Аппаратное дублирование, избыточность, отказоустойчивые системы, горячая замена, Где почитать? Опции

[syoma]

Привет.
Подскажите пожалуйста существует ли литература по сабжу? Интересует как делать по уму апппаратную избыточность для повышения надежности системы управления.
В моем случае - система управляет силовой электроникой в системах энергоснабжения. И ее отказ приведет к отключению света во многих городах. Пока решаем так - система управления (Процессоры и FPGA) полностью продублирована, включая датчики и разнесена физически, вплоть до того, что в разные здания. Обмен данными между системами только по оптике.
Выходы задублированных систем в виде оптики приходят в один контрольный блок, а с него в виде одного сигнала к исполнительным устройствам - тиристорам. Каждая система имеет встроенную самодиагностику, и блок, основываясь на этих данных решает, данные с какой системы посылать на выход. Контрольный блок сделан очень надежным с минимумом компонентов.
Конечно не самое лучшее решение и оно не всегда работает, поэтому хочется сделать как-то лучше и по уму.
Хочется, чтобы вообще не было Single Point Failure - то есть узлов, отказ которых приводит к выходу из строя всей системы. Горячая замена - тоже интересно как по уму делается.

[ARMik]

Почитайте Федоров Ю.Н. "Основы построения АСУТП взрывоопасных производств". В этой книге есть информация по поводу резервирования, дублирования.

Сообщение отредактировал ARMik - Oct 10 2011, 03:59

[Andrew2000]

или
Федоров Ю.Н. - Справочник инженера по АСУ ТП: проектирование и разработка (2008)
оно, вроде, посвежее

[syoma]

Спасибо, почитаю

[i-mir]

Скорее всего то о чем вы говорите можно найти в области работы критических систем,
таких как космос/авиация, впк, ядерные технологии, химия, ж/д. Тот критерий который
был озвучен соответствует требованиям к безопасности например для ж/д и атомных
станций (принцип единичного отказа). Авиация и космос более выдвигают более жесткие
требования.

Относительно литературы - более менее качественная на английском, в чистом виде
консолидированной информации я не находил пока. Начать можно с простых вещей,
как ни странно в лабораторках для ВУЗов хорошо изложен сам подход.

Выкладываю одну их них "Анализ безопасных схем...".

Если будут более предметные вопросы постараюсь ответить.

Прикрепленные файлы

 ____.pdf ( 542.95 килобайт ) Кол-во скачиваний: 1027

 

[syoma]

Почитал я этот справочник - более менее интересно - но он там сконцентрирован на системах безопасности, а мне надо системы управления. Плюс там описывается применение, но не разработка.
Помоему для систем управления подход должен немного отличаться.
Есть еще что-нибудь интересное? Классификация типа 1002,2004 и т.д. - интересная. Есть по ним что-нибудь прочитать кроме стандартов?

[i-mir]

Когда я в свое время столкнулся с аналогичной проблемой - выходом послужили материалы
Space Shuttle Technical Conference (NASA,1985) - там детально проанализированы подходы
и рекомендации к проектированию челнока. Идеи резервирования с тех пор не изменились.
Немного выводы расходятся с Федоровым, но как мне кажется из-за специфики приложения,
ведь на земле можно выпасть в "защитный отказ" и ничего, а на борту безопасные но дохлые
мозги никому не нужны.

Почитайте в принципе материалы NASA - в сети можно найти. У меня эти материалы - 67 Мб,
выложу по запросу.

[sturi]

Когда я в свое время столкнулся с аналогичной проблемой - выходом послужили материалы
Space Shuttle Technical Conference (NASA,1985) - там детально проанализированы подходы
и рекомендации к проектированию челнока. Идеи резервирования с тех пор не изменились.
Немного выводы расходятся с Федоровым, но как мне кажется из-за специфики приложения,
ведь на земле можно выпасть в "защитный отказ" и ничего, а на борту безопасные но дохлые
мозги никому не нужны.

Почитайте в принципе материалы NASA - в сети можно найти. У меня эти материалы - 67 Мб,
выложу по запросу.

делаю запрос, спасибо!

[i-mir]

Попробуйте здесь:
https://rapidshare.com/files/3397393777/Spa...ttle1.pdf?bin=1
https://rapidshare.com/files/1899921035/Spa...ttle2.pdf?bin=1

[sturi]

Попробуйте здесь:
https://rapidshare.com/files/3397393777/Spa...ttle1.pdf?bin=1
https://rapidshare.com/files/1899921035/Spa...ttle2.pdf?bin=1

спасибо

[phantom]

Да, было бы интересно посмотреть на практические, желательно схемотехнические, простые приемы горячего резервирования...Типа есть выходной аналоговый сигнал, который формируется 2-мя одинаковыми блоками, и вот один блок отказал, а сигнал все равно есть ... Как сделать выходной "сумматор", чтобы он на все это не влиял....

[Nix_86]

Попробуйте здесь:
https://rapidshare.com/files/3397393777/Spa...ttle1.pdf?bin=1
https://rapidshare.com/files/1899921035/Spa...ttle2.pdf?bin=1

К сожалению, ссылки уже не актуальны, а материалы нужные и полезные. Не могли бы "освежить" ссылки? Или положить на фтп? Спасибо!

[i-mir]

Предлагаю не использовать термин "гарячее" резервирование - т.к. он неинформативен.
Если имеется ввиду работа в режиме нагруженного резервирования (см. ГОСТ 27.002-89 п.7.8),
то нужно понять что за аналоговый сигнал у вас используется.
В большинстве случаев можно обойтись облегченным или ненагруженным резервированием
и рассмотреть выходной каскад более детально по вашим требованиям.
Рассмотрите допустимое время переключения между каналами - обеспечение достаточно
быстрой коммутации может решить проблему намного быстрее и проще, даже с аналоговым
выходом.

[i-mir]

"Освежаю" ссылки

https://rapidshare.com/files/483140708/Spac...ttle1.pdf?bin=1
https://rapidshare.com/files/245387110/Spac...ttle2.pdf?bin=1

[Ильдус]

Да, было бы интересно посмотреть на практические, желательно схемотехнические, простые приемы горячего резервирования...Типа есть выходной аналоговый сигнал, который формируется 2-мя одинаковыми блоками, и вот один блок отказал, а сигнал все равно есть ... Как сделать выходной "сумматор", чтобы он на все это не влиял....

Для "суммирования" аналоговых сигналов применяют аналоговый кворум (КЭ), который состоит из ячеек ограничителей тока (ОТ) - см. прикреплённый файл.

ОТ - обычный диодный мост, вертикальная диагональ которого питается источником тока I1 - I3. Если ток сигнала Iс через горизонтальную диагональ меньше тока ограничения Io (вертикальной диагонали), то точки А и Б эквипотенциальны (равны).

Три соединённых ОТ образуют КЭ (можно и два, можно и двадцать два). Если сигналы Е1 - Е3 равны, то на Rн естественно имеем напряжение Е1. Если сигналы не равны, то на Rн будет напряжение, равное среднему по уровню источнику, например,
Е1 = 1 В; Е2 = 5 В; Е3 = 2 В - на Rн будет напряжение, равное Е3 (2 В).
- это так называемое мягкое отключение.

К точкам А и Б каждого подканала надо подключить компаратор, который при превышении заданного порога отключит соответствующий источник тока. - Жёсткое отключение

Из двух оставшихся на выход КЭ пройдёт меньший по уровню сигнал. Если они до отключения первого неисправного были равны, то рывков на Rн не будет.
Если два оставшихся будут иметь разную полярность, то на выходе КЭ будет ноль (иногда надо учитывать). Из двух оставшихся система не сможет выбрать правильный (КЭ как в жизни - два человека могут спорить до посинения), поэтому надо отключать оба.

"Безнадёжность" такого резервирования = 3*Q*Q, где Q - "безнадёжность" одного подканала.

Прикрепленные файлы

 ___3.pdf ( 11.12 килобайт ) Кол-во скачиваний: 231

 

[i-mir]

Если два оставшихся будут иметь разную полярность, то на выходе КЭ будет ноль (иногда надо учитывать).

Приведите пример такого случая. Ваша схема не предусматривает обратную полярность источников E1-Е3.

[Ильдус]

Приведите пример такого случая. Ваша схема не предусматривает обратную полярность источников E1-Е3.

Я не понял, в каком месте она (схема) не предусматривает. Например, Е1 может быть и +1 В, и -1 В. Если останется только, например, Е1= (+1) В и Е2= (-5) В, то на выходе будет ноль.

У нас четыре подканала работают через такие кворум-элементы. Если вследствие разброса параметров два подканала будут чуть-чуть в плюсе, а два других - чуть-чуть в минусе, то в районе нуля образуется зона нечувствительности.

Есть места, очень критичные к зоне нечувствительности, поэтому сигнал искусственно перед КЭ смещается, а после КЭ обратным смещением возвращается на место.

См. приложенный файл.
На первой странице набрана в microCAP схема из трёх подканалов, работающих через КЭ на общую нагрузку.
На второй странице (амплитуда и частота) трёх источников:
v(1) = 10 В, 1 Гц;
v(2) = 9 В, 0,9 Гц;
v(3) = 11 В, 1,1 Гц
и v(6) = напряжение на R1

Это просто пример для понимания, как меняется выходной сигнал КЭ от разброса входных. Нет проблем это смоделировать для двух подканалов (но не дома).

На третьей странице соединение ОТ в кворум-элементы (именно во множественном числе) для частичного резервирования при четырёх подканалах. Например, закорачивание R1 не влияет на сигналы на остальных трёх резисторах. Естественно, питание источников сигнала и сборок ОТ у каждого подканала своё.

Есть случаи, когда надо с трёх подканалов перейти на четыре подканала, при этом, как просили в здесь, без общей точки - для этого надо выкинуть четвёртый источник сигнала и самую нижнюю сборку ОТ.

Прикрепленные файлы

 ___3.pdf ( 403.27 килобайт ) Кол-во скачиваний: 115

 

[Ильдус]

Нет проблем это смоделировать для двух подканалов (но не дома).

