнить приборные скорости разных источников НЕ красная, а ЖЁЛТАЯ, т.е. не требует немедленных действий.
Я не лётчик, но, уверен, что взлёт и набор высоты НЕ относится к "незагруженном этапе полета".

Сигнализацию лётчики видели, но, действовали по инструкции – отложили на потом."
* * * * *
Задолго до этого Ан-148 на туполевской машине система воздушных сигналов (СВС или что-то аналогичное) ложно выдало угол атаки градусов 80, ограничитель предельных режимов переложил рули на полный ход на пикирование. Хорошо, что высоты хватило и лётчики отключили автоматику.

На сегодняшний день правила проектирования гражданской авиатехники требуют:
– разнородное программное обеспечение, написанное независимыми программистами;
– разнородное железо, разработанное независимыми схемотехниками на разнородной элементной базе.

Но (!), то что было на туполевской машине – это алгоритмическая ошибка. На сегодняшний день лично я не знаю, как этого избежать. Знаю только, что планирование "пятилетку за год" способствует появлению таких ошибок.

Спасибо огромное! Вы очень интересно рассказываете! Пойду читать ваш пост на aviaport.ru.

Напридумывать можно без проблем, например, на реальном самолёте тормозные щитки (ТЩ) дублируётся методом секционирования.
Каждая секция выпускается / убирается подачей питания на электрогидроклапан по двух-проводной схеме.
- Если любой транзистор станет "гвоздиком", то ложного перемещения не будет.
- Если любой транзистор станет изолятором, то сработает одна из секций ТЩ (с пониженной эффективностью).

При проектировании надёжных систем всегда приходится выбирать между "плохо" и "очень плохо"

Не подскажете, есть ли какие-либо книги, по проектированию (ну или хотя бы подробно описывающие) ЭДСУ, её особенности? Есть, конечно, в сети отрывочные документы для Airbus, но на книги не похоже.

Есть КТ-254 http://kaf401.rloc.ru/ASORLD/KT-254.pdf - такая же "библия", как Моральный кодекс строителя коммунизма", только листов много больше.

Описание ЭДСУ или СДУ (система дистанционного управления) видел только в Руководствах по эксплуатации этих систем, и то, только в объёме, необходимом для обслуживания. Собственно и для Airbus то же самое.


Есть КТ-254 http://kaf401.rloc.ru/ASORLD/KT-254.pdf - такая же "библия", как Моральный кодекс строителя коммунизма", только листов много больше.

Описание ЭДСУ или СДУ (система дистанционного управления) видел только в Руководствах по эксплуатации этих систем, и то, только в объёме, необходимом для обслуживания. Собственно и для Airbus то же самое.

В интернете можно найти на Боинг (см. файл), но, я английским не владею, тем не менее у меня сложилось мнение, что у них где-то "за кадром" описания есть супер-пупер компьютер, которому они верят, как Богу.
Кстати, у них три тройки с использованием процессоров разных фирм.

Сообщение отредактировал Ильдус - May 17 2018, 11:05

Прошу пардона за излишне резкие выражения.
Просто меня возмутило это:


Типа "Вы всё тут дураки! Читайте Шеннона как я".
В то время как именно Шеннона НИКТО и не читает. Среди разработчиков резервированных систем. Есть более прикладная литература.Хотя её крайне мало.

А использование книги Шеннона при разработке троированных систем управления - это все равно что использовать только законы Максвелла для расчета схем.

Да законы Максвелла выполняются в электрических схемах.
Но на практике мы пользуемся другими методами расчета.

Так и с Шенноном. Вещь красивая, абстрактная. Но на практике практически не применимая

ссылку на одну из "книжек" я дал, ещё есть см. файл "Руководство по методам оценки безопасности..." - основной смысл : думать, думать, думать и не забывать про здравый смысл.

Собственно описание одного из вариантов ЭДСУ см. файл ЭДСУ-200RE_описание. - если что, то писал как бы для себя и публикую из шкурнических интересов - может быть придётся писать подобное на модификацию, поэтому моя благодарность за замечания не будет знать границ в пределах разумного.

Кстати, это тоже книжки - не верующие в книги могут не читать.

Сообщение отредактировал Ильдус - May 17 2018, 18:03

Книг очень мало.
И причем у разных авторов зачастую прямо противоположный взгляд на методы резервирования и по разному идут расчеты надёжности.
Так что всё равно самому придётся головой думать

Кроме того, хочу заметить, что в ответственных системах кроме обеспечения низкой "вероятности отказа" не менее важно обеспечивать БЕЗОПАСНОСТЬ. А "надёжность" и "безопасность" - не тождественные понятия

Поэтому даже идут на уменьшение надежности если это приведет к большей безопасности.

Т.е. отказы бывают более критичные и менее критичные.

И зачастую чтобы снизить вероятность "опасного" отказа приходится увеличивать вероятность безопасных отказов

А что касается книг. То даташиты читайте на троированные системы.
Хороших книг по троированным системам управления практически нет.

Сообщение отредактировал Моисей Самуилович - May 17 2018, 18:06

Господа, спасибо за информацию. Ильдус, вам отдельное спасибо за книги! Буду неспешно изучать)

Интересный подход.
Вообще-то , если система надежной не получается, то, конечно, ее лучше выбросить. Но заодно и не играться с опасными вещами.
Но чтобы продолжать работать с опасными вещами совсем без систем безопасности - что-то новенькое.
Если мы делаем систему разделения ступеней и она никак не получается требуемой надежности, то что делать? Не будем вообще ступени разделять, повременим с полетами поскольку еще не доросли, или полетим с системой уровня "как бог даст"?

Система аварийного спасения космонавтов или кресло с катапультой для летчиков - из этой серии. Сделать абсолютно надежным аппарат не получилось, пусть будет хотя бы безопасным.

То есть, сначала разработали троированное кресло, но когда оно абсолютно надежно катапультировало летчика, но кусками, то выяснилось, что это небезопасно, и пошли на снижение надёжности?

Интересный подход: "Если задача не имеет нравящегося мне решения, значит её вообще решать не надо"


Расскажите нам об этом. Как вы к этому пришли


Вы хотите, чтобы я занялся решением ВАШЕЙ конкретной проблемы, с которой Вы не можете справиться?
Давайте тогда обсудим сумму моего гонорара



Если это троллинг - то ну очень толстый

А если кто-то не понял мои слова "даже идут на уменьшение надежности если это приведет к большей безопасности" приведу пример.

Система диагностики может не дать запустить двигатель на ракете на старте ошибочно решив, что в системе есть неисправность, хотя её на самом деле нет.
Но это лучше чем совсем убрать систему диагностики (руководствуясь придуманным идиотами правилом "чем меньше элементов в системе - тем она надёжней", правилом, которое без оговорок работает только для "систем" из двух резисторов) и пуститься с отказом, который приведёт к тому, что люди погибнут.


Таким образом мы УХУДШИЛИ надёжность. Потому что увеличили вероятность отказа.
НО.
За счёт увеличения вероятности безопасных отказов мы снизили вероятность опасных отказов в заданном интервале времени

Сообщение отредактировал Моисей Самуилович - May 18 2018, 18:21

Ах вон вы про что. Это называется "подмена понятий" вообще-то. И к надёжности отношения не имеет.