Версия для печати темы

Автор: syoma Oct 7 2011, 14:40

Привет.
Подскажите пожалуйста существует ли литература по сабжу? Интересует как делать по уму апппаратную избыточность для повышения надежности системы управления.
В моем случае - система управляет силовой электроникой в системах энергоснабжения. И ее отказ приведет к отключению света во многих городах. Пока решаем так - система управления (Процессоры и FPGA) полностью продублирована, включая датчики и разнесена физически, вплоть до того, что в разные здания. Обмен данными между системами только по оптике.
Выходы задублированных систем в виде оптики приходят в один контрольный блок, а с него в виде одного сигнала к исполнительным устройствам - тиристорам. Каждая система имеет встроенную самодиагностику, и блок, основываясь на этих данных решает, данные с какой системы посылать на выход. Контрольный блок сделан очень надежным с минимумом компонентов.
Конечно не самое лучшее решение и оно не всегда работает, поэтому хочется сделать как-то лучше и по уму.
Хочется, чтобы вообще не было Single Point Failure - то есть узлов, отказ которых приводит к выходу из строя всей системы. Горячая замена - тоже интересно как по уму делается.

Автор: ARMik Oct 10 2011, 03:58

Почитайте Федоров Ю.Н. "Основы построения АСУТП взрывоопасных производств". В этой книге есть информация по поводу резервирования, дублирования.

Автор: Andrew2000 Oct 10 2011, 06:34

или
Федоров Ю.Н. - Справочник инженера по АСУ ТП: проектирование и разработка (2008)
оно, вроде, посвежее

Автор: syoma Oct 10 2011, 07:03

Спасибо, почитаю

Автор: i-mir Oct 10 2011, 13:58

Скорее всего то о чем вы говорите можно найти в области работы критических систем,
таких как космос/авиация, впк, ядерные технологии, химия, ж/д. Тот критерий который
был озвучен соответствует требованиям к безопасности например для ж/д и атомных
станций (принцип единичного отказа). Авиация и космос более выдвигают более жесткие
требования.

Относительно литературы - более менее качественная на английском, в чистом виде
консолидированной информации я не находил пока. Начать можно с простых вещей,
как ни странно в лабораторках для ВУЗов хорошо изложен сам подход.

Выкладываю одну их них "Анализ безопасных схем...".

Если будут более предметные вопросы постараюсь ответить.

Автор: syoma Oct 11 2011, 09:43

Почитал я этот справочник - более менее интересно - но он там сконцентрирован на системах безопасности, а мне надо системы управления. Плюс там описывается применение, но не разработка.
Помоему для систем управления подход должен немного отличаться.
Есть еще что-нибудь интересное? Классификация типа 1002,2004 и т.д. - интересная. Есть по ним что-нибудь прочитать кроме стандартов?

Автор: i-mir Oct 11 2011, 12:10

Когда я в свое время столкнулся с аналогичной проблемой - выходом послужили материалы
Space Shuttle Technical Conference (NASA,1985) - там детально проанализированы подходы
и рекомендации к проектированию челнока. Идеи резервирования с тех пор не изменились.
Немного выводы расходятся с Федоровым, но как мне кажется из-за специфики приложения,
ведь на земле можно выпасть в "защитный отказ" и ничего, а на борту безопасные но дохлые
мозги никому не нужны.

Почитайте в принципе материалы NASA - в сети можно найти. У меня эти материалы - 67 Мб,
выложу по запросу.

Автор: sturi Nov 1 2011, 05:18

делаю запрос, спасибо!

Автор: i-mir Nov 1 2011, 12:09

Попробуйте здесь:
http://electronix.ru/redirect.php?https://rapidshare.com/files/3397393777/Space_shuttle1.pdf?bin=1
http://electronix.ru/redirect.php?https://rapidshare.com/files/1899921035/Space_shuttle2.pdf?bin=1

Автор: sturi Dec 22 2011, 06:23

спасибо

Автор: phantom Apr 2 2012, 19:15

Да, было бы интересно посмотреть на практические, желательно схемотехнические, простые приемы горячего резервирования...Типа есть выходной аналоговый сигнал, который формируется 2-мя одинаковыми блоками, и вот один блок отказал, а сигнал все равно есть ... Как сделать выходной "сумматор", чтобы он на все это не влиял....

Автор: Nix_86 Apr 2 2012, 19:35

К сожалению, ссылки уже не актуальны, а материалы нужные и полезные. Не могли бы "освежить" ссылки? Или положить на фтп? Спасибо!

Автор: i-mir Apr 3 2012, 13:30

Предлагаю не использовать термин "гарячее" резервирование - т.к. он неинформативен.
Если имеется ввиду работа в режиме нагруженного резервирования (см. ГОСТ 27.002-89 п.7.8),
то нужно понять что за аналоговый сигнал у вас используется.
В большинстве случаев можно обойтись облегченным или ненагруженным резервированием
и рассмотреть выходной каскад более детально по вашим требованиям.
Рассмотрите допустимое время переключения между каналами - обеспечение достаточно
быстрой коммутации может решить проблему намного быстрее и проще, даже с аналоговым
выходом.

Автор: i-mir Apr 6 2012, 06:25

"Освежаю" ссылки

http://electronix.ru/redirect.php?https://rapidshare.com/files/483140708/Space_shuttle1.pdf?bin=1
http://electronix.ru/redirect.php?https://rapidshare.com/files/245387110/Space_shuttle2.pdf?bin=1

Автор: Ильдус May 8 2012, 06:13

Для "суммирования" аналоговых сигналов применяют аналоговый кворум (КЭ), который состоит из ячеек ограничителей тока (ОТ) - см. прикреплённый файл.

ОТ - обычный диодный мост, вертикальная диагональ которого питается источником тока I1 - I3. Если ток сигнала Iс через горизонтальную диагональ меньше тока ограничения Io (вертикальной диагонали), то точки А и Б эквипотенциальны (равны).

Три соединённых ОТ образуют КЭ (можно и два, можно и двадцать два). Если сигналы Е1 - Е3 равны, то на Rн естественно имеем напряжение Е1. Если сигналы не равны, то на Rн будет напряжение, равное среднему по уровню источнику, например,
Е1 = 1 В; Е2 = 5 В; Е3 = 2 В - на Rн будет напряжение, равное Е3 (2 В).
- это так называемое мягкое отключение.

К точкам А и Б каждого подканала надо подключить компаратор, который при превышении заданного порога отключит соответствующий источник тока. - Жёсткое отключение

Из двух оставшихся на выход КЭ пройдёт меньший по уровню сигнал. Если они до отключения первого неисправного были равны, то рывков на Rн не будет.
Если два оставшихся будут иметь разную полярность, то на выходе КЭ будет ноль (иногда надо учитывать). Из двух оставшихся система не сможет выбрать правильный (КЭ как в жизни - два человека могут спорить до посинения), поэтому надо отключать оба.

"Безнадёжность" такого резервирования = 3*Q*Q, где Q - "безнадёжность" одного подканала.

Автор: i-mir May 10 2012, 12:59

Приведите пример такого случая. Ваша схема не предусматривает обратную полярность источников E1-Е3.

Автор: Ильдус May 10 2012, 16:37

Я не понял, в каком месте она (схема) не предусматривает. Например, Е1 может быть и +1 В, и -1 В. Если останется только, например, Е1= (+1) В и Е2= (-5) В, то на выходе будет ноль.

У нас четыре подканала работают через такие кворум-элементы. Если вследствие разброса параметров два подканала будут чуть-чуть в плюсе, а два других - чуть-чуть в минусе, то в районе нуля образуется зона нечувствительности.

Есть места, очень критичные к зоне нечувствительности, поэтому сигнал искусственно перед КЭ смещается, а после КЭ обратным смещением возвращается на место.

См. приложенный файл.
На первой странице набрана в microCAP схема из трёх подканалов, работающих через КЭ на общую нагрузку.
На второй странице (амплитуда и частота) трёх источников:
v(1) = 10 В, 1 Гц;
v(2) = 9 В, 0,9 Гц;
v(3) = 11 В, 1,1 Гц
и v(6) = напряжение на R1

Это просто пример для понимания, как меняется выходной сигнал КЭ от разброса входных. Нет проблем это смоделировать для двух подканалов (но не дома).

На третьей странице соединение ОТ в кворум-элементы (именно во множественном числе) для частичного резервирования при четырёх подканалах. Например, закорачивание R1 не влияет на сигналы на остальных трёх резисторах. Естественно, питание источников сигнала и сборок ОТ у каждого подканала своё.

Есть случаи, когда надо с трёх подканалов перейти на четыре подканала, при этом, как просили в здесь, без общей точки - для этого надо выкинуть четвёртый источник сигнала и самую нижнюю сборку ОТ.

Автор: Ильдус May 11 2012, 16:49

Я вроде как обещал смоделировать работу двух подканалов с кворум-элементом.

См. прилагаемый файл.
Схему оставил ту же, что и в предыдущем сообщении. Надеюсь, Вы помните сказанное в сообщении №15

Т.е. если Ic > Io, то на выход сигнал не проходит.
Поэтому я просто приравнял амплитуду источников тока первого (верхнего) ОТ (диодного моста) к нулю и, соответственно, ток сигнала первого источника не стал проходить на выход КЭ.

Автор: syoma Jun 3 2014, 05:18

Простите, что подымаю тему. Но вот не нахожу я похожего чего-то по книжкам или стандартам. У меня вроде как и не космос, и не защита для атомных станций. Просто требуется обеспечить отказоустойчивость на высоком уровне, с возможностью полного восстановления системы без остановки.
Пока все решается двумя полностью идентичными системами управления, из которых одна активна, а другая в ждущем режиме. Если активная диагностирует неисправность - переключаемся на ждущую. Неисправную тогда можно ремонтировать вплоть до полного отключения.
Пока проблема в том, что в конце концов сигнал от активной системы подается на управляющие элементы. И это делает недублированный блок, который является единой точкой отказа (SPOF)
Не хочется делать отсебятину - может есть еще какие европейские стандарты по этому поводу? IEC 61508 уже читал. Ближе всего по ихней классификации мне подходит 1oo2D, но только по структуре.

Автор: bbb Mar 23 2016, 18:02

Посоветуйте хорошую книжку (желательно американскую) по резервированным системам управлению и их математическому расчету

Автор: hitch May 14 2017, 20:13

На родном языке:
Коваленко А.Е., Гула В.В. - Отказоустойчивые микропроцессорные системы. 1986
Пашковский Г.С. - Задачи оптимального обнаружения и поиска отказов в РЭА (Радио и связь, Надёжность и качество). 1981
Синтез сложных многофункциональных отказоустойчивых систем электроники. А. А. Авакян, В. В. Клюев (Спектр). 2014
Согомонян Е.С., Слабаков Е. В. - Самопроверяемые устройства и отказоустойчивые системы (Радио и связь). 1989
Бортовые системы управления космическими аппаратами: Учебное пособие. Под ред. А.С. Сырова (МАИ-ПРИНТ). 2010
Проектирование и испытание бортовых систем управления. Учебное пособие. Под ред. А.С. Сырова (МАИ-ПРИНТ). 2011

На английском:
http://electronix.ru/redirect.php?http://libgen.io/search.php?req=fault+tolera&open=0&res=100&view=simple&phrase=1&column=def

Автор: Shivers May 18 2017, 11:06

А есть какие то известные цифры, о связи между резервированием и увеличением надежности в аппаратуре, которые опубликованы, и на которые можно просто ссылаться, без собственного расчета?

Я где то слышал, что дублирование повышает надежность в 1.4 раза, а троирование в 1.7. Но сам никогда не считал, не умею. Поэтому хотелось бы увидеть это в виде таблицы, включая четверное резервирование, восьмерное и т.д.