Я вроде как обещал смоделировать работу двух подканалов с кворум-элементом.

См. прилагаемый файл.
Схему оставил ту же, что и в предыдущем сообщении. Надеюсь, Вы помните сказанное в сообщении №15

ОТ - обычный диодный мост, вертикальная диагональ которого питается источником тока I1 - I3. Если ток сигнала Iс через горизонтальную диагональ меньше тока ограничения Io (вертикальной диагонали), то точки А и Б эквипотенциальны (равны).

Т.е. если Ic > Io, то на выход сигнал не проходит.
Поэтому я просто приравнял амплитуду источников тока первого (верхнего) ОТ (диодного моста) к нулю и, соответственно, ток сигнала первого источника не стал проходить на выход КЭ.

Прикрепленные файлы

 ___3_2_.pdf ( 328.97 килобайт ) Кол-во скачиваний: 102

 

[syoma]

Простите, что подымаю тему. Но вот не нахожу я похожего чего-то по книжкам или стандартам. У меня вроде как и не космос, и не защита для атомных станций. Просто требуется обеспечить отказоустойчивость на высоком уровне, с возможностью полного восстановления системы без остановки.
Пока все решается двумя полностью идентичными системами управления, из которых одна активна, а другая в ждущем режиме. Если активная диагностирует неисправность - переключаемся на ждущую. Неисправную тогда можно ремонтировать вплоть до полного отключения.
Пока проблема в том, что в конце концов сигнал от активной системы подается на управляющие элементы. И это делает недублированный блок, который является единой точкой отказа (SPOF)
Не хочется делать отсебятину - может есть еще какие европейские стандарты по этому поводу? IEC 61508 уже читал. Ближе всего по ихней классификации мне подходит 1oo2D, но только по структуре.

[bbb]

Посоветуйте хорошую книжку (желательно американскую) по резервированным системам управлению и их математическому расчету

[hitch]

На родном языке:
Коваленко А.Е., Гула В.В. - Отказоустойчивые микропроцессорные системы. 1986
Пашковский Г.С. - Задачи оптимального обнаружения и поиска отказов в РЭА (Радио и связь, Надёжность и качество). 1981
Синтез сложных многофункциональных отказоустойчивых систем электроники. А. А. Авакян, В. В. Клюев (Спектр). 2014
Согомонян Е.С., Слабаков Е. В. - Самопроверяемые устройства и отказоустойчивые системы (Радио и связь). 1989
Бортовые системы управления космическими аппаратами: Учебное пособие. Под ред. А.С. Сырова (МАИ-ПРИНТ). 2010
Проектирование и испытание бортовых систем управления. Учебное пособие. Под ред. А.С. Сырова (МАИ-ПРИНТ). 2011

На английском:
http://libgen.io/search.php?req=fault+tole...&column=def

Сообщение отредактировал hitch - May 14 2017, 20:15

[Shivers]

А есть какие то известные цифры, о связи между резервированием и увеличением надежности в аппаратуре, которые опубликованы, и на которые можно просто ссылаться, без собственного расчета?

Я где то слышал, что дублирование повышает надежность в 1.4 раза, а троирование в 1.7. Но сам никогда не считал, не умею. Поэтому хотелось бы увидеть это в виде таблицы, включая четверное резервирование, восьмерное и т.д.

[hitch]

Я где то слышал, что дублирование повышает надежность в 1.4 раза, а троирование в 1.7.

Не совсем уверен в цифрах, но кажется вы правы. Была где-то логарифмическая характеристика надёжности от количества каналов. При количестве каналов больше 3-4 существенного прироста уже не происходит из-за пропорционального увеличения количества элементов, которое в свою очередь, уменьшает надёжность.

[novikovfb]

Я где то слышал, что дублирование повышает надежность в 1.4 раза, а троирование в 1.7.

Обычно считают так: при дублировании для работы устройства достаточно работы одного канала, поэтому вероятность отказа всего устройства (т.е. обоих каналов одновременно) равна вероятности отказа одного канала, возведенной во вторую степень. При таком расчете не учитывается возможность выдачи каналом недостоверной информации, т.е. для цепей питания пойдет, для информационных - нет. Чтобы обезопаситься от выдачи недостоверной информации используют троирование и мажоритарный элемент для определения наиболее правдоподобного результата.
Стоит почитать ГОСТ Р 51891-2008, ISO 1161_1984 Менеджмент риска. Структурная схема надежности и булевы методы, там хорошо и понятно (что удивительно для стандарта) написано.

[Shivers]

... вероятность отказа всего устройства (т.е. обоих каналов одновременно) равна вероятности отказа одного канала, возведенной во вторую степень. ...

По идее, если дублирование дает увеличение надежности в 1.4, а троирование в 1.7, то ближайшая формула - квадратный корень из числа каналов.
Но почему и спрашиваю - хотелось бы взглянуть на готовую таблицу или формулу расчета, а не гадать, или разбираться с методикой.

За ссылку на ГОСТ спасибо, но я пока не готов с ним разбираться. У меня просто казуальный интерес, касающийся проектирования интегральных микросхем для космоса. С одной стороны я в курсе, что почти каждый рад. стойкий чип делается с обязательным аппаратным резервированием (обычно троирование) и мажорированием. Один такой процессор стоит как новые жигули. С другой стороны, ходит слух что тот же Илон Маск положил болт на резервирование на уровне интегральной схемы, и в свои аппараты ставит обычную коммерческую ЭКБ, но с каким то чудовищным (10х, 40х ?)резервированием на уровне аппаратных блоков и узлов. В результате он здорово экономит деньги, а получает результат как минимум не хуже. Поэтому было бы просто интересно узнать (но не считать самому) - как увеличивается надежность при резервировании, скажем, 40х. Если извлечь квадратный корень из 40, получится 6 -что навряд ли (оборудования то стало больше в 40 раз!).

[vladec]

Посмотрите у Тексаса, как они делают резервирование в контроллерах повышенной безотказности, серия "Геркулес" помнится, или еще как то.

[qwaszx]

А есть какие то известные цифры, о связи между резервированием и увеличением надежности в аппаратуре, которые опубликованы, и на которые можно просто ссылаться, без собственного расчета?

Я где то слышал, что дублирование повышает надежность в 1.4 раза, а троирование в 1.7. Но сам никогда не считал, не умею. Поэтому хотелось бы увидеть это в виде таблицы, включая четверное резервирование, восьмерное и т.д.

Ответ зависит от вида резервирования, показателя надежности, момента времени, закона распределения и др.
Для резервирования с постоянно включенным резервом можете посмотреть книгу В.А. Острейковского "Теория надежности"
В книге редакции 2003 года смотрите раздел 5.2 страница 131, формула 5.9.

[hitch]

Ещё 2 источника полностью отвечающие на вопрос о связи между резервированием и увеличением надёжности в аппаратуре:
Dubrova E. - Fault-Tolerant Design (Springer-Verlag New York). 2013 - раздел 4.2.2 N-Modular Redundancy и диаграмма 4.10.
Фёдоров Ю.Н. - Основы построения АСУТП взрывоопасных производств. Том 1. Методология (Синтег). 2006 - раздел 4.

[Shivers]

Спасибо большое!
График интересен, но не понятен. К примеру - что такое лямда-Т. Понял только, что это какое то время, но осталось загадкой, что за точка 0.69 лямда-Т, где все кривые сходятся.
Еще непонятно, что такое R. Это вероятность работы без сбоев - чем дальше, тем ниже? В таком случае смущает, что после времени 0.69 лямда-Т любой (2 и более) резерв даст меньшую надежность, чем у одного канала. Это по теории так - резервирование дает бенефит только ограниченное время, а потом только вредит?

Спасибо, разобрался.

[a123-flex]

Простите, что подымаю тему. Но вот не нахожу я похожего чего-то по книжкам или стандартам. У меня вроде как и не космос, и не защита для атомных станций. Просто требуется обеспечить отказоустойчивость на высоком уровне, с возможностью полного восстановления системы без остановки.
Пока все решается двумя полностью идентичными системами управления, из которых одна активна, а другая в ждущем режиме. Если активная диагностирует неисправность - переключаемся на ждущую. Неисправную тогда можно ремонтировать вплоть до полного отключения.
Пока проблема в том, что в конце концов сигнал от активной системы подается на управляющие элементы. И это делает недублированный блок, который является единой точкой отказа (SPOF)
Не хочется делать отсебятину - может есть еще какие европейские стандарты по этому поводу? IEC 61508 уже читал. Ближе всего по ихней классификации мне подходит 1oo2D, но только по структуре.

Что вам мешает выходы обеих управляющих половинок дублировать, ставить 2 свича и дублировать входы управления исполнительных устройств/исполнительные устройства ?

[Arjun]

дублирование дает увеличение надежности в 1.4, а троирование в 1.7

Это кто жъ Вам такую чушь сказал?

[a123-flex]

.

[Моисей Самуилови...]

Часто даже опытные электронщики говорят:"чем меньше деталей в схеме - тем она надёжней".
Но это же не правда.
Если бы это было так, то никто бы не делал троированные системы для увеличения надёжности

Сообщение отредактировал Моисей Самуилович - Apr 29 2018, 07:31

[novikovfb]

Часто даже опытные электронщики говорят:"чем меньше деталей в схеме - тем она надёжней".

таких "опытных электронщиков" надо гнать ссаными тряпками.

[Моисей Самуилови...]

Еще понятие "надёжность" можно трактовать по разному. В результате в резервированных системах часто отказывающая схема будет БОЛЕЕ НАДЁЖНОЙ, чем схема, где отказы редки.

Странно. ДА?

А я объясню в чем дело.
Просто в той схеме, что отказывает часто, схема диагностики обнаруживает скрытые отказы. И они устраняются.
А в той, что отказывает редко - отказы так и остаются скрытыми. И поэтому есть риск начать работу когда у тебя есть скрытые отказы в резервированной системе

таких "опытных электронщиков" надо гнать ссаными тряпками.

