|
Аппаратное дублирование, избыточность, отказоустойчивые системы, горячая замена, Где почитать? |
|
|
|
Oct 7 2011, 14:40
|
Профессионал
    
Группа: Свой
Сообщений: 1 817
Регистрация: 14-02-07
Из: наших, которые работают за бугром
Пользователь №: 25 368

|
Привет. Подскажите пожалуйста существует ли литература по сабжу? Интересует как делать по уму апппаратную избыточность для повышения надежности системы управления. В моем случае - система управляет силовой электроникой в системах энергоснабжения. И ее отказ приведет к отключению света во многих городах. Пока решаем так - система управления (Процессоры и FPGA) полностью продублирована, включая датчики и разнесена физически, вплоть до того, что в разные здания. Обмен данными между системами только по оптике. Выходы задублированных систем в виде оптики приходят в один контрольный блок, а с него в виде одного сигнала к исполнительным устройствам - тиристорам. Каждая система имеет встроенную самодиагностику, и блок, основываясь на этих данных решает, данные с какой системы посылать на выход. Контрольный блок сделан очень надежным с минимумом компонентов. Конечно не самое лучшее решение и оно не всегда работает, поэтому хочется сделать как-то лучше и по уму. Хочется, чтобы вообще не было Single Point Failure - то есть узлов, отказ которых приводит к выходу из строя всей системы. Горячая замена - тоже интересно как по уму делается.
|
|
|
|
|
 |
Ответов
(135 - 149)
|
May 29 2018, 18:16
|

Ally
     
Группа: Модераторы
Сообщений: 6 232
Регистрация: 19-01-05
Пользователь №: 2 050

|
Цитата(Ильдус @ May 29 2018, 20:28)  Извините, интернет-коллега, Вы о чём? Я, русский татарин, плохо понимаЙ, что Вы написали аглицкими буковками. Но, поскольку был задан вопрос: "Но где продуманная электроника?" – то отвечаю на примере: Я здесь https://electronix.ru/forum/index.php?s=&am...t&p=1563911 писал уже о требованиях АП-25 серьёзно относиться к отказам, типа "Рассоединение". В АП-25 есть ещё требование к отказам, типа "Заклинение" – вероятность заклинения экспертами считается равной единице (может быть – точка!!! – Не обсуждается). Я прочитал АП-25 тот что вы выложили. Там вообще не про электронику. Зачем вы его тут упоминаете я не понимаю. Где там про резисторы , конденсаторы, микроконтроллеры, фирмваре, языки программирования? У электронных компонентов есть четыре вида отказа: замыкание, разрыв, изменение номинала и смена функции у сложных компонентов. А "Рассоединение" и "Заклинение" как-то не в тему. Или вы не электроникой там занимаетесь? Или давно на пенсии?
|
|
|
|
|
May 29 2018, 20:43
|

Местный
  
Группа: Участник
Сообщений: 230
Регистрация: 5-07-05
Пользователь №: 6 552

|
Цитата(AlexandrY @ May 29 2018, 21:16)  Я прочитал АП-25 тот что вы выложили. Там вообще не про электронику. Зачем вы его тут упоминаете я не понимаю. Где там про резисторы , конденсаторы, микроконтроллеры, фирмваре, языки программирования? У электронных компонентов есть четыре вида отказа: замыкание, разрыв, изменение номинала и смена функции у сложных компонентов. А "Рассоединение" и "Заклинение" как-то не в тему. Или вы не электроникой там занимаетесь? Или давно на пенсии?  А Вы не задумывались над тем, что Вы можете совершить увлекательное виртуальное путешествие в любую точку Земли ? А если Вам понадобится что-то реальное, то придётся воспользоваться чем-то тяжелее воздуха? С одной стороны электроника управляется чем-то механическим, даже если это сенсорное управление. С другой стороны электроника управляет чем-то механическим. * * * * * АП-25, которое Вы, якобы, прочитали, гласит: 3.3. Эксплуатация с отказными состояниями.Самолет должен быть спроектирован и по- строен таким образом, чтобы в ожидаемых ус- ловиях эксплуатации при действиях экипажа в соответствии с РЛЭ: 3.3.1. Каждое отказное состояние (функцио- нальный отказ, вид отказа системы), приводя- щее к возникновению катастрофической ситу- ации (катастрофического эффекта), оценива- лось как практически невероятное и не возни- кало вследствие единичного отказа одного из элементов системы.(выделено мной) С какого перепугу Вы решили, что речь идёт только о механической системе? Главная сложность проектирования резервированных систем – что бы не было общих "точек", мест единичных отказов, по которым все подканалы могут ахнуться. Для анализа сложных систем очень помогают "деревья отказов", например, ГОСТ Р 27.302-2009
Сообщение отредактировал Ильдус - May 29 2018, 20:44
|
|
|
|
|
May 29 2018, 23:04
|
Гуру
     