Автор: hitch May 18 2017, 19:29

Не совсем уверен в цифрах, но кажется вы правы. Была где-то логарифмическая характеристика надёжности от количества каналов. При количестве каналов больше 3-4 существенного прироста уже не происходит из-за пропорционального увеличения количества элементов, которое в свою очередь, уменьшает надёжность.

Автор: novikovfb May 19 2017, 04:54

Обычно считают так: при дублировании для работы устройства достаточно работы одного канала, поэтому вероятность отказа всего устройства (т.е. обоих каналов одновременно) равна вероятности отказа одного канала, возведенной во вторую степень. При таком расчете не учитывается возможность выдачи каналом недостоверной информации, т.е. для цепей питания пойдет, для информационных - нет. Чтобы обезопаситься от выдачи недостоверной информации используют троирование и мажоритарный элемент для определения наиболее правдоподобного результата.
Стоит почитать ГОСТ Р 51891-2008, ISO 1161_1984 Менеджмент риска. Структурная схема надежности и булевы методы, там хорошо и понятно (что удивительно для стандарта) написано.

Автор: Shivers May 19 2017, 06:48

По идее, если дублирование дает увеличение надежности в 1.4, а троирование в 1.7, то ближайшая формула - квадратный корень из числа каналов.
Но почему и спрашиваю - хотелось бы взглянуть на готовую таблицу или формулу расчета, а не гадать, или разбираться с методикой.

За ссылку на ГОСТ спасибо, но я пока не готов с ним разбираться. У меня просто казуальный интерес, касающийся проектирования интегральных микросхем для космоса. С одной стороны я в курсе, что почти каждый рад. стойкий чип делается с обязательным аппаратным резервированием (обычно троирование) и мажорированием. Один такой процессор стоит как новые жигули. С другой стороны, ходит слух что тот же Илон Маск положил болт на резервирование на уровне интегральной схемы, и в свои аппараты ставит обычную коммерческую ЭКБ, но с каким то чудовищным (10х, 40х ?)резервированием на уровне аппаратных блоков и узлов. В результате он здорово экономит деньги, а получает результат как минимум не хуже. Поэтому было бы просто интересно узнать (но не считать самому) - как увеличивается надежность при резервировании, скажем, 40х. Если извлечь квадратный корень из 40, получится 6 -что навряд ли (оборудования то стало больше в 40 раз!).

Автор: vladec May 19 2017, 07:42

Посмотрите у Тексаса, как они делают резервирование в контроллерах повышенной безотказности, серия "Геркулес" помнится, или еще как то.

Автор: qwaszx May 19 2017, 16:27

Ответ зависит от вида резервирования, показателя надежности, момента времени, закона распределения и др.
Для резервирования с постоянно включенным резервом можете посмотреть книгу В.А. Острейковского "Теория надежности"
В книге редакции 2003 года смотрите раздел 5.2 страница 131, формула 5.9.

Автор: hitch May 22 2017, 15:09

Ещё 2 источника полностью отвечающие на вопрос о связи между резервированием и увеличением надёжности в аппаратуре:
Dubrova E. - Fault-Tolerant Design (Springer-Verlag New York). 2013 - раздел 4.2.2 N-Modular Redundancy и диаграмма 4.10.
Фёдоров Ю.Н. - Основы построения АСУТП взрывоопасных производств. Том 1. Методология (Синтег). 2006 - раздел 4.

Автор: Shivers May 23 2017, 07:34

Спасибо большое!
График интересен, но не понятен. К примеру - что такое лямда-Т. Понял только, что это какое то время, но осталось загадкой, что за точка 0.69 лямда-Т, где все кривые сходятся.
Еще непонятно, что такое R. Это вероятность работы без сбоев - чем дальше, тем ниже? В таком случае смущает, что после времени 0.69 лямда-Т любой (2 и более) резерв даст меньшую надежность, чем у одного канала. Это по теории так - резервирование дает бенефит только ограниченное время, а потом только вредит?

Спасибо, разобрался.

Автор: a123-flex Dec 2 2017, 16:27

Что вам мешает выходы обеих управляющих половинок дублировать, ставить 2 свича и дублировать входы управления исполнительных устройств/исполнительные устройства ?

Автор: Arjun Dec 2 2017, 17:12

Это кто жъ Вам такую чушь сказал?

Автор: a123-flex Apr 24 2018, 17:40

.

Автор: Моисей Самуилович Apr 29 2018, 07:30

Часто даже опытные электронщики говорят:"чем меньше деталей в схеме - тем она надёжней".
Но это же не правда.
Если бы это было так, то никто бы не делал троированные системы для увеличения надёжности

Автор: novikovfb Apr 29 2018, 07:35

таких "опытных электронщиков" надо гнать ссаными тряпками.

Автор: Моисей Самуилович Apr 29 2018, 07:39

Еще понятие "надёжность" можно трактовать по разному. В результате в резервированных системах часто отказывающая схема будет БОЛЕЕ НАДЁЖНОЙ, чем схема, где отказы редки.

Странно. ДА?

А я объясню в чем дело.
Просто в той схеме, что отказывает часто, схема диагностики обнаруживает скрытые отказы. И они устраняются.
А в той, что отказывает редко - отказы так и остаются скрытыми. И поэтому есть риск начать работу когда у тебя есть скрытые отказы в резервированной системе

Тем не менее довольно часто встречаю таких "Дядя Вась", которые именно так учат молодёжь: "чем проще схема, чем меньше в ней элементов, - тем она надёжней. Запомни это малец"

Автор: syoma May 1 2018, 16:41

Ну почему? Это вполне статистически доказуемое утверждение.


Это как раз выплывает из утверждения выше. Если задачу можно решить только с помощью сложного устройства, но тем не менее требуется определенная высокая надежность, то дешевле сделать резервирование, чем пытаться упрощать.

Автор: one_eight_seven May 1 2018, 17:18

Я-то думал, сейчас выкладки из статистики и теории надёжности будут. Там это всё правда достаточно просто и наглядно. А тут очередная "аудиофилия с добавлением слёз девственницы в медь и массированием кабелей".


И она постепенно превращается в схему, которая отказывает редко, и тут вы сами себе наступаете на горло:


А ларчик просто открыается:

Если вы необразованы, то несомненно всё именно так.

Автор: a123-flex May 2 2018, 09:38

Автор: novikovfb May 2 2018, 15:40

Простой пример: усилитель можно сделать на одном каскаде. Но почему-то электронщики мудрят, наворачивают схемы стабилизации режима, обратные связи и т.п.
Пример немного по-сложнее: цифровые схемы можно делать с асинхронной работой, иногда это даже работает и дает удовлетворительные результаты. Но, опять же, почему-то крайне рекомендуется синхронный дизайн, хотя схемные решения при этом, в общем случае, сложнее.
Вот и получается, что проблема может иметь простое и всем понятное неправильное решение. А для получения правильного, т.е. стабильно работающего, решения надо схему усложнить. И в результате получить надежно работающую схему.

Автор: Моисей Самуилович May 2 2018, 18:33

Нет. Не выплывает.
Утверждение выше говорит, что для увеличения надёжности нужно уменьшать кол-во элементов ("чем меньше элементов - тем надёжней"), а в троированных системах мы его (количество) увеличиваем.


Да куда уж мне. С вами, "образованными", тягаться.
Я просто лет 30 занимаюсь системами с повышенными требованиями к надёжности, поэтому полагал, что моё мнение будет тут не лишним. И возможно, кому-то интересным.
А оказывается нефиг мне было лезть. С суконным-то рылом да в калашный ряд, в общество образованных.


Пожалейте ребят. Не рвите им шаблон. Им дядя Вася сказал, "чем меньше элементов в схеме - тем она надёжней" - и они в это верят.


Очень печально когда умение манипулировать математическими значками заменяет инженеру здравый смысл.

Автор: a123-flex May 2 2018, 21:23

Студент Заборостроительного ? )

Автор: syoma May 8 2018, 08:32

Да, но насколько увеличиваем? Дает ли это больший выигрыш в надежности?

Что делать, если количество элементов уменьшить невозможно? Как в примере с усилителем. Как увеличить надежность в этом случае?

Автор: novikovfb May 8 2018, 09:47

Если добавить "холодный резерв" и переключаться на него в случае отказа основного усилителя, то вероятность отказа обоих усилителей сразу равна произведению вероятностей отказа каждого усилителя. Например, если один откажет с вероятностью 1%, то два сразу - уже с вероятностью 0,01%. Конечно, этот расчет без учета надежности переключателя с основного усилителя на резервный.
С аналоговыми схемами реализовать "горячий резерв" сложнее: есть риск, что отказ приведет к нарушению работы исправного блока, например, закоротит выход и основного и резервного усилителей (если их соединить параллельно).

Автор: Моисей Самуилович May 8 2018, 15:44

Как минимум в 3 раза при троировании


Если бы не давало - разве бы использовали троирование в ответственных системах управления?


Ответ очевиден: увеличивать кол-во элементов

Автор: _Vova May 10 2018, 07:59

иногда и однокаскадного достаточно, все эти "навороты" для получения необходимых характеристик при ограничениях элементной базы (технологии для ИМС), а не для надежности
расчет ведется в предположении, что элементы в схеме находятся в ОБР, но ее нужно обеспечить:
плохо спроектированный усилитель будет менее надежен в эксплуатации при меньшем количестве элементов. Например, УНЧ без защиты от КЗ в нагрузке, элементов меньше - надежность по расчету выше, но гореть такой усилитель будет чаще чем УНЧ с защитой (и большим кол-вом элементов)
с "цифрой" почти аналогично, схема с МК без защиты входов тоже меньше элементов содержит

облегчать условия их работы, делать дублирование/троирование блоков

Автор: Gorby May 10 2018, 12:07

http://electronix.ru/redirect.php?http://stu.scask.ru/book_info.php?id=33

Господа, прекращаем нести отсебятину и пороть чушь. Обращаем свои взоры к основоположнику. DIXI.

Автор: Моисей Самуилович May 10 2018, 19:38

Чушь Вы порете. Сейчас. Нашли какую-то книжку и тыкаете ей всем.
А понимания-то нету. Опыта проектирования ответственных систем нету. Умения думать головой никакие книжки не заменят.
P.S.А где в моих словах Вы увидели чушь?

Автор: Gorby May 11 2018, 07:00

Эх, Мануилыч! На воре, как грится, шапка горит. Я вовсе не имел в виду Вас. Это Вы сами себя в дураки назначили, назвав Клода Шеннона какой-то книжонкой. Во всей красе безумия, так сказать. Больше никому не говорите, что проектируете надежные ответственные системы. Это как не знать закон Ома. Стыдно!

В этой работе впервые была обоснована и доказана возможность построения системы с ЛЮБОЙ наперёд заданной надёжностью из НЕНАДЕЖНЫХ элементов. Отсюда есть пошли все ваши резервирования, троирования и прочие дублирования. Бараны их применяют, не зная основ. Ну как редкий электрик понимает закон Ома. А про тот же закон для полной цепи , Мануилыч, из них не знает никто. Так что прочтите на досуге. Раздвиньте горизонты. Мир так красив!

Автор: a123-flex May 11 2018, 09:59

Автор: Моисей Самуилович May 11 2018, 15:23

Как правило книжки пишут ДУРАКИ, графоманы, которые сами НИЧЕГО крупного в жизни не проектировали.
Можно досконально знать всю теорию какая только есть на свете и при этом быть кретином и НИКАКУЩИМ инженером-разработчиком. Много таких видел. "теоретиков". Они теорию знают, а как начинают проектировать, то руки бы им оторвать за то, что они напроектировали.

Поэтому учиться проектированию нужно у практикующих инженеров, а не у графоманов, пишущих макулатуру

Много ли крупных троированных систем управления спроектировал ЛИЧНО Ваш Шенном за свою жизнь?