Тем не менее довольно часто встречаю таких "Дядя Вась", которые именно так учат молодёжь: "чем проще схема, чем меньше в ней элементов, - тем она надёжней. Запомни это малец"

[syoma]

Часто даже опытные электронщики говорят:"чем меньше деталей в схеме - тем она надёжней".
Но это же не правда.

Ну почему? Это вполне статистически доказуемое утверждение.

Если бы это было так, то никто бы не делал троированные системы для увеличения надёжности

Это как раз выплывает из утверждения выше. Если задачу можно решить только с помощью сложного устройства, но тем не менее требуется определенная высокая надежность, то дешевле сделать резервирование, чем пытаться упрощать.

[one_eight_seven]

А я объясню в чем дело.

Я-то думал, сейчас выкладки из статистики и теории надёжности будут. Там это всё правда достаточно просто и наглядно. А тут очередная "аудиофилия с добавлением слёз девственницы в медь и массированием кабелей".

Просто в той схеме, что отказывает часто, схема диагностики обнаруживает скрытые отказы. И они устраняются.

И она постепенно превращается в схему, которая отказывает редко, и тут вы сами себе наступаете на горло:

А в той, что отказывает редко - отказы так и остаются скрытыми. И поэтому есть риск начать работу когда у тебя есть скрытые отказы в резервированной системе

А ларчик просто открыается:

Еще понятие "надёжность" можно трактовать по разному.

Если вы необразованы, то несомненно всё именно так.

Сообщение отредактировал one_eight_seven - May 1 2018, 17:18

[a123-flex]

Я-то думал, сейчас выкладки из статистики и теории надёжности будут. Там это всё правда достаточно просто и наглядно. А тут очередная "аудиофилия с добавлением слёз девственницы в медь и массированием кабелей".

[novikovfb]

Ну почему? Это вполне статистически доказуемое утверждение.

Простой пример: усилитель можно сделать на одном каскаде. Но почему-то электронщики мудрят, наворачивают схемы стабилизации режима, обратные связи и т.п.
Пример немного по-сложнее: цифровые схемы можно делать с асинхронной работой, иногда это даже работает и дает удовлетворительные результаты. Но, опять же, почему-то крайне рекомендуется синхронный дизайн, хотя схемные решения при этом, в общем случае, сложнее.
Вот и получается, что проблема может иметь простое и всем понятное неправильное решение. А для получения правильного, т.е. стабильно работающего, решения надо схему усложнить. И в результате получить надежно работающую схему.

[Моисей Самуилови...]

Это как раз выплывает из утверждения выше.

Нет. Не выплывает.
Утверждение выше говорит, что для увеличения надёжности нужно уменьшать кол-во элементов ("чем меньше элементов - тем надёжней"), а в троированных системах мы его (количество) увеличиваем.

Если вы необразованы

Да куда уж мне. С вами, "образованными", тягаться.
Я просто лет 30 занимаюсь системами с повышенными требованиями к надёжности, поэтому полагал, что моё мнение будет тут не лишним. И возможно, кому-то интересным.
А оказывается нефиг мне было лезть. С суконным-то рылом да в калашный ряд, в общество образованных.

Простой пример: усилитель можно сделать на одном каскаде. Но почему-то электронщики мудрят, наворачивают схемы стабилизации режима, обратные связи и т.п.
Пример немного по-сложнее: цифровые схемы можно делать с асинхронной работой, иногда это даже работает и дает удовлетворительные результаты. Но, опять же, почему-то крайне рекомендуется синхронный дизайн, хотя схемные решения при этом, в общем случае, сложнее.
Вот и получается, что проблема может иметь простое и всем понятное неправильное решение. А для получения правильного, т.е. стабильно работающего, решения надо схему усложнить. И в результате получить надежно работающую схему.

Пожалейте ребят. Не рвите им шаблон. Им дядя Вася сказал, "чем меньше элементов в схеме - тем она надёжней" - и они в это верят.

Я-то думал, сейчас выкладки из статистики и теории надёжности будут.

Очень печально когда умение манипулировать математическими значками заменяет инженеру здравый смысл.

Сообщение отредактировал Моисей Самуилович - May 2 2018, 18:37

[a123-flex]

...Я просто лет 30 занимаюсь системами с повышенными требованиями к надёжности, поэтому полагал...

Студент Заборостроительного ? )

[syoma]

Утверждение выше говорит, что для увеличения надёжности нужно уменьшать кол-во элементов ("чем меньше элементов - тем надёжней"), а в троированных системах мы его (количество) увеличиваем.

Да, но насколько увеличиваем? Дает ли это больший выигрыш в надежности?

Что делать, если количество элементов уменьшить невозможно? Как в примере с усилителем. Как увеличить надежность в этом случае?

[novikovfb]

Да, но насколько увеличиваем? Дает ли это больший выигрыш в надежности?

Что делать, если количество элементов уменьшить невозможно? Как в примере с усилителем. Как увеличить надежность в этом случае?

Если добавить "холодный резерв" и переключаться на него в случае отказа основного усилителя, то вероятность отказа обоих усилителей сразу равна произведению вероятностей отказа каждого усилителя. Например, если один откажет с вероятностью 1%, то два сразу - уже с вероятностью 0,01%. Конечно, этот расчет без учета надежности переключателя с основного усилителя на резервный.
С аналоговыми схемами реализовать "горячий резерв" сложнее: есть риск, что отказ приведет к нарушению работы исправного блока, например, закоротит выход и основного и резервного усилителей (если их соединить параллельно).

[Моисей Самуилови...]

Да, но насколько увеличиваем?

Как минимум в 3 раза при троировании

Дает ли это больший выигрыш в надежности?

Если бы не давало - разве бы использовали троирование в ответственных системах управления?

Что делать, если количество элементов уменьшить невозможно? Как в примере с усилителем. Как увеличить надежность в этом случае?

Ответ очевиден: увеличивать кол-во элементов

[_Vova]

Простой пример: усилитель можно сделать на одном каскаде. Но почему-то электронщики мудрят, наворачивают схемы стабилизации режима, обратные связи и т.п.

иногда и однокаскадного достаточно, все эти "навороты" для получения необходимых характеристик при ограничениях элементной базы (технологии для ИМС), а не для надежности
расчет ведется в предположении, что элементы в схеме находятся в ОБР, но ее нужно обеспечить:
плохо спроектированный усилитель будет менее надежен в эксплуатации при меньшем количестве элементов. Например, УНЧ без защиты от КЗ в нагрузке, элементов меньше - надежность по расчету выше, но гореть такой усилитель будет чаще чем УНЧ с защитой (и большим кол-вом элементов)
с "цифрой" почти аналогично, схема с МК без защиты входов тоже меньше элементов содержит

Что делать, если количество элементов уменьшить невозможно?

облегчать условия их работы, делать дублирование/троирование блоков

[Gorby]

http://stu.scask.ru/book_info.php?id=33

Господа, прекращаем нести отсебятину и пороть чушь. Обращаем свои взоры к основоположнику. DIXI.

[Моисей Самуилови...]

Господа, прекращаем нести отсебятину и пороть чушь.

Чушь Вы порете. Сейчас. Нашли какую-то книжку и тыкаете ей всем.
А понимания-то нету. Опыта проектирования ответственных систем нету. Умения думать головой никакие книжки не заменят.
P.S.А где в моих словах Вы увидели чушь?

Сообщение отредактировал Моисей Самуилович - May 11 2018, 03:09

[Gorby]

Чушь Вы порете. Сейчас. Нашли какую-то книжку и тыкаете ей всем.
А понимания-то нету. Опыта проектирования ответственных систем нету. Умения думать головой никакие книжки не заменят.
P.S.А где в моих словах Вы увидели чушь?

Эх, Мануилыч! На воре, как грится, шапка горит. Я вовсе не имел в виду Вас. Это Вы сами себя в дураки назначили, назвав Клода Шеннона какой-то книжонкой. Во всей красе безумия, так сказать. Больше никому не говорите, что проектируете надежные ответственные системы. Это как не знать закон Ома. Стыдно!

В этой работе впервые была обоснована и доказана возможность построения системы с ЛЮБОЙ наперёд заданной надёжностью из НЕНАДЕЖНЫХ элементов. Отсюда есть пошли все ваши резервирования, троирования и прочие дублирования. Бараны их применяют, не зная основ. Ну как редкий электрик понимает закон Ома. А про тот же закон для полной цепи , Мануилыч, из них не знает никто. Так что прочтите на досуге. Раздвиньте горизонты. Мир так красив!

[a123-flex]

Эх, Мануилыч! На воре, как грится, шапка горит. Я вовсе не имел в виду Вас. Это Вы сами себя в дураки назначили, назвав Клода Шеннона какой-то книжонкой. Во всей красе безумия, так сказать. Больше никому не говорите, что проектируете надежные ответственные системы. Это как не знать закон Ома. Стыдно!

В этой работе впервые была обоснована и доказана возможность построения системы с ЛЮБОЙ наперёд заданной надёжностью из НЕНАДЕЖНЫХ элементов. Отсюда есть пошли все ваши резервирования, троирования и прочие дублирования. Бараны их применяют, не зная основ. Ну как редкий электрик понимает закон Ома. А про тот же закон для полной цепи , Мануилыч, из них не знает никто. Так что прочтите на досуге. Раздвиньте горизонты. Мир так красив!

[Моисей Самуилови...]

Эх, Мануилыч! На воре, как грится, шапка горит. Я вовсе не имел в виду Вас. Это Вы сами себя в дураки назначили, назвав Клода Шеннона какой-то книжонкой. Во всей красе безумия, так сказать. Больше никому не говорите, что проектируете надежные ответственные системы. Это как не знать закон Ома. Стыдно!

В этой работе впервые была обоснована и доказана возможность построения системы с ЛЮБОЙ наперёд заданной надёжностью из НЕНАДЕЖНЫХ элементов. Отсюда есть пошли все ваши резервирования, троирования и прочие дублирования. Бараны их применяют, не зная основ. Ну как редкий электрик понимает закон Ома. А про тот же закон для полной цепи , Мануилыч, из них не знает никто. Так что прочтите на досуге. Раздвиньте горизонты. Мир так красив!