Группа: Модераторы
Сообщений: 3 868
Регистрация: 15-03-13
Пользователь №: 76 048

|
Цитата(Ильдус @ May 29 2018, 23:43)  С одной стороны электроника управляется чем-то механическим, даже если это сенсорное управление. С другой стороны электроника управляет чем-то механическим.
3.3.1. Каждое отказное состояние (функцио- нальный отказ, вид отказа системы), приводя- щее к возникновению катастрофической ситу- ации (катастрофического эффекта), оценива- лось как практически невероятное и не возни- кало вследствие единичного отказа одного из элементов системы. (выделено мной)
С какого перепугу Вы решили, что речь идёт только о механической системе? Хм... я тоже имел некоторое отношение к проектированию надежных систем, систем "связанных с жизнеобеспечением". Мне кажется, Ильдус очень хорошо знает все специфические требования к такой разработке. Да, основное заклинание там "любая одна неисправность не должна приводить к аварии". И совершенно безотносительно - механика это, электроника или девочки программу не так набили. Единственная поблажка - не может быть короткого замыкания у резистора. Остальное - все может быть. И любая одиночная неисправность должна парироваться. А уж как разработчик это реализует - большой простор для фантазии. В конце изысканий ( врагу не пожелаю  -- ) "Отчет по полноте проверок" и "Отчет по расчету надежности". Короче, форум - не ускоренное профтехучилище для проектировщиков надежных систем.
|
|
|
|
|
May 30 2018, 13:01
|

Местный
  
Группа: Свой
Сообщений: 449
Регистрация: 28-10-04
Из: Украина
Пользователь №: 1 002

|
Цитата(haker_fox @ May 30 2018, 07:48)  Не объясните ли, почему?  Как говаривал некий мистер Холмс, если отбросить все НЕвозможные версии, то то, что останется и будет истиной, какой бы МАЛОвероятной она не была. Подозреваю, что был зафиксирован удручающе (или радующе) малый процент отказов резисторов в виде короткого замыкания. Да-с, господа, физика-с! - И что же Вам мешает провести пять перпендикулярных линий? - Геометрия. - Эээ игнорируйте её!
--------------------
Умею молчать на 37 языках...
|
|
|
|
|
May 30 2018, 17:20
|

Местный
  
Группа: Участник
Сообщений: 230
Регистрация: 5-07-05
Пользователь №: 6 552

|
Уважаемые интернет-коллеги, Вы будете смеяться, но, я предлагаю Вам вспомнить книги и фильмы про войну. Например, про то, как рискуя жизнями брали "языка" – а какая польза от рядового вражьева войска? – Выяснить, где стыки полков, дивизий или армий. А если проанализировать трагические для нас провалы – то, большей частью, они произошли на стыке полков, дивизий или армий (иногда там, на стыках, вообще не было войск, однако). Можете считать, что впадаю в детство (1913 год рождения... или 1813? – склероз, однако), но (!!!) в сложных системах основные ляпы именно на стыке с другими (мамой клянусь!!!). См. первую картинку: – на вариантах "А" и "Б" ключи ... не важно какие, может быть любимые моему сердцу с ручным приводом на мраморной плите (см. вторую картинку), а может быть полевые ключи, встроенные в какой-нибудь драйвер; – "+27 В (1)" и "+27 В (2)" – это независимые шины электропитания; – диоды... – нужные штучки. "+27 В" – это только на схеме "+27 В", на самом деле они могут быть по допуску и 29 В, и 24,5 В (могу ошибиться – склероз, однако). И если ключи будут замкнуты при разных напряжениях на шинах электропитания, то большие (выжигающие) токи через ключи Вам обеспечены; – лампа – это красная лампа "СДУ", по которой лётчик имеет полное право покинуть машину; – МСРП – это пресловутый "черный ящик" – аварийный регистратор, состоящий из кучи чёрных ящиков и одного оранжевого цвета. Было у нас сделано, как на варианте "А", и долго забот не знали, но, однажды, перед полётом загорелась красная лампа "СДУ". Быстренько (за каких-то пяток часов) выяснили, что у МСРП "съехала крыша", и он выдал встречный плюс, который зажёг красную лампу "СДУ". С тех пор, на системах, до которых дотягиваются мои руки, стык "дивизий" выполняется по варианту "Б".
Сообщение отредактировал Ильдус - May 30 2018, 17:25
Эскизы прикрепленных изображений
|
|
|
|
|
May 30 2018, 19:06
|
Гуру
     