А я около десятка.
И Вы полагаете, что раз я не написал книжку - я дурней Шеннона?
И таки да. Проектировщики троированных систем, которых я знаю, про Шеннона н ничего не слышали. Он больше известен как математик и как автор теории информации.
Поэтому с ним больше знакомы математики и программисты

Теоретик он короче. А не разработчик

Автор: Kabdim May 11 2018, 15:27

Точняк студент :D

Автор: Егоров May 14 2018, 12:00

Сумма знаний, накопленных человечеством размещена в книгах. Не думаю, что все знания цивилизации выдали дураки.
В то же время, жалко смотреть на разработчика, который что-то создает, в принципе не понимая теоретически как оно будет работать. Выучил хорошо три аккорда на гитаре и уже Бетховен у него дурак.
Потому, будьте не так категоричны и вульгарны.
Кстати, мир ответственных разработок состоит не только из троированных систем. Если все-таки почитать книжки, то дублированные системы при определенных условиях надежнее троированных.
На моей практике КАКУЩИЕ инженеры, привыкшие бездумно троировать каждую заклепку , были возмущены когда им об этом впервые рассказали. Но против теории не попрешь, в конце-концов, дошла и до них книжная премудрость.

Автор: Моисей Самуилович May 15 2018, 03:22

Но использование книжных знаний без наличия собственной головы, здравого смысла и опыта проектирования приводит к плачевным результатам.
Книги никогда не заменят здравый смысл и опыт


Только почему-то как только речь идет о действительно ответственных системах (пуск ракет, системы управления ракет, АСУТП опасных химических производств и т.п.), то там используется не менее чем троирование. Наверное инженеры там дураки и умных книжек не читали

Автор: novikovfb May 15 2018, 04:13

Можете порекомендовать работы по повышению надежности (резервирование и т.п.) аналоговых схем, в том числе - устойчивости к параметрическим отказам?

Автор: Ильдус May 16 2018, 05:53

Извините интернет-коллеги, но, спор об абстрактных дублированных и троированных системах – спор ни о чём.

Например, надо, что бы лампочка ночью обязательно горела. Очень просто: ставим два включателя параллельно, но, при этом возрастает вероятность ложного включения лампочки днём.

А если вместо лампочки пиропатрон в ящике с динамитом? – Два включателя ставим последовательно, но, при этом возрастает вероятность того, что в нужный момент взрыва не будет.
* * * * *
В сложных системах всё сложнее, например, вычислитель автопилота. Ставим параллельно два вычислителя… а что делать, если один вычислитель говорит: "Влево" – а другой – "Вправо"? Ещё должен быть электронный судья, который выключит обоих (!). Безнадёжность возрастает более, чем в два раза, но, лётчик проживёт дольше. Кстати, это дублированная система или как? В моём кругу это называется "канал с контролем".
– У нас двухканальный автопилот это две пары вычислителей. После второго критического отказа лётчик берёт управление на себя.

А если это бесчеловечный САМолёт (сам летает, без лётчика)? – Ставим в параллель три вычислителя и "не убиваемого" судью (правильней говорить: "не убиваемых судей"). Если один вычислитель противоречит двум, то "судья" его исключает. Если появляется разногласие между двумя оставшимися, то "судья" фактически случайным образом оставляет одного – вероятность правильного выбора 0,5.

– Если это было бы три выключателя на лампочку, то говорили бы о троировании, а здесь говорим об одноотказной системе: после любого одного критического отказа функция управления сохраняется.
В электродистанционных системах управления ставят либо три пары вычислителей, либо четыре параллельных вычислителя с "не убиваемыми" судьями.

P.S. Это очень утрировано.

Посмотрите здесь http://electronix.ru/redirect.php?http://stu.scask.ru/book_ar2.php?id=94

Кворум-элементы (КЭ) обычно дополняются контролем разницы (разбежки) между выходом подканала вычислителя и выходом КЭ. При превышении заданного порога разбежки этот подканал выключается из контура управления.

Автор: Моисей Самуилович May 16 2018, 17:05

"А мужики-то не знали"©
Судя по Вашим словам Вы только только открыли для себя мир резервированных систем и дивитесь.
Да. Именно так. Как Вы сказали.
И в реальной жизни приходится мириться с недостатками разных схем резервирования.
Приходится делать выбор, что Вам важней: надёжное включение или надёжное выключение.
В ПАЗ-ах важней отключение. Поэтому там мирятся с тем, что велика вероятность ложного отключения. Почему? Потому что "лучше перебдеть, чем недобдеть".
При ложном отключении просто будет материальный ущерб.
А при не отключении - человеческие жертвы.

Поэтому на что-то приходится "закрывать глаза".

Это жизнь.

Это только в книжках всё идеально.
А в реальной жизни приходится идти на компромис

Ильдус
Поэтому не слушайте дураков, которые предлагают Вам сэкономить с десяток тысяч евро за счет использования дублированной системы управления вместо троированной.

Они Вам что-то будут твердить про математику, про вероятность отказа и прочее.
Но когда Вы сгорите, Вам вряд ли будет легче от понимания, что по расчётам получалось, что вероятность отказа дублированной системы даже меньше, чем троированной.

Поэтому где реально ответственные системы и речь идёт о жизни людей, то инженеры не "мудрствуют лукаво" и юсают троированные системы

В системе управления, отказ которой принесёт убыток в сотни миллионов евро вряд ли стоит "экономить на спичках", использую дублирование вместо троирования под эгидой "а это позволит сэкономить нам пару десятков тысяч евро"

Автор: one_eight_seven May 16 2018, 17:22

Вы бы их почитали для начала, может быть знали бы тогда, что в них как раз всё не идеально.

Автор: haker_fox May 17 2018, 02:17

Уважаемый Ильдус, как я понял вы "в теме" Расскажите, пожалуйста, как делается "судья"? Ведь от него зависит будет ли отключен неисправный элемент. А если даст сбой сам судья? В чём его соль и надёжность? прост как тапок? Или просто считаем, что он не может дать сбой?


Были случаи в гражданской авиации, когда из трёх приёмников воздушного давления два выходили из строя (или обмерзали) и каким-то образом выдавали "левые", но одинаковые значения. Судья отключал третьего, который выдавал значения не совпадающие ни с кем, но зато правильные! Вот и нюанс)))


В-первую очередь на этом форуме исчезает желание слушать вас, и ваших многочисленных клонов. Страдающих манией величия и уникальными знаниями, недоступными простым людям.



А станет легче от того, что какой-то "умник" с форума призывал не читать книжек, а слушать его советы, не привязанные к жизни?

Вы тут говорили, что разработали таких устройств около десятка. Я даже не прошу показать, т.к. они секретные. Назовите их по пунктам.


И откуда такие умники как вы знание-то получаете? В беседах под деревом? Собираетесь в научный кружок, и передаёте знания только избранным?

Автор: Моисей Самуилович May 17 2018, 03:38

Учите матчасть на предмет того, от чего защищают троированные системы.
А троированные системы гарантированно защищают от отказа ОДНОГО канала резервирования.
ОДНОГО, Карл

Поэтому всякие инсинуации на тему "а что будет если откажут два канала из трёх" от того, что человек не в теме. "Будет" всё что угодно. Троированные системы и не должны гарантировать правильную работу при отказе более чем одного канала резервирования


Я не призываю не читать книжки "теоретиков" и математиков. Я призываю не верить им слепо. Относится к инфе в книжках критически и включать голову. И больше слушать "практиков". Т.е. инженеров, которые сами, лично, проектировали троированные системы

Вот взять хотя бы утверждение Шеннона из-за которого и разгорелся весь "сыр-бор" в данной теме.

Я про то, что "из не надёжных компонентов можно сделать устройство с как угодно высокой степенью надёжности".

Сказать можно всё что угодно.
А ты мне сделай из гавна систему с надёжностью 9 девяток после запятой.
Замучаешься пыль глотать.

Потому что "теория" имеет дело с абстрактными, идеальными обобщенными моделями.
А в жизни всегда есть куча нюансов

Автор: haker_fox May 17 2018, 05:05

Ок. Зачёт.

Ваш стиль изложения скорее говорит об обратном. Впрочем, это могут быть погрешности восприятия. Но тогда и вам следует на форуме снизить градус эмоций, исключить слова, оскорбляющие авторов книг, а также присутствующих здесь людей. И выражаться ясно, толково и по-деловому. Тогда и многозначаности толкований не будет.

Я с вами согласен в том, что практиков интересно послушать, это естественно. Но где они??? Вот в Иркутске у меня тут под боком таких людей нет. На авиазавод (одно из наших крупных предприятий) просто не пройдёшь, тем более за консультаций. Вот и остаётся интернет с форумами, да книги. И вот возникает вопрос. Вы говорите, что спроектировали не одну такую систему. Ну и как вам верить. Вы же не один пример не привели. Зато используете кучу эмоциональных оборотов, что может быть естественно в вашем кругу общения, но совершенно не уместно здесь, на форуме. Естествено у меня лично снижается степень доверия к вам. Создаётся ощущение (может быть и ложное), что вы просто пришли сюда покрасоваться.

Теория всегда такова. И не только по надёжности. Возьмите математику. Все эти диффуры, матрицы - скукотень. в чистом виде. Но попробуйте решить пару примеров из электротехники, и вы поймёте, что без этих знаний вам там тяжко придётся. Не надо возводить теорию в один угол, а практику - в другой. Они единое целое. Вы же не говорите, что ваша левая почка главнее правой. Они обе нужны. И жить без одной можно, но природа-то дала две)

Ну это для любого образованного человека ясно. И никогда теория не претендует на карт-бланш.

Автор: тау May 17 2018, 06:44

возможно ли гарантированно защитить от единичного необратимого отказа (компонента/канала) систему , в которой 90% ( весу/количеству элементов) только дублированные подсистемы а остальные как придется - троированные и т.д ?

Автор: Ильдус May 17 2018, 09:17

Я сторонник: "Действительно, прост, как тапок!"
Я сторонник кворум-элементов (КЭ) на пассивных деталях. Ссылку http://electronix.ru/redirect.php?http://stu.scask.ru/book_ar2.php?id=94 я уже приводил. Там на рис. XI.60 схема, в которой вместо источника питания (Iо) диодных мостов ошибочно указан полярный конденсатор.
Более подробно можно глянуть здесь: http://electronix.ru/redirect.php?https://cloud.mail.ru/public/LC9H/bRUtHEPgr

Безотказного ничего не бывает, поэтому на регламентных работах (раз в пару лет) проводится "контроль средств контроля" – поочерёдно в каждый подканал вводится рассогласование, по которому "блок контроля" этого подканала должен отключить питание диодных мостов (в данном случае они сыграют роль ключей) и выдать сигнализацию.

Это в вычислительной части, где сигналы в пределах рабочего диапазона не предсказуемы. Сигнал вычислителя затем поступает на исполнительный механизм (привод). Привод описывается несложной (для средств контроля) математической моделью. Не убиваемый КЭ тоже может ломаться, поэтому у нас кворумированные сигналы вычислителя (одинаковые по амплитуде и фазе, но, физически раздельные) раздельно поступают на привод и электронную модель привода, и там свой контроль.

Т.е. если КЭ в случае своей поломки пропустит неправильный сигнал, то это ловится на следующем участке тракта. И это "контроль" тоже контролируется на регламентных работах.
* * * * *
КЭ на диодных мостах в работе, например, с четырьмя подканалами вычислителя отбрасывает крайние по уровню сигналы, а из оставшихся двух в середине (на числовой оси) выбирает меньший по уровню. Если один подканал вычислителя скачком выдаёт большой ложный сигнал, то КЭ на диодных мостах на выходе выдаст скачок не превышающий рабочей погрешности вычислителей.

Есть, так называемый (у нас) американский кворум на операционных усилителях, который вычисляет среднее арифметическое из нескольких входных. Здесь при скачке сигнала одного из входных сигналов на выходе будет скачок меньший в число подканалов вычислителей, но, гораздо больший, чем в диодном КЭ. Есть ещё отрицательные нюансы, которые надо учитывать.