Как правило книжки пишут ДУРАКИ, графоманы, которые сами НИЧЕГО крупного в жизни не проектировали.
Можно досконально знать всю теорию какая только есть на свете и при этом быть кретином и НИКАКУЩИМ инженером-разработчиком. Много таких видел. "теоретиков". Они теорию знают, а как начинают проектировать, то руки бы им оторвать за то, что они напроектировали.

Поэтому учиться проектированию нужно у практикующих инженеров, а не у графоманов, пишущих макулатуру

Много ли крупных троированных систем управления спроектировал ЛИЧНО Ваш Шенном за свою жизнь?

А я около десятка.
И Вы полагаете, что раз я не написал книжку - я дурней Шеннона?
И таки да. Проектировщики троированных систем, которых я знаю, про Шеннона н ничего не слышали. Он больше известен как математик и как автор теории информации.
Поэтому с ним больше знакомы математики и программисты

Теоретик он короче. А не разработчик

Сообщение отредактировал Моисей Самуилович - May 11 2018, 15:33

[Kabdim]

Точняк студент :D

[Егоров]

Как правило книжки пишут ДУРАКИ, графоманы, которые сами НИЧЕГО крупного в жизни не проектировали.
Можно досконально знать всю теорию какая только есть на свете и при этом быть кретином и НИКАКУЩИМ инженером-разработчиком.

Сумма знаний, накопленных человечеством размещена в книгах. Не думаю, что все знания цивилизации выдали дураки.
В то же время, жалко смотреть на разработчика, который что-то создает, в принципе не понимая теоретически как оно будет работать. Выучил хорошо три аккорда на гитаре и уже Бетховен у него дурак.
Потому, будьте не так категоричны и вульгарны.
Кстати, мир ответственных разработок состоит не только из троированных систем. Если все-таки почитать книжки, то дублированные системы при определенных условиях надежнее троированных.
На моей практике КАКУЩИЕ инженеры, привыкшие бездумно троировать каждую заклепку , были возмущены когда им об этом впервые рассказали. Но против теории не попрешь, в конце-концов, дошла и до них книжная премудрость.

[Моисей Самуилови...]

Сумма знаний, накопленных человечеством размещена в книгах. Не думаю, что все знания цивилизации выдали дураки.

Но использование книжных знаний без наличия собственной головы, здравого смысла и опыта проектирования приводит к плачевным результатам.
Книги никогда не заменят здравый смысл и опыт

На моей практике КАКУЩИЕ инженеры, привыкшие бездумно троировать каждую заклепку , были возмущены когда им об этом впервые рассказали. Но против теории не попрешь, в конце-концов, дошла и до них книжная премудрость.

Только почему-то как только речь идет о действительно ответственных системах (пуск ракет, системы управления ракет, АСУТП опасных химических производств и т.п.), то там используется не менее чем троирование. Наверное инженеры там дураки и умных книжек не читали

[novikovfb]

В этой работе впервые была обоснована и доказана возможность построения системы с ЛЮБОЙ наперёд заданной надёжностью из НЕНАДЕЖНЫХ элементов. Отсюда есть пошли все ваши резервирования, троирования и прочие дублирования. Бараны их применяют, не зная основ.

Можете порекомендовать работы по повышению надежности (резервирование и т.п.) аналоговых схем, в том числе - устойчивости к параметрическим отказам?

[Ильдус]

Извините интернет-коллеги, но, спор об абстрактных дублированных и троированных системах – спор ни о чём.

Например, надо, что бы лампочка ночью обязательно горела. Очень просто: ставим два включателя параллельно, но, при этом возрастает вероятность ложного включения лампочки днём.

А если вместо лампочки пиропатрон в ящике с динамитом? – Два включателя ставим последовательно, но, при этом возрастает вероятность того, что в нужный момент взрыва не будет.
* * * * *
В сложных системах всё сложнее, например, вычислитель автопилота. Ставим параллельно два вычислителя… а что делать, если один вычислитель говорит: "Влево" – а другой – "Вправо"? Ещё должен быть электронный судья, который выключит обоих (!). Безнадёжность возрастает более, чем в два раза, но, лётчик проживёт дольше. Кстати, это дублированная система или как? В моём кругу это называется "канал с контролем".
– У нас двухканальный автопилот это две пары вычислителей. После второго критического отказа лётчик берёт управление на себя.

А если это бесчеловечный САМолёт (сам летает, без лётчика)? – Ставим в параллель три вычислителя и "не убиваемого" судью (правильней говорить: "не убиваемых судей"). Если один вычислитель противоречит двум, то "судья" его исключает. Если появляется разногласие между двумя оставшимися, то "судья" фактически случайным образом оставляет одного – вероятность правильного выбора 0,5.

– Если это было бы три выключателя на лампочку, то говорили бы о троировании, а здесь говорим об одноотказной системе: после любого одного критического отказа функция управления сохраняется.
В электродистанционных системах управления ставят либо три пары вычислителей, либо четыре параллельных вычислителя с "не убиваемыми" судьями.

P.S. Это очень утрировано.

Можете порекомендовать работы по повышению надежности (резервирование и т.п.) аналоговых схем, в том числе - устойчивости к параметрическим отказам?

Посмотрите здесь http://stu.scask.ru/book_ar2.php?id=94

Кворум-элементы (КЭ) обычно дополняются контролем разницы (разбежки) между выходом подканала вычислителя и выходом КЭ. При превышении заданного порога разбежки этот подканал выключается из контура управления.

[Моисей Самуилови...]

Извините интернет-коллеги, но, спор об абстрактных дублированных и троированных системах – спор ни о чём.

Например, надо, что бы лампочка ночью обязательно горела. Очень просто: ставим два включателя параллельно, но, при этом возрастает вероятность ложного включения лампочки днём.

"А мужики-то не знали"©
Судя по Вашим словам Вы только только открыли для себя мир резервированных систем и дивитесь.
Да. Именно так. Как Вы сказали.
И в реальной жизни приходится мириться с недостатками разных схем резервирования.
Приходится делать выбор, что Вам важней: надёжное включение или надёжное выключение.
В ПАЗ-ах важней отключение. Поэтому там мирятся с тем, что велика вероятность ложного отключения. Почему? Потому что "лучше перебдеть, чем недобдеть".
При ложном отключении просто будет материальный ущерб.
А при не отключении - человеческие жертвы.

Поэтому на что-то приходится "закрывать глаза".

Это жизнь.

Это только в книжках всё идеально.
А в реальной жизни приходится идти на компромис

Ильдус
Поэтому не слушайте дураков, которые предлагают Вам сэкономить с десяток тысяч евро за счет использования дублированной системы управления вместо троированной.

Они Вам что-то будут твердить про математику, про вероятность отказа и прочее.
Но когда Вы сгорите, Вам вряд ли будет легче от понимания, что по расчётам получалось, что вероятность отказа дублированной системы даже меньше, чем троированной.

Поэтому где реально ответственные системы и речь идёт о жизни людей, то инженеры не "мудрствуют лукаво" и юсают троированные системы

В системе управления, отказ которой принесёт убыток в сотни миллионов евро вряд ли стоит "экономить на спичках", использую дублирование вместо троирования под эгидой "а это позволит сэкономить нам пару десятков тысяч евро"

[one_eight_seven]

Это только в книжках всё идеально.

Вы бы их почитали для начала, может быть знали бы тогда, что в них как раз всё не идеально.

[haker_fox]

"не убиваемыми" судьями.

Уважаемый Ильдус, как я понял вы "в теме" Расскажите, пожалуйста, как делается "судья"? Ведь от него зависит будет ли отключен неисправный элемент. А если даст сбой сам судья? В чём его соль и надёжность? прост как тапок? Или просто считаем, что он не может дать сбой?

Если один вычислитель противоречит двум, то "судья" его исключает.

Были случаи в гражданской авиации, когда из трёх приёмников воздушного давления два выходили из строя (или обмерзали) и каким-то образом выдавали "левые", но одинаковые значения. Судья отключал третьего, который выдавал значения не совпадающие ни с кем, но зато правильные! Вот и нюанс)))

Поэтому не слушайте дураков

В-первую очередь на этом форуме исчезает желание слушать вас, и ваших многочисленных клонов. Страдающих манией величия и уникальными знаниями, недоступными простым людям.

Но когда Вы сгорите, Вам вряд ли будет легче от понимания, что по расчётам получалось, что вероятность отказа дублированной системы даже меньше, чем троированной.

А станет легче от того, что какой-то "умник" с форума призывал не читать книжек, а слушать его советы, не привязанные к жизни?

Вы тут говорили, что разработали таких устройств около десятка. Я даже не прошу показать, т.к. они секретные. Назовите их по пунктам.

Как правило книжки пишут ДУРАКИ, графоманы, которые сами НИЧЕГО крупного в жизни не проектировали.

И откуда такие умники как вы знание-то получаете? В беседах под деревом? Собираетесь в научный кружок, и передаёте знания только избранным?

[Моисей Самуилови...]

Были случаи в гражданской авиации, когда из трёх приёмников воздушного давления два выходили из строя (или обмерзали) и каким-то образом выдавали "левые", но одинаковые значения. Судья отключал третьего, который выдавал значения не совпадающие ни с кем, но зато правильные! Вот и нюанс)))

Учите матчасть на предмет того, от чего защищают троированные системы.
А троированные системы гарантированно защищают от отказа ОДНОГО канала резервирования.
ОДНОГО, Карл

Поэтому всякие инсинуации на тему "а что будет если откажут два канала из трёх" от того, что человек не в теме. "Будет" всё что угодно. Троированные системы и не должны гарантировать правильную работу при отказе более чем одного канала резервирования

В-первую очередь на этом форуме исчезает желание слушать вас, и ваших многочисленных клонов. Страдающих манией величия и уникальными знаниями, недоступными простым людям.
А станет легче от того, что какой-то "умник" с форума призывал не читать книжек, а слушать его советы, не привязанные к жизни?