Группа: Модераторы
Сообщений: 3 868
Регистрация: 15-03-13
Пользователь №: 76 048

|
Цитата(Gorby @ May 30 2018, 16:01)  Подозреваю, что был зафиксирован удручающе (или радующе) малый процент отказов резисторов в виде короткого замыкания. Да-с, господа, физика-с! Ну а как оно может возникнуть замыкание у пленочного резистора? Тут действительно, физика-с.... Полупроводниковых переходов там нет. Обрыв вывода и пленочного проводника возможны, но самопроизвольное возникновение хорошего проводника между двумя точками... Это вроде передачи тепла от холодного тела к горячему. Теоретически возможно, практически нет. А у других компонентов, например, у диодов даются данные о распределении видов отказа. Скажем, обрыв в 20%, Пробой (К.З.) в 80% случаев. В механике обесточенный электродвигатель через редуктор может стать генератором, а исполнительный орган может принять произвольное положение. А вот через червячный редуктор - никогда.
|
|
|
|
|
May 30 2018, 19:55
|

Местный
  
Группа: Участник
Сообщений: 230
Регистрация: 5-07-05
Пользователь №: 6 552

|
Цитата(Егоров @ May 30 2018, 22:06)  . . . . . В механике обесточенный электродвигатель через редуктор может стать генератором, а исполнительный орган может принять произвольное положение. А вот через червячный редуктор - никогда. Где-то я слышал фразу: "Никогда не говори никогда". Всё зависит от трения и угла захода резьбы (если не ошибаюсь в названии параметра). Старая добрая телефонная сеть принимала импульсы от номеронабирателя строго определённой частоты следования. В старых добрых телефонах диск (номеронабиратель) возвращался в исходное положение под действием пружины, при этом через обратимую червячную передачу вращал центробежный тормоз, который стабилизировал частоту повторения импульсов. И всё это без электроники. Правда в червячной передаче вместо гайки была шестерня-солнышко. Сегодня в электроприводах рулей летательных аппаратов применяют шариковинтовую пару – та же червячная передача, только с малыми потерями на трение – она обратимая. При отказе схемы управления электродвигателем снимается питание с релешки, которая нормально замкнутыми контактами замыкает обмотки двигателя друг на друга. Если под действием аэродинамических сил руль перемещается, то двигатель через обратимую шариковинтовую пару работает генератором под нагрузкой. Т.е. демпфирует болтанку руля.
Эскизы прикрепленных изображений
|
|
|
|
|
May 30 2018, 23:27
|
Профессионал
    
Группа: Участник
Сообщений: 1 273
Регистрация: 3-03-06
Пользователь №: 14 942

|
Цитата(Егоров @ May 30 2018, 22:06)  Ну а как оно может возникнуть замыкание у пленочного резистора? Интересно, что у пленочного конденсатора такие отказы случаются. Обсуждалось на форуме. Сперва КЗ, потом выгорает до обрыва. Выпускаются специальные конденсаторы, чтобы этого избежать. (Неплохое видео по теме https://www.youtube.com/watch?v=QgKY5QWehME)В этом документе рассмотрено дерево отказов для пленочного резистора, и явно указывается, что короткого замыкания не бывает. https://www.mouser.com/pdfdocs/ResistorTechnicalGuide-2.PDFИ это не очень понятно. Чем принципиально отличаются пленочные конденсатор от резистора в контексте обсуждаемого вопроса. В других местах указывается риск КЗ, но как менее вероятный.
|
|
|
|
|
May 31 2018, 05:43
|

Местный
  
Группа: Участник
Сообщений: 230
Регистрация: 5-07-05
Пользователь №: 6 552

|
По поводу КЗ в резисторах и конденсаторахЕсть (точнее: был) "Справочник. Надёжность электроизделий". Там на стр. 289 для резисторов есть таблица с распределением отказов по видам отказов - короткого замыкания нет. Такая же таблица для конденсаторов на стр.318 - есть и КЗ (преобладает), есть и обрывы.
|
|
|
|
|
  |
1 чел. читают эту тему (гостей: 1, скрытых пользователей: 0)
Пользователей: 0
|
|
|