Вы имеете в виду http://electronix.ru/redirect.php?https://mak-iac.org/rassledovaniya/an-148-100b-ra-61704-11-02-2018/
По этому поводу я высказал своё скромное мнение здесь
http://electronix.ru/redirect.php?https://www.aviaport.ru/conferences/45245/#p511249
Подчеркну из сказанного в ссылке:
" Сигнализация о не включении обогрева, и сигнализация о необходимости сравнить приборные скорости разных источников НЕ красная, а ЖЁЛТАЯ, т.е. не требует немедленных действий.
Я не лётчик, но, уверен, что взлёт и набор высоты НЕ относится к "незагруженном этапе полета".

Сигнализацию лётчики видели, но, действовали по инструкции – отложили на потом."
* * * * *
Задолго до этого Ан-148 на туполевской машине система воздушных сигналов (СВС или что-то аналогичное) ложно выдало угол атаки градусов 80, ограничитель предельных режимов переложил рули на полный ход на пикирование. Хорошо, что высоты хватило и лётчики отключили автоматику.

На сегодняшний день правила проектирования гражданской авиатехники требуют:
– разнородное программное обеспечение, написанное независимыми программистами;
– разнородное железо, разработанное независимыми схемотехниками на разнородной элементной базе.

Но (!), то что было на туполевской машине – это алгоритмическая ошибка. На сегодняшний день лично я не знаю, как этого избежать. Знаю только, что планирование "пятилетку за год" способствует появлению таких ошибок.

Автор: haker_fox May 17 2018, 09:33

Спасибо огромное! Вы очень интересно рассказываете! Пойду читать ваш пост на aviaport.ru.

Автор: Ильдус May 17 2018, 09:40

Напридумывать можно без проблем, например, на реальном самолёте тормозные щитки (ТЩ) дублируётся методом секционирования.
Каждая секция выпускается / убирается подачей питания на электрогидроклапан по двух-проводной схеме.
- Если любой транзистор станет "гвоздиком", то ложного перемещения не будет.
- Если любой транзистор станет изолятором, то сработает одна из секций ТЩ (с пониженной эффективностью).

При проектировании надёжных систем всегда приходится выбирать между "плохо" и "очень плохо"

Автор: haker_fox May 17 2018, 10:16

Не подскажете, есть ли какие-либо книги, по проектированию (ну или хотя бы подробно описывающие) ЭДСУ, её особенности? Есть, конечно, в сети отрывочные документы для Airbus, но на книги не похоже.

Автор: Ильдус May 17 2018, 11:04

Есть КТ-254 http://electronix.ru/redirect.php?http://kaf401.rloc.ru/ASORLD/KT-254.pdf - такая же "библия", как Моральный кодекс строителя коммунизма", только листов много больше.

Описание ЭДСУ или СДУ (система дистанционного управления) видел только в Руководствах по эксплуатации этих систем, и то, только в объёме, необходимом для обслуживания. Собственно и для Airbus то же самое.


Есть КТ-254 http://electronix.ru/redirect.php?http://kaf401.rloc.ru/ASORLD/KT-254.pdf - такая же "библия", как Моральный кодекс строителя коммунизма", только листов много больше.

Описание ЭДСУ или СДУ (система дистанционного управления) видел только в Руководствах по эксплуатации этих систем, и то, только в объёме, необходимом для обслуживания. Собственно и для Airbus то же самое.

В интернете можно найти на Боинг (см. файл), но, я английским не владею, тем не менее у меня сложилось мнение, что у них где-то "за кадром" описания есть супер-пупер компьютер, которому они верят, как Богу.
Кстати, у них три тройки с использованием процессоров разных фирм.

Автор: Моисей Самуилович May 17 2018, 17:51

Прошу пардона за излишне резкие выражения.
Просто меня возмутило это:


Типа "Вы всё тут дураки! Читайте Шеннона как я".
В то время как именно Шеннона НИКТО и не читает. Среди разработчиков резервированных систем. Есть более прикладная литература.Хотя её крайне мало.

А использование книги Шеннона при разработке троированных систем управления - это все равно что использовать только законы Максвелла для расчета схем.

Да законы Максвелла выполняются в электрических схемах.
Но на практике мы пользуемся другими методами расчета.

Так и с Шенноном. Вещь красивая, абстрактная. Но на практике практически не применимая

Автор: Ильдус May 17 2018, 17:54

ссылку на одну из "книжек" я дал, ещё есть см. файл "Руководство по методам оценки безопасности..." - основной смысл : думать, думать, думать и не забывать про здравый смысл.

Собственно описание одного из вариантов ЭДСУ см. файл ЭДСУ-200RE_описание. - если что, то писал как бы для себя и публикую из шкурнических интересов - может быть придётся писать подобное на модификацию, поэтому моя благодарность за замечания не будет знать границ в пределах разумного.

Кстати, это тоже книжки - не верующие в книги могут не читать.

Автор: Моисей Самуилович May 17 2018, 17:59

Книг очень мало.
И причем у разных авторов зачастую прямо противоположный взгляд на методы резервирования и по разному идут расчеты надёжности.
Так что всё равно самому придётся головой думать

Кроме того, хочу заметить, что в ответственных системах кроме обеспечения низкой "вероятности отказа" не менее важно обеспечивать БЕЗОПАСНОСТЬ. А "надёжность" и "безопасность" - не тождественные понятия

Поэтому даже идут на уменьшение надежности если это приведет к большей безопасности.

Т.е. отказы бывают более критичные и менее критичные.

И зачастую чтобы снизить вероятность "опасного" отказа приходится увеличивать вероятность безопасных отказов

А что касается книг. То даташиты читайте на троированные системы.
Хороших книг по троированным системам управления практически нет.

Автор: haker_fox May 17 2018, 23:46

Господа, спасибо за информацию. Ильдус, вам отдельное спасибо за книги! Буду неспешно изучать)

Автор: Егоров May 18 2018, 15:20

Интересный подход.
Вообще-то , если система надежной не получается, то, конечно, ее лучше выбросить. Но заодно и не играться с опасными вещами.
Но чтобы продолжать работать с опасными вещами совсем без систем безопасности - что-то новенькое.
Если мы делаем систему разделения ступеней и она никак не получается требуемой надежности, то что делать? Не будем вообще ступени разделять, повременим с полетами поскольку еще не доросли, или полетим с системой уровня "как бог даст"?

Автор: novikovfb May 18 2018, 16:53

Система аварийного спасения космонавтов или кресло с катапультой для летчиков - из этой серии. Сделать абсолютно надежным аппарат не получилось, пусть будет хотя бы безопасным.

Автор: one_eight_seven May 18 2018, 17:37

То есть, сначала разработали троированное кресло, но когда оно абсолютно надежно катапультировало летчика, но кусками, то выяснилось, что это небезопасно, и пошли на снижение надёжности?

Автор: Моисей Самуилович May 18 2018, 18:08

Интересный подход: "Если задача не имеет нравящегося мне решения, значит её вообще решать не надо"


Расскажите нам об этом. Как вы к этому пришли


Вы хотите, чтобы я занялся решением ВАШЕЙ конкретной проблемы, с которой Вы не можете справиться?
Давайте тогда обсудим сумму моего гонорара



Если это троллинг - то ну очень толстый

А если кто-то не понял мои слова "даже идут на уменьшение надежности если это приведет к большей безопасности" приведу пример.

Система диагностики может не дать запустить двигатель на ракете на старте ошибочно решив, что в системе есть неисправность, хотя её на самом деле нет.
Но это лучше чем совсем убрать систему диагностики (руководствуясь придуманным идиотами правилом "чем меньше элементов в системе - тем она надёжней", правилом, которое без оговорок работает только для "систем" из двух резисторов) и пуститься с отказом, который приведёт к тому, что люди погибнут.


Таким образом мы УХУДШИЛИ надёжность. Потому что увеличили вероятность отказа.
НО.
За счёт увеличения вероятности безопасных отказов мы снизили вероятность опасных отказов в заданном интервале времени

Автор: one_eight_seven May 18 2018, 18:15

Ах вон вы про что. Это называется "подмена понятий" вообще-то. И к надёжности отношения не имеет.

Автор: Моисей Самуилович May 18 2018, 18:32

Продолжаете троллить?
Ну тогда я пас с Вами что-то обсуждать и что-то Вам объяснять.

Автор: Gorby May 18 2018, 20:22

Эээх , Мануилыч, жив курилка?!

Специально для вас некто Крупский уже довольно давно написал:
— Нет ничего практичнее хорошей теории.

Но вы же книжек не читаете..... Ттттттесла доморрррощенный, блин....

Автор: Моисей Самуилович May 19 2018, 08:35

На заборе тоже написано. А там даже дров нет.
Если такой умный сделайте из гамна систему с надёжностью 9 девяток после запятой.
Вам же Шеннон написал в книжке, что "ноу проблем", что из ненадёжных компонентов можно сделать систему с как угодно высокой надёжностью

Или рассчитайте мне схему пользуясь только 4-мя уравнениями Максвелла. Или теория Максвелла, на которой базируется всё электричество и магнетизм, недостаточно хороша и практична?

Автор: Ильдус May 20 2018, 08:34

То, что надёжность и безопасность — не одно и тоже, подтверждается хотя бы наличием стандартов по БНКТ — Безопасность, Надёжность, Контролепригодность и Технологичность, например ГОСТ Р 56079-2014 (в интернете легко найти).

А вот по поводу повышения безопасности за счёт надёжности — не согласен, они скорее дополняют друг друга. Точнее - надёжность является одной (только одной) из составляющих безопасности.

Интернет-коллеги, обратите внимание, что в одном ГОСТе находятся вместе с Безопасностью и Надёжностью ещё Контролепригодность и Технологичность.
- Если изделие не контролепригодно - качество его не возможно проконтролировать, то верить в безопасность и надёжность такого изделия могут только очень наивные.
- Если технология изготовления изделия требует золотые руки дяди Васи, то безопасность и надёжность изделия будут зависеть от того, как похмелился дядя Вася.


Коллега, извините, зачем Вы так пугаете народ? Девять девяток после запятой — это 1*10 в минус девятой степени (мне так привычнее).

Например, выписка из реальных требований из реального Тех.задания на ЭДСУ для реального самолёта:

Вероятность пассивного отказа аппаратной части, при котором рулевые поверхности и механизация останавливаются или отрабатывают в нейтральное (исходное) положение, должна быть:
- не более 1*10 минус 9 на один час полета для управления РВ;
- не более 1*10 минус 9 на один час полета для управления РН;
- не более 1*10 минус 9 на один час полета для управления элеронами;
. . . . .
Вероятность отказа, приводящего к самопроизвольному перемещению любой управляемой поверхности за пределы зоны детекции отказа не должна превышать 0,5*10 минус 9 на один час полета.
* * * * *
Эти требования обеспечивают четыре работающих в параллель подканала. Расчётная вероятность отказа 10 минус 12 и меньше. Расчёт надёжности согласовывался с экспертами из ЛИИ им. Громова.

Реализовано: на операционных усилителях 140УД6 и 1401УД2; самые маленькие транзисторы — 2Т3117 и 2Т3108; диоды — 2Д510 и матрицы 2Д906; резисторы С2-36 и С2-33Н не менее 0,125 Вт; логика собрана на 564 серии, внешние соединители — СНЦ23. Блоки вторичного электропитания — импульсные, с рабочей частотой 2400 Гц (не ошибка, именно 2,4 кГц).

Вся электроника расположена в двух шкафах по 30 кг, разнесённых по разным бортам. Потребление — 1 кВт.

Автор: haker_fox May 20 2018, 13:26

А вы имеете право назвать модель самолёта?

Автор: Ильдус May 20 2018, 15:05

Многоцелевой самолёт-амфибия Бе-200ЧС.

Автор: haker_fox May 21 2018, 04:24

Не в коем случае не подвергаю ничего сомнению и никакой критике... но... почему 564-я? А как же процессоры или микроконтроллеры?