Я не призываю не читать книжки "теоретиков" и математиков. Я призываю не верить им слепо. Относится к инфе в книжках критически и включать голову. И больше слушать "практиков". Т.е. инженеров, которые сами, лично, проектировали троированные системы

Вот взять хотя бы утверждение Шеннона из-за которого и разгорелся весь "сыр-бор" в данной теме.

Я про то, что "из не надёжных компонентов можно сделать устройство с как угодно высокой степенью надёжности".

Сказать можно всё что угодно.
А ты мне сделай из гавна систему с надёжностью 9 девяток после запятой.
Замучаешься пыль глотать.

Потому что "теория" имеет дело с абстрактными, идеальными обобщенными моделями.
А в жизни всегда есть куча нюансов



Сообщение отредактировал Моисей Самуилович - May 17 2018, 03:28

[haker_fox]

Учите матчасть на предмет того, от чего защищают троированные системы.
А троированные системы гарантированно защищают от отказа ОДНОГО канала резервирования.
ОДНОГО, Карл

Ок. Зачёт.

Я не призываю не читать книжки "теоретиков" и математиков. Я призываю не верить им слепо.

Ваш стиль изложения скорее говорит об обратном. Впрочем, это могут быть погрешности восприятия. Но тогда и вам следует на форуме снизить градус эмоций, исключить слова, оскорбляющие авторов книг, а также присутствующих здесь людей. И выражаться ясно, толково и по-деловому. Тогда и многозначаности толкований не будет.

И больше слушать "практиков". Т.е. инженеров, которые сами, лично, проектировали троированные системы

Я с вами согласен в том, что практиков интересно послушать, это естественно. Но где они??? Вот в Иркутске у меня тут под боком таких людей нет. На авиазавод (одно из наших крупных предприятий) просто не пройдёшь, тем более за консультаций. Вот и остаётся интернет с форумами, да книги. И вот возникает вопрос. Вы говорите, что спроектировали не одну такую систему. Ну и как вам верить. Вы же не один пример не привели. Зато используете кучу эмоциональных оборотов, что может быть естественно в вашем кругу общения, но совершенно не уместно здесь, на форуме. Естествено у меня лично снижается степень доверия к вам. Создаётся ощущение (может быть и ложное), что вы просто пришли сюда покрасоваться.

А ты мне сделай из гавна систему с надёжностью 9 девяток после запятой.

Теория всегда такова. И не только по надёжности. Возьмите математику. Все эти диффуры, матрицы - скукотень. в чистом виде. Но попробуйте решить пару примеров из электротехники, и вы поймёте, что без этих знаний вам там тяжко придётся. Не надо возводить теорию в один угол, а практику - в другой. Они единое целое. Вы же не говорите, что ваша левая почка главнее правой. Они обе нужны. И жить без одной можно, но природа-то дала две)

Потому что "теория" имеет дело с абстрактными, идеальными обобщенными моделями.
А в жизни всегда есть куча нюансов

Ну это для любого образованного человека ясно. И никогда теория не претендует на карт-бланш.

[тау]

Учите матчасть на предмет того, от чего защищают троированные системы.
А троированные системы гарантированно защищают от отказа ОДНОГО канала резервирования.
ОДНОГО, Карл

возможно ли гарантированно защитить от единичного необратимого отказа (компонента/канала) систему , в которой 90% ( весу/количеству элементов) только дублированные подсистемы а остальные как придется - троированные и т.д ?

[Ильдус]

. . . . . Расскажите, пожалуйста, как делается "судья"? Ведь от него зависит будет ли отключен неисправный элемент. А если даст сбой сам судья? В чём его соль и надёжность? прост как тапок? Или просто считаем, что он не может дать сбой?
. . . . .

Я сторонник: "Действительно, прост, как тапок!"
Я сторонник кворум-элементов (КЭ) на пассивных деталях. Ссылку http://stu.scask.ru/book_ar2.php?id=94 я уже приводил. Там на рис. XI.60 схема, в которой вместо источника питания (Iо) диодных мостов ошибочно указан полярный конденсатор.
Более подробно можно глянуть здесь: https://cloud.mail.ru/public/LC9H/bRUtHEPgr

Безотказного ничего не бывает, поэтому на регламентных работах (раз в пару лет) проводится "контроль средств контроля" – поочерёдно в каждый подканал вводится рассогласование, по которому "блок контроля" этого подканала должен отключить питание диодных мостов (в данном случае они сыграют роль ключей) и выдать сигнализацию.

Это в вычислительной части, где сигналы в пределах рабочего диапазона не предсказуемы. Сигнал вычислителя затем поступает на исполнительный механизм (привод). Привод описывается несложной (для средств контроля) математической моделью. Не убиваемый КЭ тоже может ломаться, поэтому у нас кворумированные сигналы вычислителя (одинаковые по амплитуде и фазе, но, физически раздельные) раздельно поступают на привод и электронную модель привода, и там свой контроль.

Т.е. если КЭ в случае своей поломки пропустит неправильный сигнал, то это ловится на следующем участке тракта. И это "контроль" тоже контролируется на регламентных работах.
* * * * *
КЭ на диодных мостах в работе, например, с четырьмя подканалами вычислителя отбрасывает крайние по уровню сигналы, а из оставшихся двух в середине (на числовой оси) выбирает меньший по уровню. Если один подканал вычислителя скачком выдаёт большой ложный сигнал, то КЭ на диодных мостах на выходе выдаст скачок не превышающий рабочей погрешности вычислителей.

Есть, так называемый (у нас) американский кворум на операционных усилителях, который вычисляет среднее арифметическое из нескольких входных. Здесь при скачке сигнала одного из входных сигналов на выходе будет скачок меньший в число подканалов вычислителей, но, гораздо больший, чем в диодном КЭ. Есть ещё отрицательные нюансы, которые надо учитывать.

. . . . .
Были случаи в гражданской авиации, когда из трёх приёмников воздушного давления два выходили из строя (или обмерзали) и каким-то образом выдавали "левые", но одинаковые значения. Судья отключал третьего, который выдавал значения не совпадающие ни с кем, но зато правильные! Вот и нюанс)))
. . . . .

Вы имеете в виду https://mak-iac.org/rassledovaniya/an-148-1...704-11-02-2018/
По этому поводу я высказал своё скромное мнение здесь
https://www.aviaport.ru/conferences/45245/#p511249
Подчеркну из сказанного в ссылке:
" Сигнализация о не включении обогрева, и сигнализация о необходимости сравнить приборные скорости разных источников НЕ красная, а ЖЁЛТАЯ, т.е. не требует немедленных действий.
Я не лётчик, но, уверен, что взлёт и набор высоты НЕ относится к "незагруженном этапе полета".

Сигнализацию лётчики видели, но, действовали по инструкции – отложили на потом."
* * * * *
Задолго до этого Ан-148 на туполевской машине система воздушных сигналов (СВС или что-то аналогичное) ложно выдало угол атаки градусов 80, ограничитель предельных режимов переложил рули на полный ход на пикирование. Хорошо, что высоты хватило и лётчики отключили автоматику.

На сегодняшний день правила проектирования гражданской авиатехники требуют:
– разнородное программное обеспечение, написанное независимыми программистами;
– разнородное железо, разработанное независимыми схемотехниками на разнородной элементной базе.

Но (!), то что было на туполевской машине – это алгоритмическая ошибка. На сегодняшний день лично я не знаю, как этого избежать. Знаю только, что планирование "пятилетку за год" способствует появлению таких ошибок.

[haker_fox]

Но (!), то что было на туполевской машине – это алгоритмическая ошибка. На сегодняшний день лично я не знаю, как этого избежать. Знаю только, что планирование "пятилетку за год" способствует появлению таких ошибок.

Спасибо огромное! Вы очень интересно рассказываете! Пойду читать ваш пост на aviaport.ru.

[Ильдус]

возможно ли гарантированно защитить от единичного необратимого отказа (компонента/канала) систему , в которой 90% ( весу/количеству элементов) только дублированные подсистемы а остальные как придется - троированные и т.д ?

Напридумывать можно без проблем, например, на реальном самолёте тормозные щитки (ТЩ) дублируётся методом секционирования.
Каждая секция выпускается / убирается подачей питания на электрогидроклапан по двух-проводной схеме.
- Если любой транзистор станет "гвоздиком", то ложного перемещения не будет.
- Если любой транзистор станет изолятором, то сработает одна из секций ТЩ (с пониженной эффективностью).

При проектировании надёжных систем всегда приходится выбирать между "плохо" и "очень плохо"

Прикрепленные файлы

 _________.doc ( 298 килобайт ) Кол-во скачиваний: 20

 

[haker_fox]

При проектировании надёжных систем всегда приходится выбирать между "плохо" и "очень плохо"

Не подскажете, есть ли какие-либо книги, по проектированию (ну или хотя бы подробно описывающие) ЭДСУ, её особенности? Есть, конечно, в сети отрывочные документы для Airbus, но на книги не похоже.

[Ильдус]

Не подскажете, есть ли какие-либо книги, по проектированию (ну или хотя бы подробно описывающие) ЭДСУ, её особенности? Есть, конечно, в сети отрывочные документы для Airbus, но на книги не похоже.

Есть КТ-254 http://kaf401.rloc.ru/ASORLD/KT-254.pdf - такая же "библия", как Моральный кодекс строителя коммунизма", только листов много больше.

Описание ЭДСУ или СДУ (система дистанционного управления) видел только в Руководствах по эксплуатации этих систем, и то, только в объёме, необходимом для обслуживания. Собственно и для Airbus то же самое.

Не подскажете, есть ли какие-либо книги, по проектированию (ну или хотя бы подробно описывающие) ЭДСУ, её особенности? Есть, конечно, в сети отрывочные документы для Airbus, но на книги не похоже.

Есть КТ-254 http://kaf401.rloc.ru/ASORLD/KT-254.pdf - такая же "библия", как Моральный кодекс строителя коммунизма", только листов много больше.