Автор: Ильдус May 21 2018, 05:12

В 1998 г., когда мы разрабатывали этот вариант ЭДСУ, я о процессорах что-то знал, а микроконтроллеры... - даже слов таких не знал.

Автор: haker_fox May 21 2018, 05:20

Теперь понятно. Я знаю, что Бе-200 довольно взрослый самолёт, ведь его собирали у нас в Иркутске на авизазаводе, и очень часто приходилось слышать эту марку))) Т.е., по-сути, разрабатывали ЭДСУ на той базе, которая была известна? И если бы знали доскольнально тот же i80486, то могли бы сделать и на нём? Или какие-то ограничения всё-таки имелись?

Автор: _Vova May 21 2018, 06:47

это же не вычислитель, и как МП может заменить кучу логических вентилей?

Автор: Ильдус May 21 2018, 07:08

Лично я считаю, что любителей иностранщины (импорта) надо судить за измену Родине
Да и в те годы особого доверия к цифровой технике у нас не было.

Сегодня есть российские (конкретно не знаю, я по крупному – по системе) При модернизации применим и процессоры, и микропроцессоры, и ПЛИСы.
Но (!!!) ошибки и в "железе", и в программном обеспечении никто не отменял, поэтому подканалы должны быть разнородными по "железу" и ПО. См. КТ-178В - сегодня действует уже КТ-178С (DO-178С)

Автор: haker_fox May 21 2018, 07:37

Вообще не понял, какая разница МП может заменить любую логическую схему с соответствующим программным обеспечением, другое дело, что быстродействие может пострадать. Но, поскольку речь идёт о приводах, полагаю, что здесь не имеет большого значения. Да. не вычислитель. Но вычислительная техника может привнести много новых возможностей, которые делать на логических элементах просто невыгодно.


Я работаю со схемотехникой профессионально почти каждый день. И как бы не сильна была моя любовь к Родине, но я куплю импортный stm32f103 индустриального диапазона за 100 р, а не керамический отечественный клон с военной приёмкой за 20000 руб.

А логические элементы разве не относятся к цифровой технике? И потом, из отечественных были клоны импортных микропроцессорных комплектов. Тажа древняя, но всё-таки серия КР580.

Понятно.

Автор: kolobok0 May 21 2018, 15:56

о как. видел как летал самолёт в 1989, январь-февраль ... но погуглив, понял что видел А-40.
Промеряли бухты черноморского региона на взлёт-посадку.
А производят и тот и тот вроде бы у Бериева, в Таганроге?


(круглый)

Автор: Ильдус May 22 2018, 09:15

А оно надо?
Если руководствоваться здравым смыслом и делать только то, что нужно – результат просто удивительный.
Например, в этом году рассекретили и опубликовали Научно-технический отчёт по "Луноход-2"
http://electronix.ru/redirect.php?http://russianspacesystems.ru/wp-content/uploads/2018/01/1973_Radiotekhnicheskiy_kompleks_Luna21_Lunokhod_2.pdf
– На радиолампах, с транзисторами, разряды в последовательном цифровом коде переключались релешками… – преклоняюсь перед разработчиками тех времён!!!
* * * * *
В начале 80-х годов прошлого столетия на нашей фабрике была проведена экспериментальная работа по замене одного резерва аналогового вычислителя СДУ-10 (для Су-27) на цифровой вычислитель (или правильно говорить "вычислитель на вычислительной технике" ).
Цель - определить способность цифры считать так же быстро, как аналог. Результат превзошёл ожидания, но, работы были прекращены.

Почему? – В 1983 г. произошло падение истребителя “Торнадо” вследствие отказа вычислителя системы воздушных сигналов, вызванного воздействием сильных электромагнитных полей. Значение электрической составляющей напряженности электромагнитного поля в районе места падения, находящегося в районе передатчика “Голос Америки”, составляло 70 В/м.
Для справки: напряжённость, создаваемая молнией – до 900 кВ/м.

При этом в начале 80-х Су-27 с аналоговой СДУ испытывался на воздействие высоко-интенсивных электро-магнитных полей с положительным результатом.




Где производят Бе-200, см здесь http://electronix.ru/redirect.php?https://russianplanes.net/planelist/Beriev/Be-200

А-40 не производят ни где. Последний прототип распилили на металлолом лет десять назад.

Автор: haker_fox May 23 2018, 07:48

Странно. В одном из постов вы сказали, что ничего не знали о микроконтроллерах, а о процессорах - только слышали. Вот я и сделал вывод, что сделали на том, что знали. Это не хорошо и не плохо. Если прибор выполняет то, что он него требуют.

А у них другой элементной базы и не было. Т.е., цифровые микросхемы были, но могли не проходить по требованиям. Да, люди делали на транзисторах, реле и лампах то, что сейчас можно сделать на современных микросхемах. Да и далеко сейчас уедем, если будем использовать схемотехнику 70-х, 80-х.

1983 год закончился 35 лет назад))) Сейчас 2018. На микропроцессорах и микроконтроллерах летают "эйрбасы", "боинги". Вы же это не хуже меня знаете. И, я полагаю, современные системы более экономичны в планет энергопотребления, проще в диагностике, отладке, калибровке и настройке. Надёжность их выше, хотя бы по причине высокой интеграции схемы на куске кремения. Они открывают широкие возможнсти: ну хотя бы банальное логгирование. Ведь в воздухе разно может быть. Прилетел на землю, посмотрел лог, сделал выводы. Система сама может сообщать о том, что в ней что-то пора заменить, или обслужить, или выбросить. Конечно, с одной стороны есть мудрость: работает - не трогай. Но так можно было бы до сих пор на паровозах ездить, а то и на тележке с лошадью)))

Я не специалист в авионике. Интерес к ней у меня сугубо личный, как к произведению искусства. Но поскольку я немного в теме (занимаюсь электроникой и программированием), то некоторые ваши утверждения у меня вызывают как минимум вопросы. Которые я и задаю))) Надеюсь, без обид.

З.Ы. Тут самое главное не оправдывать старые подходы нежеланием изучать новые возможности. Хотя иногда я сам этим отличаюсь))))

Автор: AlexandrY May 23 2018, 08:52

Вы неправильно интерпретируете стандарт.

Контролепригодность - это возможность контроля заданными средствами.
И там не про технологичность, а про ремонтную технологичность

А цифры 10^-9 как-то выглядят нереально.
Т.е. их нельзя перепроверить на промежутке менее 100 лет. А именно такой горизонт принято считать предельным в промышленности.
У самого высокого уровня эффективности защиты в промышленности стоит цифра 10^-7
И эта цифра применяется к рискам с катастрофическими последствиями.

Автор: haker_fox May 23 2018, 11:10

Вы не занимаетесь такими изделиями? Если да, то могли бы привести ссылки. Ну пусть даже, если это не ваши изделия. Вы их где-то приводили, но я найти не могу(((

Автор: AlexandrY May 23 2018, 12:39

Вот: EN ISO13849-1 (PLe/Safety Category4), IEC 61508 (SIL3) certified


Или вот две стороны другого контроллера



Если заглянуть в EN ISO13849-1 то там PL (Performance Level) уровня "e" - самый высокий уровень безопасности в промышленности.
И ему соответствует уровень надежности функций безопасности в 10^-7
Надежность других функций (не функций безопасности) конечно можно поднимать и выше, только кому это надо?

Автор: Ильдус May 23 2018, 17:21

Вы о "промышленности", а я об авиации. Для примера выписка из "Библии" разработчиков авиационной техники:
4.7. Отказное состояние (функциональный
отказ, вид отказа системы) может быть отнесе-
но к событиям практически невероятным, если
выполняется одно из следующих условий:
(а) Указанное состояние возникает в резуль-
тате двух и более независимых последователь-
ных отказов различных элементов рассматри-
ваемой системы или взаимодействующих с ней
систем с вероятностью менее 10 в минус 9 на час полета
по типовому профилю;
"Авиационные правила. Часть 25. Нормы лётной годности самолётов транспортной категории"
(См. файл)
* * * * *
Кстати, это согласуется с "Вашими промышленными" 10 в минус 7.
Если мне не изменяет склероз, то в НЛГС (Нормы лётной годности гражданских самолётов СССР) было приведено обоснование этих требований:
– по экономическим соображением и экспертным оценкам для общества приемлема авиакатастрофа (гибель людей) не чаще, грубо говоря, чем один случай на 10 млн. часов полёта (вспоминаем исландский вулкан Э́йяфьядлайё̀кюдль, из-за которого авиационные власти Европы отменили авиарейсы 16—20 апреля 2010 года в его районе – сколько было недовольных пассажиров, а авиакомпании даже проводили опытные полёты без пассажиров для доказательства безопасности). Далее, по экспертным оценкам на абстрактном самолёте 100 критических систем (которые могут угробить пассажиров и экипаж) – отсюда требование 10 в минус 9 степени.
* * * * *
Поскольку эти цифры действительно нельзя проверить опытным путём, то эксперты по авиационной безопасности расчёты надёжности с результатом хуже 10 в минус 12 даже смотреть не будут.
* * * * *
В АП-25 на стр. 236 (электронной) приведены определения разных ситуаций на самолёте с соответствием показателей надёжности.


Ничего странного! Я же сказал о себе, а не за всю авиацию.
В соседнем отделе разрабатывали (и разработали) систему автоматического управления (САУ-10) на процессоре на тот же Су-27. Но !!! САУ можно отключить. Из той же "Библии" АП-25:
8.2.7.12. При автоматическом управлении
полетом самолета с исправной САУ пилотам
должна быть обеспечена возможность взятия
управления на себя (вмешательства в управле-
ние самолетом) путем воздействия на основные
рычаги управления без каких-либо дополни-
тельных действий по отключению САУ.

На ручке управления самолётом даже есть (была) кнопка КБО - кнопка быстрого отключения САУ. Причём КБО располагалась так, что бы можно было быстро на неё нажать большим пальцем держащей ручку руки.

Т.е. в критических системах к вычислительной технике относились в то время с большой опаской.
К тому же на истребителе военному лётчику платят (или думают, что платят) за то, что он рискует жизнью.
В гражданской авиации пассажир платит, что бы его доставили из тчк. А в тчк. Б без повреждений.

Автор: Ильдус May 23 2018, 20:04

Сегодня летают на процессорах не только "их" эрбасы и боинги, но, и наши самолёты. Просто речь шла, что девять девяток после запятой не такое уж и страшное требование даже для "антиквариата" электроники.

Автор: haker_fox May 23 2018, 23:58

С этим я абсолютно согласен. Я бы и сам поопасался лететь на самолёте без механического резервирования. В airbus он точно есть, называется "mechanical backup". Я прекрасно понимаю, что электроника может дать сбой, может элементарно лишиться своего питания и т.д. и т.п. В тоже время, как механика и гидравлика (спорно) более надёжна в плане отказа, хотя бы из-за огромной проверки временем. Но вот незадача. Airbus A380. Огромнейшая машина. Такой чисто механически трудно управлять. Всё равно нужны какие-то бустеры, гидравлика, например.


Да, конечно. Сухой Суперджет хороший тому пример. Я подразумевал, что "они" пришли к этому раньше в гражданской авиации.

P.S. Спасибо за документ! Очень интересный!

Автор: AlexandrY May 24 2018, 04:53

Да нее...
Я думаю считается так -



Т.е. берем самую обычную ненадежную электронику, хуже чем те же Safety контроллеры с фоток выше и резервируем каждую, т.е. далаем так чтобы поломка была только когда сбойнут обе вместе.
И тогда мы для 100 независимых таких систем и получим ту заветную десятку с 9-ю нулями после запятой.

Очевидный трюк.
В промышленности делается точно также - оговаривается обязательность дублирования функций безопасности.

Автор: x736C May 24 2018, 13:21

Почему трюк-то? Это базовые теоремы теории вероятностей Абсолютно научный подход.

Тут можно еще сказать, что ваши 10^-7 на блок получаются из 10^-12..10^-9 на отдельные компоненты, которые тоже получают используя «трюки» и небесспорные методики.

Автор: novikovfb May 24 2018, 13:33

Потому что теория вероятности распространяется только на случайные события. На столь малых вероятностях у меня нет уверенности, что они будут реально случайными, а не связанными и закономерными (маловероятные внешние воздействия, человеческий фактор и т.п.). Использование разнородных компонентов в резервированных системах, конечно, сглаживает связь между возможностями отказов, но всё-же, людям свойственно ошибаться.

Автор: x736C May 24 2018, 13:41

Если у вас уже есть значение апостериорной вероятности отказа (10^-7, например), то и оперировать такими значениями вы можете, опираясь на теоремы, производя перемножение, сложение и т.п.
«реально случайными, а не связанными и закономерными». Эта фраза не понятна, если честно. Что значит, реально случайными

Автор: novikovfb May 24 2018, 14:27

Насчет теорем, сложения, перемножения и т.п. - понятно. Но они работают для не связанных между собой событий.
"У каждой аварии есть конкретные имя, фамилия и должность" (Лазарь Каганович)
Например, отказ одного канала в резервированной системе вызван отказом резистора (треснула керамика в результате нарушения технологии производства). Какова вероятность, что при нарушении технологии треснет только один резистор в резервированной системе, где во всех каналах использованы резисторы того же типа?
При этом отказ конкретного резистора имеет вероятность, не противоречащую ТУ на него. И имея вполне определенную вероятность отказа для одного канала резервирования, посчитанную по нормативной документации и проверенную на опытной партии приборов, распространять полученные данные на все приборы - разрешенное трюкачество. Потому что мы не можем знать конкретное будущее конкретной детали в конкретном приборе и полагаемся на вероятности. И для большого количества случаев эти вероятности будут работать. Вероятность отказа 10^-7 будет подтверждаться при 10^7 опытах, даже при 10^6 опытах.

Автор: a123-flex May 24 2018, 21:42

вы же вроде фанат philips ? а тут стм ?
любопытно это ваши лифты ? или это не ваш продукт ?


что за хрень. мне кажется в этих раскладках от уважаемого Ильдуса есть и большой смысл и большой интерес. Многократное резервирование процессорных систем мне кажется весьма мутной затеей.

вопрос имхо классический: а судьи кто ?

Ильдус и спасибо что делитесь опытом.

Автор: Ильдус May 25 2018, 09:07

Ну, это Вы так думаете. Я знаю людей (зам. главного конструктора и выше), которые считают теорию надёжности лженаукой, хорошо, что не "продажной девкой империализма" (с)


Ошибка может быть (и точка!), и никак не обсчитывается.
В авиации принято: "один делает, другой проверяет" – сейчас, к сожалению, это часто нарушается.
Помимо этого в гражданской авиации вводится требование на разнородных (не зависимых) производителей и разработчиков. – Минимизируется вероятность негативного влияния ошибок (хотя ошибки и не обсчитываются).



По поводу разнородности компонентов здесь уже писалось.

Уже давно ни одна авиакатастрофа не является следствием какого-то одного события – всегда комплекс разных факторов. Посмотрите в файле рис. 2-11А и 2-11В на стр. 35, 36 (электронных).

Что касается нарушения технологии производства, то на серьёзных предприятиях раз в год или один раз на партию проводят квалификационные испытания – испытания, подтверждающие, что предприятие способно производить продукцию заданного качества. Хотя, знаю случаи, когда на участке изготовления оставались три пенсионерки и качество – никакое.

Посмотрите в файле рис. 2-2 на стр. 21 (электронная). Заодно рис. 2-3
В авиации отказы техники при катастрофах давно не на первом месте. На рис.2-2 "Человеческие факторы" (так переведено) – это ошибки лётчиков.
"Организационные факторы" (так переведено). . . то, что менеджеров не посчитали за человеков, я согласен

Автор: haker_fox May 25 2018, 10:22

Во-первых, следите за словами.

Во-вторых,мы с уважаемым Ильдусом уже давно дискутируем (именно потому, что у него огромный практический опыт и мне это как раз интересно), потрудитесь почитать сначала.

Посмотрите на структурные схемы систем управления полётом Airbus & Boeing. Здесь они выкладывались. А казаться может многое...


Этот вопрос я уже задавал. Правда в другой ветке. Вот http://electronix.ru/redirect.php?https://electronix.ru/forum/index.php?s=&showtopic=146781&view=findpost&p=1558216
И ответ на этот вопрос находится как раз в этой ветке, только чуть по-ближе к началу.

А вообще, вы, собственно говоря, что сказать-то хотели?

Автор: a123-flex May 25 2018, 17:03

Я извиняюсь, был неправ

Автор: Моисей Самуилович May 26 2018, 06:33

Трюк.

Да и само понятие вероятности - какое-то лукавое.
Вряд ли кто-то погибая в аварии будет радоваться тому, что вероятность этого события была равна 1e-7, а не 1e-5.

Почему я считаю понятие вероятности "лукавым", потому что оно не конкретное. И его нельзя точно измерить
И вообще оно изначально придумано для серий в миллиарды штук (или событий). Для МАССОВЫХ явлений
Берём миллиард самолетов и если один из них отказывает за год, то только в этом случае корректно говорить о вероятности отказов 1e-9 в год.
Да и то, это мы определили вероятность отказа не для данного конкретного самолёта, а для всей серии в миллиард штук.
И даже это не говорит, что в следующий год тоже откажет только 1 самолёт из миллиарда.
Так что понятие "вероятности отказа" - это эфемерное понятие.
Пока не проведёшь опыт - её не определишь. А как ты её определил, это уже ПРОШЛАЯ вероятность.
А не настоящая или будущая.

Поэтому всем этим цифрам и расчетам надёжности я не доверяю.

При этом инженер должен знать: какие решения надёжней, какие нет.

Какие увеличивают надёжность, а какие, напротив, уменьшают.
Но полностью доверять расчётным цифрам такого виртуальной эфемерной величины, как вероятность отказа для единичных изделий я бы не стал

Ещё дополню.
Устройство с p=1e-9 может отказать через день, а устройство с p=1e-5 проработать целый год гне отказав.
Так что в реальной жизни на понятие "вероятность отказа" нельзя опираться

Повторюсь, то понятие применимо для гигантских серий изделий, для массовых явления.
А для данного конкретного устройства, изделия, опыта - оно практически бесполезно

Автор: AlexandrY May 26 2018, 08:37

Все хуже.
Перед тем как считать надежность и применять ее к функциям безопасности нужно определить риски.
И тут стандарты либо молчат либо вступают в силу совершенно специфичные мелкие отраслевые стандарты.
Их пишут уже все кто не попадя. Но в основном на базе уже произошедший эксцессов, не учитывая развития технологий.
Либо при отсутствии стандарта регламентируется организация процесса оценки рисков без всякой гарантии что все риски будут оценены.
Так вот все вероятности теряют смысл если вы упустили какой либо риск.

Т.е. что-то должно произойти прежде чем люди увидят риск.

Автор: Ильдус May 26 2018, 09:51

Для авиации риски давно определены в авиационных правилах, например, в АП-25, которые я приводил здесь:
http://electronix.ru/redirect.php?https://electronix.ru/forum/index.php?s=&showtopic=95272&view=findpost&p=1563279

Кстати, авторство АП-25 принадлежит МАК — межгосударственный авиационный комитет, который объединяет страны СНГ.

АП-25 гармонизированы с FAR 25 — Нормы лётной годности США и CS 25 — Нормы лётной годности Евросоюза (даю сокращённые названия).
- согласитесь, что это далеко не «специфичные мелкие отраслевые стандарты».

Изначально риски оценивает ИКАО, например:
Приложение 6 к Конвенции о международной авиации.
Часть II
Международная авиация
общего назначения. Самолеты.
Стр.19-20 (электронные).
Уровень безопасности. Применение положений настоящего Приложения должно обеспечивать приемлемый
уровень безопасности пассажиров и третьих сторон (под третьими сторонами имеются в виду лица на земле или лица в воздухе на борту других воздушных судов). Кроме того, поскольку некоторые полеты воздушных судов
(массой, как правило, до 5700 кг) международной авиации общего назначения будут выполняться менее опытными и
менее квалифицированными экипажами, с использованием менее надежного оборудования, в соответствии с менее
строгими стандартами и с большей свободой действий, чем полеты воздушных судов, относящихся к коммерческому
воздушному транспорту, было признано в этой связи, что пассажиру такого воздушного судна международной
авиации общего назначения не будет непременно обеспечен тот же уровень безопасности, что и пассажиру,
оплачивающему по тарифу стоимость пользования коммерческим воздушным транспортом. Однако было признано,
что путем обеспечения приемлемой степени безопасности для третьих сторон будет достигаться и приемлемый
уровень безопасности для летных экипажей и пассажиров.
(конец цитаты, см. файл)

Прошу прощения, но, это написано в большей степени юристами, поскольку риски — это не техническое понятие, а связанное во многом с психологией общества.
* * * * *
Требуемые уровни безопасности (риски) и соотношение их с показателями надёжности есть в АП-25.

Автор: Моисей Самуилович May 26 2018, 10:05

Ага. Банально монтажница провод плохо припаяла. Как это учесть в формулах расчёта надёжности?

Поэтому мы, разработчики ответственных систем, "не мудрствуем лукаво"© играясь с математическими узорами (формулами расчета надёжности), а используем троирование.

Оно хоть в какой-то степени нивелирует "упущенные риски" и пресловутый "человеческий фактор"


Не соглашусь. Очень даже техническое.
Как на гильотинных ножницах снижают риск того, что оператор отрежет себе руки или голову?
Чисто технически: делают педаль и две кнопки.
Т.е. гильотина может быть запущена только если одна рука оператора на одной кнопке, вторая на другой, а нога на педали.

Как видите, снижение риска решается чисто техническими методами

Ильдус
Или про самолёты, раз уж Вам данная тематика близка.
Какому-то уроду пришло в голову в новой модификации самолёта поменять педали "газ" и "тормоз".
Увеличили он этим риск? На порядки. Потому что у лётчика уже рефлекс где должен быт газ и тормоз.
А инженер взял и поменял ПРИВЫЧНОЕ расположение органов управление и этим увеличил риск катастрофы на порядки.

Это в каких-нибудь Ваших нормативных документах прописано?

Автор: Ильдус May 26 2018, 10:12

Коллега, что же Вы так любите кидаться большими цифрами?
Я приводил требования 1е-9 для одной из критических систем самолёта. На гражданский самолёт транспортной категории даётся вероятность 1е-7 на час полёта.

Вы, считаете теорию надёжности «лженаукой и продажной девкой империализма» (с), поэтому Вы не обратили внимания, что вероятность — это безразмерная величина, а я её привожу на «на час полёта».
- Так принято в среде авиационных экспертов. Считается надёжность в типовом полёте типовой длительности, и, для удобства восприятия полученная безразмерная надёжность делится на длительность этого типового полёта.
Следовательно, для длительности полёта 10 часов (не самая большая, от Москвы до Владивостока ИЛ-62 тратил 9 часов), вероятность катастрофы 2е-6 — грубо говоря одна катастрофа на миллион часов.

Здесь http://electronix.ru/redirect.php?https://aviationtoday.ru/poleznoe/skolko-samoletov-nebe.html можно посмотреть сколько самолётов находится единовременно в воздухе — порядка 25 тыс. в день.

- Получаем в год 9 млн. 125 тыс., и если это не массовое явление, то я умолкаю.
При этом не забываем, что гражданская авиация появилась не десять и не 20 лет назад, поэтому статистика катастроф есть и есть статистика отношения общества к «частоте» этих катастроф — отношение к риску.