Описание ЭДСУ или СДУ (система дистанционного управления) видел только в Руководствах по эксплуатации этих систем, и то, только в объёме, необходимом для обслуживания. Собственно и для Airbus то же самое.

В интернете можно найти на Боинг (см. файл), но, я английским не владею, тем не менее у меня сложилось мнение, что у них где-то "за кадром" описания есть супер-пупер компьютер, которому они верят, как Богу.
Кстати, у них три тройки с использованием процессоров разных фирм.

Сообщение отредактировал Ильдус - May 17 2018, 11:05

Прикрепленные файлы

 __777_PFC.pdf ( 883.49 килобайт ) Кол-во скачиваний: 23

 

[Моисей Самуилови...]

Ну это для любого образованного человека ясно. И никогда теория не претендует на карт-бланш.

Прошу пардона за излишне резкие выражения.
Просто меня возмутило это:

http://stu.scask.ru/book_info.php?id=33

Господа, прекращаем нести отсебятину и пороть чушь. Обращаем свои взоры к основоположнику. DIXI.

Типа "Вы всё тут дураки! Читайте Шеннона как я".
В то время как именно Шеннона НИКТО и не читает. Среди разработчиков резервированных систем. Есть более прикладная литература.Хотя её крайне мало.

А использование книги Шеннона при разработке троированных систем управления - это все равно что использовать только законы Максвелла для расчета схем.

Да законы Максвелла выполняются в электрических схемах.
Но на практике мы пользуемся другими методами расчета.

Так и с Шенноном. Вещь красивая, абстрактная. Но на практике практически не применимая

[Ильдус]

Не подскажете, есть ли какие-либо книги, по проектированию (ну или хотя бы подробно описывающие) ЭДСУ, её особенности? Есть, конечно, в сети отрывочные документы для Airbus, но на книги не похоже.

ссылку на одну из "книжек" я дал, ещё есть см. файл "Руководство по методам оценки безопасности..." - основной смысл : думать, думать, думать и не забывать про здравый смысл.

Собственно описание одного из вариантов ЭДСУ см. файл ЭДСУ-200RE_описание. - если что, то писал как бы для себя и публикую из шкурнических интересов - может быть придётся писать подобное на модификацию, поэтому моя благодарность за замечания не будет знать границ в пределах разумного.

Кстати, это тоже книжки - не верующие в книги могут не читать.

Сообщение отредактировал Ильдус - May 17 2018, 18:03

Прикрепленные файлы

 P4761.doc ( 3.52 мегабайт ) Кол-во скачиваний: 16
 _____200RE_________.pdf ( 1.06 мегабайт ) Кол-во скачиваний: 24

 

[Моисей Самуилови...]

Не подскажете, есть ли какие-либо книги, по проектированию (ну или хотя бы подробно описывающие) ЭДСУ, её особенности? Есть, конечно, в сети отрывочные документы для Airbus, но на книги не похоже.

Книг очень мало.
И причем у разных авторов зачастую прямо противоположный взгляд на методы резервирования и по разному идут расчеты надёжности.
Так что всё равно самому придётся головой думать

Кроме того, хочу заметить, что в ответственных системах кроме обеспечения низкой "вероятности отказа" не менее важно обеспечивать БЕЗОПАСНОСТЬ. А "надёжность" и "безопасность" - не тождественные понятия

Поэтому даже идут на уменьшение надежности если это приведет к большей безопасности.

Т.е. отказы бывают более критичные и менее критичные.

И зачастую чтобы снизить вероятность "опасного" отказа приходится увеличивать вероятность безопасных отказов

А что касается книг. То даташиты читайте на троированные системы.
Хороших книг по троированным системам управления практически нет.

Сообщение отредактировал Моисей Самуилович - May 17 2018, 18:06

[haker_fox]

Господа, спасибо за информацию. Ильдус, вам отдельное спасибо за книги! Буду неспешно изучать)

[Егоров]

Поэтому даже идут на уменьшение надежности если это приведет к большей безопасности.

Интересный подход.
Вообще-то , если система надежной не получается, то, конечно, ее лучше выбросить. Но заодно и не играться с опасными вещами.
Но чтобы продолжать работать с опасными вещами совсем без систем безопасности - что-то новенькое.
Если мы делаем систему разделения ступеней и она никак не получается требуемой надежности, то что делать? Не будем вообще ступени разделять, повременим с полетами поскольку еще не доросли, или полетим с системой уровня "как бог даст"?

[novikovfb]

Интересный подход.
Вообще-то , если система надежной не получается, то, конечно, ее лучше выбросить. Но заодно и не играться с опасными вещами.
Но чтобы продолжать работать с опасными вещами совсем без систем безопасности - что-то новенькое.
Если мы делаем систему разделения ступеней и она никак не получается требуемой надежности, то что делать? Не будем вообще ступени разделять, повременим с полетами поскольку еще не доросли, или полетим с системой уровня "как бог даст"?

Система аварийного спасения космонавтов или кресло с катапультой для летчиков - из этой серии. Сделать абсолютно надежным аппарат не получилось, пусть будет хотя бы безопасным.

[one_eight_seven]

То есть, сначала разработали троированное кресло, но когда оно абсолютно надежно катапультировало летчика, но кусками, то выяснилось, что это небезопасно, и пошли на снижение надёжности?

[Моисей Самуилови...]

Интересный подход.
Вообще-то , если система надежной не получается, то, конечно, ее лучше выбросить.

Интересный подход: "Если задача не имеет нравящегося мне решения, значит её вообще решать не надо"

Но чтобы продолжать работать с опасными вещами совсем без систем безопасности - что-то новенькое.

Расскажите нам об этом. Как вы к этому пришли

Если мы делаем систему разделения ступеней и она никак не получается требуемой надежности, то что делать? Не будем вообще ступени разделять, повременим с полетами поскольку еще не доросли, или полетим с системой уровня "как бог даст"?

Вы хотите, чтобы я занялся решением ВАШЕЙ конкретной проблемы, с которой Вы не можете справиться?
Давайте тогда обсудим сумму моего гонорара

То есть, сначала разработали троированное кресло, но когда оно абсолютно надежно катапультировало летчика, но кусками, то выяснилось, что это небезопасно, и пошли на снижение надёжности?

Если это троллинг - то ну очень толстый

А если кто-то не понял мои слова "даже идут на уменьшение надежности если это приведет к большей безопасности" приведу пример.

Система диагностики может не дать запустить двигатель на ракете на старте ошибочно решив, что в системе есть неисправность, хотя её на самом деле нет.
Но это лучше чем совсем убрать систему диагностики (руководствуясь придуманным идиотами правилом "чем меньше элементов в системе - тем она надёжней", правилом, которое без оговорок работает только для "систем" из двух резисторов) и пуститься с отказом, который приведёт к тому, что люди погибнут.


Таким образом мы УХУДШИЛИ надёжность. Потому что увеличили вероятность отказа.
НО.
За счёт увеличения вероятности безопасных отказов мы снизили вероятность опасных отказов в заданном интервале времени

Сообщение отредактировал Моисей Самуилович - May 18 2018, 18:21

[one_eight_seven]

Ах вон вы про что. Это называется "подмена понятий" вообще-то. И к надёжности отношения не имеет.

[Моисей Самуилови...]

Ах вон вы про что. Это называется "подмена понятий" вообще-то. И к надёжности отношения не имеет.

Продолжаете троллить?
Ну тогда я пас с Вами что-то обсуждать и что-то Вам объяснять.

[Gorby]

Так и с Шенноном. Вещь красивая, абстрактная. Но на практике практически не применимая

Эээх , Мануилыч, жив курилка?!

Специально для вас некто Крупский уже довольно давно написал:
— Нет ничего практичнее хорошей теории.

Но вы же книжек не читаете..... Ттттттесла доморрррощенный, блин....

[Моисей Самуилови...]

Эээх , Мануилыч, жив курилка?!

Специально для вас некто Крупский уже довольно давно написал:
— Нет ничего практичнее хорошей теории.

Но вы же книжек не читаете..... Ттттттесла доморрррощенный, блин....

На заборе тоже написано. А там даже дров нет.
Если такой умный сделайте из гамна систему с надёжностью 9 девяток после запятой.
Вам же Шеннон написал в книжке, что "ноу проблем", что из ненадёжных компонентов можно сделать систему с как угодно высокой надёжностью

Или рассчитайте мне схему пользуясь только 4-мя уравнениями Максвелла. Или теория Максвелла, на которой базируется всё электричество и магнетизм, недостаточно хороша и практична?

Сообщение отредактировал Моисей Самуилович - May 19 2018, 08:38

[Ильдус]

. . . . .
Кроме того, хочу заметить, что в ответственных системах кроме обеспечения низкой "вероятности отказа" не менее важно обеспечивать БЕЗОПАСНОСТЬ. А "надёжность" и "безопасность" - не тождественные понятия

Поэтому даже идут на уменьшение надежности если это приведет к большей безопасности.
. . . . .

То, что надёжность и безопасность — не одно и тоже, подтверждается хотя бы наличием стандартов по БНКТ — Безопасность, Надёжность, Контролепригодность и Технологичность, например ГОСТ Р 56079-2014 (в интернете легко найти).

А вот по поводу повышения безопасности за счёт надёжности — не согласен, они скорее дополняют друг друга. Точнее - надёжность является одной (только одной) из составляющих безопасности.

Интернет-коллеги, обратите внимание, что в одном ГОСТе находятся вместе с Безопасностью и Надёжностью ещё Контролепригодность и Технологичность.
- Если изделие не контролепригодно - качество его не возможно проконтролировать, то верить в безопасность и надёжность такого изделия могут только очень наивные.
- Если технология изготовления изделия требует золотые руки дяди Васи, то безопасность и надёжность изделия будут зависеть от того, как похмелился дядя Вася.

. . . . .
. . . сделайте из гамна систему с надёжностью 9 девяток после запятой.
. . . . .

Коллега, извините, зачем Вы так пугаете народ? Девять девяток после запятой — это 1*10 в минус девятой степени (мне так привычнее).

Например, выписка из реальных требований из реального Тех.задания на ЭДСУ для реального самолёта:

Вероятность пассивного отказа аппаратной части, при котором рулевые поверхности и механизация останавливаются или отрабатывают в нейтральное (исходное) положение, должна быть:
- не более 1*10 минус 9 на один час полета для управления РВ;
- не более 1*10 минус 9 на один час полета для управления РН;
- не более 1*10 минус 9 на один час полета для управления элеронами;
. . . . .
Вероятность отказа, приводящего к самопроизвольному перемещению любой управляемой поверхности за пределы зоны детекции отказа не должна превышать 0,5*10 минус 9 на один час полета.
* * * * *
Эти требования обеспечивают четыре работающих в параллель подканала. Расчётная вероятность отказа 10 минус 12 и меньше. Расчёт надёжности согласовывался с экспертами из ЛИИ им. Громова.

Реализовано: на операционных усилителях 140УД6 и 1401УД2; самые маленькие транзисторы — 2Т3117 и 2Т3108; диоды — 2Д510 и матрицы 2Д906; резисторы С2-36 и С2-33Н не менее 0,125 Вт; логика собрана на 564 серии, внешние соединители — СНЦ23. Блоки вторичного электропитания — импульсные, с рабочей частотой 2400 Гц (не ошибка, именно 2,4 кГц).

Вся электроника расположена в двух шкафах по 30 кг, разнесённых по разным бортам. Потребление — 1 кВт.

Сообщение отредактировал Ильдус - May 20 2018, 11:36

[haker_fox]

Вся электроника расположена в двух шкафах по 30 кг, разнесённых по разным бортам. Потребление — 1 кВт.

А вы имеете право назвать модель самолёта?

[Ильдус]

А вы имеете право назвать модель самолёта?

Многоцелевой самолёт-амфибия Бе-200ЧС.

[haker_fox]

Реализовано: на операционных усилителях 140УД6 и 1401УД2; самые маленькие транзисторы — 2Т3117 и 2Т3108; диоды — 2Д510 и матрицы 2Д906; резисторы С2-36 и С2-33Н не менее 0,125 Вт; логика собрана на 564 серии, внешние соединители — СНЦ23. Блоки вторичного электропитания — импульсные, с рабочей частотой 2400 Гц (не ошибка, именно 2,4 кГц).

Не в коем случае не подвергаю ничего сомнению и никакой критике... но... почему 564-я? А как же процессоры или микроконтроллеры?

[Ильдус]

Не в коем случае не подвергаю ничего сомнению и никакой критике... но... почему 564-я? А как же процессоры или микроконтроллеры?

В 1998 г., когда мы разрабатывали этот вариант ЭДСУ, я о процессорах что-то знал, а микроконтроллеры... - даже слов таких не знал.

[haker_fox]

В 1998 г., когда мы разрабатывали этот вариант ЭДСУ, я о процессорах что-то знал, а микроконтроллеры... - даже слов таких не знал.

Теперь понятно. Я знаю, что Бе-200 довольно взрослый самолёт, ведь его собирали у нас в Иркутске на авизазаводе, и очень часто приходилось слышать эту марку))) Т.е., по-сути, разрабатывали ЭДСУ на той базе, которая была известна? И если бы знали доскольнально тот же i80486, то могли бы сделать и на нём? Или какие-то ограничения всё-таки имелись?

[_Vova]

И если бы знали доскольнально тот же i80486, то могли бы сделать и на нём?

это же не вычислитель, и как МП может заменить кучу логических вентилей?

[Ильдус]

Теперь понятно. Я знаю, что Бе-200 довольно взрослый самолёт, ведь его собирали у нас в Иркутске на авизазаводе, и очень часто приходилось слышать эту марку))) Т.е., по-сути, разрабатывали ЭДСУ на той базе, которая была известна? И если бы знали доскольнально тот же i80486, то могли бы сделать и на нём? Или какие-то ограничения всё-таки имелись?

Лично я считаю, что любителей иностранщины (импорта) надо судить за измену Родине
Да и в те годы особого доверия к цифровой технике у нас не было.

Сегодня есть российские (конкретно не знаю, я по крупному – по системе) При модернизации применим и процессоры, и микропроцессоры, и ПЛИСы.
Но (!!!) ошибки и в "железе", и в программном обеспечении никто не отменял, поэтому подканалы должны быть разнородными по "железу" и ПО. См. КТ-178В - сегодня действует уже КТ-178С (DO-178С)

Сообщение отредактировал Ильдус - May 21 2018, 07:09

Прикрепленные файлы

 KT_178B.doc ( 2.8 мегабайт ) Кол-во скачиваний: 13

 

[haker_fox]

это же не вычислитель, и как МП может заменить кучу логических вентилей?

Вообще не понял, какая разница МП может заменить любую логическую схему с соответствующим программным обеспечением, другое дело, что быстродействие может пострадать. Но, поскольку речь идёт о приводах, полагаю, что здесь не имеет большого значения. Да. не вычислитель. Но вычислительная техника может привнести много новых возможностей, которые делать на логических элементах просто невыгодно.

Лично я считаю, что любителей иностранщины (импорта) надо судить за измену Родине

Я работаю со схемотехникой профессионально почти каждый день. И как бы не сильна была моя любовь к Родине, но я куплю импортный stm32f103 индустриального диапазона за 100 р, а не керамический отечественный клон с военной приёмкой за 20000 руб.

Да и в те годы особого доверия к цифровой технике у нас не было.

А логические элементы разве не относятся к цифровой технике? И потом, из отечественных были клоны импортных микропроцессорных комплектов. Тажа древняя, но всё-таки серия КР580.

Но (!!!) ошибки и в "железе", и в программном обеспечении никто не отменял, поэтому подканалы должны быть разнородными по "железу" и ПО. См. КТ-178В - сегодня действует уже КТ-178С (DO-178С)

Понятно.

[kolobok0]

В 1998 г.,..

о как. видел как летал самолёт в 1989, январь-февраль ... но погуглив, понял что видел А-40.
Промеряли бухты черноморского региона на взлёт-посадку.
А производят и тот и тот вроде бы у Бериева, в Таганроге?


(круглый)

[Ильдус]

. . . Но вычислительная техника может привнести много новых возможностей, которые делать на логических элементах просто невыгодно.
. . . .
. . . . И потом, из отечественных были клоны импортных микропроцессорных комплектов. Тажа древняя, но всё-таки серия КР580.
. . . .

А оно надо?
Если руководствоваться здравым смыслом и делать только то, что нужно – результат просто удивительный.
Например, в этом году рассекретили и опубликовали Научно-технический отчёт по "Луноход-2"
http://russianspacesystems.ru/wp-content/u..._Lunokhod_2.pdf
– На радиолампах, с транзисторами, разряды в последовательном цифровом коде переключались релешками… – преклоняюсь перед разработчиками тех времён!!!
* * * * *
В начале 80-х годов прошлого столетия на нашей фабрике была проведена экспериментальная работа по замене одного резерва аналогового вычислителя СДУ-10 (для Су-27) на цифровой вычислитель (или правильно говорить "вычислитель на вычислительной технике" ).
Цель - определить способность цифры считать так же быстро, как аналог. Результат превзошёл ожидания, но, работы были прекращены.

Почему? – В 1983 г. произошло падение истребителя “Торнадо” вследствие отказа вычислителя системы воздушных сигналов, вызванного воздействием сильных электромагнитных полей. Значение электрической составляющей напряженности электромагнитного поля в районе места падения, находящегося в районе передатчика “Голос Америки”, составляло 70 В/м.
Для справки: напряжённость, создаваемая молнией – до 900 кВ/м.

При этом в начале 80-х Су-27 с аналоговой СДУ испытывался на воздействие высоко-интенсивных электро-магнитных полей с положительным результатом.

о как. видел как летал самолёт в 1989, январь-февраль ... но погуглив, понял что видел А-40.
Промеряли бухты черноморского региона на взлёт-посадку.
А производят и тот и тот вроде бы у Бериева, в Таганроге?

(круглый)

Где производят Бе-200, см здесь https://russianplanes.net/planelist/Beriev/Be-200

А-40 не производят ни где. Последний прототип распилили на металлолом лет десять назад.

[haker_fox]

А оно надо?

Странно. В одном из постов вы сказали, что ничего не знали о микроконтроллерах, а о процессорах - только слышали. Вот я и сделал вывод, что сделали на том, что знали. Это не хорошо и не плохо. Если прибор выполняет то, что он него требуют.

– На радиолампах, с транзисторами, разряды в последовательном цифровом коде переключались релешками… – преклоняюсь перед разработчиками тех времён!!!

А у них другой элементной базы и не было. Т.е., цифровые микросхемы были, но могли не проходить по требованиям. Да, люди делали на транзисторах, реле и лампах то, что сейчас можно сделать на современных микросхемах. Да и далеко сейчас уедем, если будем использовать схемотехнику 70-х, 80-х.

Почему? – В 1983 г. произошло падение истребителя ”Торнадо” вследствие отказа вычислителя системы воздушных сигналов

1983 год закончился 35 лет назад))) Сейчас 2018. На микропроцессорах и микроконтроллерах летают "эйрбасы", "боинги". Вы же это не хуже меня знаете. И, я полагаю, современные системы более экономичны в планет энергопотребления, проще в диагностике, отладке, калибровке и настройке. Надёжность их выше, хотя бы по причине высокой интеграции схемы на куске кремения. Они открывают широкие возможнсти: ну хотя бы банальное логгирование. Ведь в воздухе разно может быть. Прилетел на землю, посмотрел лог, сделал выводы. Система сама может сообщать о том, что в ней что-то пора заменить, или обслужить, или выбросить. Конечно, с одной стороны есть мудрость: работает - не трогай. Но так можно было бы до сих пор на паровозах ездить, а то и на тележке с лошадью)))

При этом в начале 80-х Су-27 с аналоговой СДУ испытывался на воздействие высоко-интенсивных электро-магнитных полей с положительным результатом.