А то, что существует вероятность отказа через несколько часов работы для любой, сколько угодно надёжной системы... хоть сто-кратно резервированной — Да!!! Есть такая вероятность, абсолютно надёжного нет ничего. Есть «красная черта» (как модно сейчас говорить), до которой общество готово мириться с безнадёжностью.

Автор: Моисей Самуилович May 26 2018, 11:38

Это я не люблю "кидаться большими числами".
Это само понятие "вероятности" математики придумали для описания этих самых "больших чисел".
А некоторые пытаются "натянуть сову на глобус" и использовать это понятие для описание ОДНОГО(!!!) устройства. Когда я намекаю на то, что это не совсем корректно, и что практически бесполезно - люди встречают это в штыки


В этом случае - эта вероятность скорей юридическая величина, а не физическая.
Потому что
а) Никто её не измерял
б) Она не гарантирует, что не будет аварии
Написать можно всё что угодно (бумага всё стерпит), чтобы удовлетворить тем или иным юридическим документам.



Именно так.
Она нужна для очковтирательства и для юридических документов. Ну и для рекламы


В технике ВСЕГДА когда говорят "вероятность отказа" подразумевают какой-то временной интервал (час, год и т.д.). Я думал это очевидно всем


Тем не менее, это не гарантирует, что конкретно Вы не разобьётесь, когда полетите.
И смысл тогда всех этих манипуляций с математическими значками?

Автор: x736C May 26 2018, 12:08

Никто не дает никаких гарантий и даже не пытается это делать. Одно событие более вероятное, другое менее. Вы же с этим не будете спорить? Степень этой вероятности можно рассчитать, померить, предположить, обеспечить и т.д. По крайней мере люди уже довольно давно всячески пытаются это делать и у них это получается. Более чем за сто лет построен математический аппарат, который прекрасно работает и великолепно себя зарекомендовал. Вы пытаетесь философствовать на темы, в которых некомпетентны. Надо просто открыть книгу и почитать.

И еще скажу, чтоб два раза не вставать. Какие миллиарды, какие большие числа?)) Побросайте монетку хотя бы, чтобы посмотреть на каких числах уже начнет работать теория вероятностей и с какой погрешностью. Хрестоматийный пример из введения к учебнику. Если вы играете в домино или в карты на деньги, игнорируя базовые принципы теории вероятностей с человеком, который их активно использует, то уже после десятка игр вы скорее всего будете в минусе. Хотя гарантий этого нет и никто не пытается их вам дать. Просто более выигрышная стратегия поведения, которая работает.
То, что прибор с надежностью 10^-9 может отказать через час, а прибор с 10^-7 не откажет и через год — это схоластика чистой воды. Совершенно очевидна вещь, которая не отменяет научные постулаты ни на йоту.


это пять баллов!)))

Автор: Моисей Самуилович May 26 2018, 12:43

Как раз об этом я и говорю, что "померить" её невозможно.
А даже и померив - мы узнаём какой вероятность БЫЛА, а не какая она сейчас
Расчитать? А как Вы учтёте в расчётах, что монтажница плохо провод припаяла в разъёме?

А вот повысить надёжность можно. В технике есть для этого разные методики. Например троирование


Вы книжки читаете. И по книжкам о всем судите. А я более 30 лет проектирую резервированные системы управления.
И знаю о чем говорю.


Вы сравнили х..й с пальцем. Тёплое с мягким.
Сложную систему с подбрасыванием монетки


На монетке?
А что мне поподбрасывать в случае сложной радиоэлектронной системы? Не скажете?
Вот и получается, что "Теория вероятностей" "работает" на простейших выхолощенных моделях, где можно отбросить кучу несущественных факторов.

А что делать в случае сложных систем?
Дуру монтажницу отбросите? Ил идиота проектироващика, который неправильно использует элементную базу? Или придурка программиста?

Как Вы их всех учтёте в уравнениях?


Пока Вы "наукой" занимаетесь, я обеспечиваю безопасность людей.
Поэтому у нас с Вами разное мировозрение и мы друг друга не поймём.
Вы жонглируете математическими значками, а я обеспечиваю надёжность практически

Автор: haker_fox May 26 2018, 12:53

Какие ваши предложения?

Автор: Моисей Самуилович May 26 2018, 13:10

Больше учить инженеров ПРАКТИЧЕСКИМ навыкам проектирования надёжных систем, а не математическими значками манипулировать.

Опытный инженер знает, что монтажница может накосячить, что молодой инженер может ошибку в схему сделать и прочее.. Что уборщица может шваброй кабель вырвать, что могут поставить контрафакт, что из-за отстутвия транзисторов такой марки, поставят другой и прочее и прочее

а книжный специалист, "теоретиг" считая вероятность ничего не знает про то, как РЕАЛЬНО создаются, работают и обслуживаются сложные системы. Он свои формулы применяет для какой-то абстрактной системы в вакууме

При расчетах вероятности отказа для систем "теоретиги" на такую тьму ЗНАЧИМЫХ факторов "закрывают глаза", не обращают на них внимание, отбрасывают, не учитывают в расчетах, что практическая ценность их вычислений сводится к нулю.

И эти расчеты нужны просто чтобы "натянуть сову на глобус" - пройти аттестацию, получить какие-то разрешительные документы и прочее.

Т.е. эти расчеты чисто юридического плана. Они должны быть иначе тебе не дадут соответствующие разрешительные бумаги

Вот и всё.

Это реальная жизнь, малята.

Автор: haker_fox May 26 2018, 13:41

У кого? Да и вы чем подтвердите свой опыт?



А вот это уже как минимум заносчиво.

Автор: Ильдус May 26 2018, 16:38

Здесь, на этой ветке, некто Моисей Самуилович объяснял, что надёжность и безопасность — две большие разницы. Вы его случайно не знаете?

Что такое надёжность в технике, можно прочесть в ГОСТ 27.002-89. О безопасности там нет ни слова.

Для тех, кто больше верит «один Ильдус написал», а не первоисточникам, привожу цитату:
Надёжность -- Свойство объекта сохранять во времени в установленных пределах значения всех парамет­ров, характеризующих способность выполнять требуемые функции в заданных режимах и ус­ловиях применения, технического обслуживания, хранения и транспортирования. (выделено мной).

На обеспечение безопасности направлены документы несколько иного склада, например, приводимое здесь http://electronix.ru/redirect.php?https://electronix.ru/forum/index.php?s=&showtopic=95272&view=findpost&p=1563606 «Руководство по управлению безопасности полётов» - РУБП (так переведено, хотя по смыслу речь идёт о всех аспектах авиационного транспорта).

Здесь http://electronix.ru/redirect.php?https://electronix.ru/forum/index.php?s=&showtopic=146262&view=findpost&p=1556348 например, я упоминал «Правила устройства электроустановок» - 330 страниц текста, и ни одной цифры вероятности отказа — весь текст направлен на обеспечение безопасности. Это тоже «Библия», рассчитана на инженерно-технический персонал, занятый проектированием, монтажом и эксплуатацией установок электрического освещения, а также электрооборудования специальных установок.

Я здесь как-то упоминал «Расчёт надёжности». Кроме этого документа для критических систем делается «Анализ функциональных отказов. (Отказобезопасность)» - несколько человек, включая независимых экспертов, несколько месяцев анализируют каждую функцию системы, определяют последствия отказов разных узлов..., привязывают это к ожидаемой надёжности из «Расчёта надёжности»..., составляют план мероприятий что и где это проверить, оценить (в полёте, на пилотажном стенде или стенде натурного моделирования..., по аналогии...)



Не знаю. Мне педали газа на небольшом количестве типов, с которыми я имел дело, не попадались. См. фото: высокие рычаги по центру приборной панели — это РУДы (рукоятки управления двигателями), а слева «лежачие» с красными наболдашниками — аварийные тормоза (что бы резко тормозить, если в полёте неожиданно по курсу появится дряхлый пенсионер ), на другом снимке правый пилот держит левую руку на РУДах

Возможно Вы имели в виду катастрофу Як-42 с хоккейной командой 07 сентября 2011 г. в районе аэродрома г. Ярославля.

Меня в советском институте на предмете «марксистско-ленинская философия» учили, что читать надо первоисточники.
Здесь http://electronix.ru/redirect.php?https://mak-iac.org/rassledovaniya/yak-42-ra-42434-07-09-2011/ можно скачать «Полный текст Окончательного отчета по катастрофе самолета Як-42Д RA-42434...» - достаточно полная информация, в частности:

«... проходил программу подготовки для ввода в стой на ВС Як-42 в качестве второго пилота .... продолжая выполнять полёты в качестве КВС (командира воздушного судна)-стажёра на ВС Як-40.
Одновременное освоение двух типов ВС не предусмотрено программами подготовки лётного состава...» (стр.35)
- В чистом виде «организационные факторы» (рис. 2-2 из РУБП) оказались причиной трагедии.

Про тормозные площадки на педалях там тоже написано. И почему на Як-42 они не такие, как на Як-40.



Обратите внимание:
Авиакатастрофа с Ярославской командой произошла по «организационным факторам» в 2011 г., а о том, что «организационные факторы» на первом месте в РУБП было написано в 2009 г. (может и раньше, просто я не смотрел)

Автор: AlexandrY May 26 2018, 17:53

Ну хорошо с авиацией мы разобрались.
Эта та самая одна из отраслей, и не факт что инженерам других отраслей можно оттуда что-то позаимствовать.
Потому как список рисков в авиации формирует MAК, если я верно понял, и это огромный коллегиальный орган.
Учел все риски MAK-а при разработке и ты чист.

Вы дайте мне методу как мне одному без размазывания ответственности по коллегам оценить все риски в полном объеме.
Чем может угробить или покалечить мое оборудование юзера, а если покалечить, то как - серьезно или не серьезно?
И юзеры часто будут калечится или редко и по какой причине?

Вон тот же искусственный интеллект, сфера гораздо горячее и опаснее авиации.
Uber на автопилоте спокойно задавил пешехода. Оцените-ка там риски или хотя бы скажите как их оценивать. В авиации же так много наработок.

Автор: Ильдус May 26 2018, 19:28

Зачем Вам одному это? - Всё знать не возможно!

Если Вы делаете для себя, то риски Вы определяете себе сами.
Например, если я делаю для себя аппарат магнитотерапии, то с электробезопасностью особо не заморачиваюсь, хотя знаю (в общих чертах) требования, предъявляемые к медицинской технике.

Если речь идёт, например, о воспитании детей, то, зная, что ребёнок маленьким молоточком особо не поранится, «рискую» дать забить гвоздь.
Так же, зная, что на выключенном (отключённом от источника питания) сверлильном станке ребёнок особо не поранится — даю свободно играть.
Зная, что я хорошо научил ребёнка приземляться на «ноги-пружинки», разрешаю прыжки.
* * * * *
Если Вы хотите лично один разработать народно-хозяйственную продукцию, изучите ГОСТ Р 15.201-2000 и все ГОСТы, на которые там есть ссылки...

Заземление должно выполняться с требованиями ГОСТ 12.1.030 и ГОСТ 15151... Присоединительные элементы заземления должны быть расположены в местах, обеспечивающих удобство контроля их переходного сопротивления в процессе изготовления и эксплуатации аппаратуры. ...

...Требования к чистоте воздуха устанавливают в соответствии с положениями, установленными в ГОСТ 17433.
Степень защиты аппаратуры оболочками выбирают в соответствии с ГОСТ 14254.

Масса отдельных узлов и блоков аппаратуры должна быть не более 30 кг. Узлы и блоки аппаратуры массой свыше 30 кг должны иметь устройства для их подъема и удержания в поднятом положении при монтажных работах и техническом обслуживании (ручки, рым-болты и т.п.)....