Я не специалист в авионике. Интерес к ней у меня сугубо личный, как к произведению искусства. Но поскольку я немного в теме (занимаюсь электроникой и программированием), то некоторые ваши утверждения у меня вызывают как минимум вопросы. Которые я и задаю))) Надеюсь, без обид.

З.Ы. Тут самое главное не оправдывать старые подходы нежеланием изучать новые возможности. Хотя иногда я сам этим отличаюсь))))

[AlexandrY]

Интернет-коллеги, обратите внимание, что в одном ГОСТе находятся вместе с Безопасностью и Надёжностью ещё Контролепригодность и Технологичность.
- Если изделие не контролепригодно - качество его не возможно проконтролировать, то верить в безопасность и надёжность такого изделия могут только очень наивные.
- Если технология изготовления изделия требует золотые руки дяди Васи, то безопасность и надёжность изделия будут зависеть от того, как похмелился дядя Вася.

Например, выписка из реальных требований из реального Тех.задания на ЭДСУ для реального самолёта:

Вероятность пассивного отказа аппаратной части, при котором рулевые поверхности и механизация останавливаются или отрабатывают в нейтральное (исходное) положение, должна быть:
- не более 1*10 минус 9 на один час полета для управления РВ;
- не более 1*10 минус 9 на один час полета для управления РН;
- не более 1*10 минус 9 на один час полета для управления элеронами;

Вы неправильно интерпретируете стандарт.

Контролепригодность - это возможность контроля заданными средствами.
И там не про технологичность, а про ремонтную технологичность

А цифры 10^-9 как-то выглядят нереально.
Т.е. их нельзя перепроверить на промежутке менее 100 лет. А именно такой горизонт принято считать предельным в промышленности.
У самого высокого уровня эффективности защиты в промышленности стоит цифра 10^-7
И эта цифра применяется к рискам с катастрофическими последствиями.

[haker_fox]

У самого высокого уровня эффективности защиты в промышленности стоит цифра 10^-7

Вы не занимаетесь такими изделиями? Если да, то могли бы привести ссылки. Ну пусть даже, если это не ваши изделия. Вы их где-то приводили, но я найти не могу(((

[AlexandrY]

Вы не занимаетесь такими изделиями? Если да, то могли бы привести ссылки. Ну пусть даже, если это не ваши изделия. Вы их где-то приводили, но я найти не могу(((

Вот: EN ISO13849-1 (PLe/Safety Category4), IEC 61508 (SIL3) certified


Или вот две стороны другого контроллера



Если заглянуть в EN ISO13849-1 то там PL (Performance Level) уровня "e" - самый высокий уровень безопасности в промышленности.
И ему соответствует уровень надежности функций безопасности в 10^-7
Надежность других функций (не функций безопасности) конечно можно поднимать и выше, только кому это надо?

[Ильдус]

. . . . .
А цифры 10^-9 как-то выглядят нереально.
Т.е. их нельзя перепроверить на промежутке менее 100 лет. А именно такой горизонт принято считать предельным в промышленности.
У самого высокого уровня эффективности защиты в промышленности стоит цифра 10^-7
И эта цифра применяется к рискам с катастрофическими последствиями.

Вы о "промышленности", а я об авиации. Для примера выписка из "Библии" разработчиков авиационной техники:
4.7. Отказное состояние (функциональный
отказ, вид отказа системы) может быть отнесе-
но к событиям практически невероятным, если
выполняется одно из следующих условий:
(а) Указанное состояние возникает в резуль-
тате двух и более независимых последователь-
ных отказов различных элементов рассматри-
ваемой системы или взаимодействующих с ней
систем с вероятностью менее 10 в минус 9 на час полета
по типовому профилю;
"Авиационные правила. Часть 25. Нормы лётной годности самолётов транспортной категории"
(См. файл)
* * * * *
Кстати, это согласуется с "Вашими промышленными" 10 в минус 7.
Если мне не изменяет склероз, то в НЛГС (Нормы лётной годности гражданских самолётов СССР) было приведено обоснование этих требований:
– по экономическим соображением и экспертным оценкам для общества приемлема авиакатастрофа (гибель людей) не чаще, грубо говоря, чем один случай на 10 млн. часов полёта (вспоминаем исландский вулкан Э́йяфьядлайё̀кюдль, из-за которого авиационные власти Европы отменили авиарейсы 16—20 апреля 2010 года в его районе – сколько было недовольных пассажиров, а авиакомпании даже проводили опытные полёты без пассажиров для доказательства безопасности). Далее, по экспертным оценкам на абстрактном самолёте 100 критических систем (которые могут угробить пассажиров и экипаж) – отсюда требование 10 в минус 9 степени.
* * * * *
Поскольку эти цифры действительно нельзя проверить опытным путём, то эксперты по авиационной безопасности расчёты надёжности с результатом хуже 10 в минус 12 даже смотреть не будут.
* * * * *
В АП-25 на стр. 236 (электронной) приведены определения разных ситуаций на самолёте с соответствием показателей надёжности.

Странно. В одном из постов вы сказали, что ничего не знали о микроконтроллерах, а о процессорах - только слышали. Вот я и сделал вывод, что сделали на том, что знали. Это не хорошо и не плохо. Если прибор выполняет то, что он него требуют.
. . . . .

Ничего странного! Я же сказал о себе, а не за всю авиацию.
В соседнем отделе разрабатывали (и разработали) систему автоматического управления (САУ-10) на процессоре на тот же Су-27. Но !!! САУ можно отключить. Из той же "Библии" АП-25:
8.2.7.12. При автоматическом управлении
полетом самолета с исправной САУ пилотам
должна быть обеспечена возможность взятия
управления на себя (вмешательства в управле-
ние самолетом) путем воздействия на основные
рычаги управления без каких-либо дополни-
тельных действий по отключению САУ.

На ручке управления самолётом даже есть (была) кнопка КБО - кнопка быстрого отключения САУ. Причём КБО располагалась так, что бы можно было быстро на неё нажать большим пальцем держащей ручку руки.

Т.е. в критических системах к вычислительной технике относились в то время с большой опаской.
К тому же на истребителе военному лётчику платят (или думают, что платят) за то, что он рискует жизнью.
В гражданской авиации пассажир платит, что бы его доставили из тчк. А в тчк. Б без повреждений.

Сообщение отредактировал Ильдус - May 23 2018, 19:59

Прикрепленные файлы

 AP_25.pdf ( 2.75 мегабайт ) Кол-во скачиваний: 13

 

[Ильдус]

. . . . .
1983 год закончился 35 лет назад))) Сейчас 2018. На микропроцессорах и микроконтроллерах летают "эйрбасы", "боинги". Вы же это не хуже меня знаете. . . .

Сегодня летают на процессорах не только "их" эрбасы и боинги, но, и наши самолёты. Просто речь шла, что девять девяток после запятой не такое уж и страшное требование даже для "антиквариата" электроники.

[haker_fox]

путем воздействия на основные
рычаги управления без каких-либо дополни-
тельных действий по отключению САУ.

С этим я абсолютно согласен. Я бы и сам поопасался лететь на самолёте без механического резервирования. В airbus он точно есть, называется "mechanical backup". Я прекрасно понимаю, что электроника может дать сбой, может элементарно лишиться своего питания и т.д. и т.п. В тоже время, как механика и гидравлика (спорно) более надёжна в плане отказа, хотя бы из-за огромной проверки временем. Но вот незадача. Airbus A380. Огромнейшая машина. Такой чисто механически трудно управлять. Всё равно нужны какие-то бустеры, гидравлика, например.

Сегодня летают на процессорах не только "их" эрбасы и боинги, но, и наши самолёты. Просто речь шла, что девять девяток после запятой не такое уж и страшное требование даже для "антиквариата" электроники.

Да, конечно. Сухой Суперджет хороший тому пример. Я подразумевал, что "они" пришли к этому раньше в гражданской авиации.

P.S. Спасибо за документ! Очень интересный!

[AlexandrY]

Кстати, это согласуется с "Вашими промышленными" 10 в минус 7.

Далее, по экспертным оценкам на абстрактном самолёте 100 критических систем (которые могут угробить пассажиров и экипаж) – отсюда требование 10 в минус 9 степени.

Да нее...
Я думаю считается так -


Т.е. берем самую обычную ненадежную электронику, хуже чем те же Safety контроллеры с фоток выше и резервируем каждую, т.е. далаем так чтобы поломка была только когда сбойнут обе вместе.
И тогда мы для 100 независимых таких систем и получим ту заветную десятку с 9-ю нулями после запятой.

Очевидный трюк.
В промышленности делается точно также - оговаривается обязательность дублирования функций безопасности.

[x736C]

Очевидный трюк.

Почему трюк-то? Это базовые теоремы теории вероятностей Абсолютно научный подход.

Тут можно еще сказать, что ваши 10^-7 на блок получаются из 10^-12..10^-9 на отдельные компоненты, которые тоже получают используя «трюки» и небесспорные методики.

[novikovfb]

Почему трюк-то? Это базовые теоремы теории вероятностей Абсолютно научный подход.

Тут можно еще сказать, что ваши 10^-7 на блок получаются из 10^-12..10^-9 на отдельные компоненты, которые тоже получают используя «трюки» и небесспорные методики.

Потому что теория вероятности распространяется только на случайные события. На столь малых вероятностях у меня нет уверенности, что они будут реально случайными, а не связанными и закономерными (маловероятные внешние воздействия, человеческий фактор и т.п.). Использование разнородных компонентов в резервированных системах, конечно, сглаживает связь между возможностями отказов, но всё-же, людям свойственно ошибаться.

[x736C]

Если у вас уже есть значение апостериорной вероятности отказа (10^-7, например), то и оперировать такими значениями вы можете, опираясь на теоремы, производя перемножение, сложение и т.п.
«реально случайными, а не связанными и закономерными». Эта фраза не понятна, если честно. Что значит, реально случайными