.... Средства измерения должны быть обеспечены методами и средствами поверки. Поверка должна осуществляться в соответствии с требованиями ГОСТ 8.437, ГОСТ 8.508, ГОСТ 8.401, ГОСТ 8.061, ГОСТ 8.207, ГОСТ 8.395 и других действующих нормативных документов по метрологическому обеспечению.
....
Элементы должны применяться в условиях и режимах, соответствующих требованиям, указанным в стандартах и ТУ на них.
...
Металлические и неметаллические неорганические покрытия должны соответствовать требованиям ГОСТ 9.301
Лакокрасочные покрытия должны соответствовать требованиям ГОСТ 9.032
...
При питании аппаратуры от Госэнергосети общего назначения она должна сохранять работоспособность при нормах качества электрической энергии, установленных в ГОСТ 13109.
...
При конструировании аппаратуры должны быть учтены антропометрические показатели человека-оператора, указанные в ГОСТ 21114.
...
Требования безопасности электротехнической аппаратуры - по ГОСТ 12.2.007.
...
Конструкция аппаратуры должна обеспечивать защиту персонала: - от поражения электрическим током; - от энергетической опасности; - от воздействия высоких температур; - от воздействия ионизирующих и электромагнитных излучений; - от последствий взрыва взрывоопасных элементов, устройств, веществ и материалов; - от огня; - от движущихся частей аппаратуры, а также неустойчивости ее отдельных составных частей при воздействии на них механических нагрузок; - от вредных и опасных веществ, образующихся при функционировании аппаратуры, а также при воздействии внешних факторов.

Для обеспечения безопасности и отражения особенностей эксплуатации аппаратуры должны быть предусмотрены: - инструкция по мерам безопасности обслуживающего персонала при ее эксплуатации, ремонте и проведении профилактических работ; - предупреждающие знаки и специальные надписи (таблички), размещенные в легко доступных для наблюдения местах. Предупреждающие знаки и надписи должны быть выполнены красным цветом. Если аппаратура в процессе эксплуатации будет освещаться красным светом, то надписи должны быть выполнены белым цветом.
...
Выполняйте все требования всех ГОСТов и у Вас всё будет безопасно.
У Вас ещё не пропало желание что-то одному разрабатывать?

Автор: Моисей Самуилович May 26 2018, 19:46

Вот именно. Там чистой воды юриспруденция. На базе одних бумажек написал другие и ты чист перед законом. И у тебя "зад прикрыт" если что.

Т.е. это всё, что описал наш коллега, чистой воды бюрократическая чехарда, чтобы "прикрыть свой зад" разного рода бумажками, чтобы в случае чего не оказаться на нарах. Вот и всё.
К обеспечению надёжности всё это имеет весьма косвенное отношение.
Надёжность обеспечивается инженерами-проектировщиками, которые закладывают надёжные решения в вои разработки

Ильдус
У Вас часто встсречается "должна соответствовать ГОСТ такому-то"

Уверяю Вас, это совершенно недостаточно.

Чувствуются Вы уже мутировали и теперь больше юрист, чем инженер. Что для Вас главное "задницу прикрыть бумажками", чтобы "случись что" Вам не сесть на нары. Что для Вас главное чтобы по бумагам всё было хорошо, а по факту "как получиться"

Т.е. главная цель у Вас - это именно соответствовать ГОСТ-ам и прочим циркулярам, а не реальная работа по обеспечению надёжности

А требования ГОСТ зачастую не просто противоречивы, а зачастую противоречат даже здравому смыслу

Автор: Ильдус May 26 2018, 21:13

(Выделено в ссылке мной)
Я начинаю сомневаться, что Вы разработчик — Вы скромничаете, Вы — экстрасенс

Извините, коллега, а когда Вы последний раз что-то разработали и оно пошло в серию???

Я с Вами полностью согласен, что: «Надёжность обеспечивается инженерами-проектировщиками, которые закладывают надёжные решения в свои разработки» - а чем Вы докажете, что Вы Инженер-проектировщик (именно с большой буквы), который способен закладывать надёжные решения? - Мамой поклянётесь?

Когда-то я занимался в радиокружке, и там руководитель учил: «Делай хорошо — плохо само получится». Потом меня старшие Инженеры учили... а когда пришла пора защищать изделие, где я был ведущим разработчиком, ни кто не интересовался моими характеристиками — проверяющих интересовало: «А выполнено требование ГОСТ ааа? А ГОСТ ббб? А ГОСТ ввв?» - и ... чудо!!! Всё что Я разрабатывал, оказалось выполнено по ГОСТам, ОСТам и прочим РД!!!

Всё очень просто! Меня просто так учили. После этого я подводил студентов-практикантов к шкафу и показывал три полки, на которых лежала РКД, по которой изготавливают изделие, и девять полок документации, которая доказывает, что изделие соответствует всем заданным требованиям, включая надёжность и безопасность.

А Вы, коллега, как доказывали, что спроектировали безопасное изделие? - Болтовнёй о том, что Вы тридцать лет конструированием занимаетесь?
* * * * *
Кстати, с экспертами АР МАК мне приходилось и на «ямах» встречаться, и за столом обсуждать спорные вопросы. Это действительно специалисты высокой категории, и ставить за глаза отрицательный диагноз может только неудачник с самомнением. Извините, если что не так.
* * * * *
Сменим примеры.
Есть ОСТ 1 01160-88 «. . . Методы испытаний на молниестойкость»
Ни кто с вольтметром и амперметром, да и осциллографом реальную молнию не измерял. И то, что получают в лабораторных условиях, специалисты по молнии никогда не называют молнией — в лаборатории: «длинная искра».
Но, как-то надо оценивать стойкость оборудования. К тому же, результаты любых испытаний должны быть повторяемы, следовательно должны быть стандартизированные воздействия.

Поэтому пришли к соглашению, что если оборудование соответствует требованиям этого ОСТ, то, скорее всего оно выдержит воздействие молнии.

За «бугром» подход тот же самый. И в их DO-160D стойкость к атмосферному электричеству (не прямое воздействие молнии) есть примерно такие же по форме импульсы воздействия, например, полуспад «Длинной волны» у нас 50 мкс, а у них 60 мкс — с учётом 20 % допуска, это одно и то же.

Я это к тому, что надёжность тоже надо как-то оценивать, повторяю: «Мамой клянусь!!!» - в серьёзных изделиях не проходит.

И всякие: «Пассажиру упавшего самолёта плевать на 10 минус девятой... это может случиться и через час полёта и никогда...» - детский лепет!!!
С тем же успехом можно наплевать на правила дорожного движения — то, что Вы законопослушно стоите на остановке, совершенно не означает, что на Вас никогда не наедет дурак за рулём.

Ещё раз, коллега: «Как доказывали, что Ваша разработка безопасна???»

Автор: haker_fox May 27 2018, 01:20

И всё-таки, вы который раз уже игнорируете предложение показать, или назвать свои разработки. Между прочим, уважаемые Ильдус и AlexandrY давно это сделали. Так вы действительно спроектировали такие системы?


Вот и мне уже который пост интересно, чего это Моисей Самуилович там наразрабатывал, и как аттестовывал??? А то столько болтовни о том, что надо начинать с надёжно запаянного проводка. Кстати, пассажиру станет не легче, если самолёт под управлением системы имени Моисия Самуиловича начнёт вести себя неадекватно при том, что не было "дуры монтажницы" и всё было сделано "просто по-инженерному практически и на совесть". У меня создаётся ощущение, что этот человек просто болтун. Если бы он был действительно практиком, то не раз столкнулся бы с "бумажными вопросами", когда изделие должно соответствовать куче документов. Просто это мировая практика. И её никак не обойти только красивыми заявлениями о практическом проектировании.

Автор: Моисей Самуилович May 27 2018, 03:31

Дык сталкиваемся постоянно. Но это я бы сказал больше работа для юристов, чем для инженеров. Прикрываться бумажками

Автор: Ильдус May 27 2018, 07:36

А каждая бумажка - это тома актов испытаний, анализов отказобезопасности, методик оценки соответствия...

Мне довелось общаться с бывшим работником Эрбаса, который закончил там свою карьеру в ранге вице-президента по международной сертификации. Он говорил, что многое делается в угоду тому, что бы юристы фирмы в случае катастрофы (не дай Бог) могли в суде сказать: «Приняты все доступные средства...» - и шутил - «Скоро самолёты будут проектировать юристы».

Рекомендую статью Александра Васильевича Явкина, самого Главного конструктора Бе-200ЧС: «Оружие борьбы за рынок — сертификация» http://electronix.ru/redirect.php?https://www.aviaport.ru/news/2008/11/28/162115.html
* * * * *
«Выполняя требования ГОСТов, разработчик прикрывает свою задницу» - не спорю.

Мне посчастливилось присутствовать на защите механической части проводки управления, в частности, управления стабилизатором. «Пытали» докладчика эксперты из Европейского агентства по авиационной безопасности (EASA).

Стабилизатор — это рулевая поверхность с большой эффективностью, служит для продольной балансировки самолёта в полёте. Привод стабилизатора — двух канальный (понимаю, что дублирование для некоторых — как серпом по фаберже), два электродвигателя через дифференциал работают на червячную передачу. Червячная передача — это винтик, зафиксированный в продольной оси, может только вращаться от привода. На винтике маточная гайка, зафиксированная по вращению и может только перемещаться вдоль винтика. Гайка связана со стабилизатором.

Винтик — это стальной червяк, толщиной с руку. Гайка — бронзовая. Конструкция расположена вертикально.

Итак, вопрос — ответ:

-- Бронзовая гайка перемещаясь по стальному червяку будет изнашиваться и разрушаться. Что будет при разрушении гайки?
-- Сверху и снизу бронзовой гайки закреплены на ней стальные гайки. Стальные гайки прослаблены — пока бронзовая гайка работоспособна, стальные не имеют контакта с червяком. После разрушения бронзовой гайки стальные начинают перемещаться с сильным шумом (вызвано трением), который на проверках не возможно не услышать.
-- Хорошо. А если лопнет червяк?
-- Червяк представляет собой трубу, внутри которой стальной стержень (шпилька), стягивающий своими гайками червяк. Т.е. конструкция не рассыпется.
-- Хорошо. Но, стержень со временем может лопнуть
-- Нижняя часть стержня покрашена яркой красной краской. Внизу есть свободное пространство, куда обломок стержня может «выпасть» и показать краску. Обеспечен удобный доступ для контроля на регламентный работах.
-- Хорошо. Представьте расчёт наработки стержня на обрыв (расчёт надёжности, однако), показывающий, что наработка на обрыв превышает время между регламентами.

Гениально!!! Хотя, на самом деле, конструктора с тридцатилетним стажем, которые разрабатывали эти гайки стержни, могли и не догадываться, что выполняя требование АП-25: «Любое одиночное рассоединение не должно приводить к катастрофе» - прикрыли задницу руководителя проекта и, заодно, спасли задницы будущих авиапассажиров.

Автор: haker_fox May 27 2018, 11:36

Ещё раз. Чем вы занимаетесь? Почему не называете сферу разработок?



Но всё-таки я считаю, что все пытаются минимизировать количество аварий, т.к. это элементарно невыгодно, если говорить только о деньгах и репутации.

Класс! Я имею в виду, что очень интересно. Пишите, пожалуйста, по-больше подобных вещей) Это проливает свет именно в сфере практики, о которой тут так много говорит Моисей Самуилович...

Ну так это не только бумажки для юристов, но и бумажки, написанные техническими специалистами, часть из них написана кровь погибших в авиакатастрофах.

Автор: adnega May 27 2018, 11:46

Манера общения очень напоминает некого "Николая Семеновича", аналогичным образом вбрасывавшего неподкрепленные фактами утверждения.




и т.д.

И вот эта http://electronix.ru/redirect.php?https://electronix.ru/forum/index.php?showtopic=26778&view=findpost&p=1529232 - брат близнец.


Похоже на не припаянный провод?

Автор: haker_fox May 27 2018, 11:57

Угу. Правда там его стаж составляет аж 40 лет...
И того чела когда просили показать реальные разработки он упорно игнорировал эти просьбы. Толи секретные сугубо, толи показывать нечего.

Автор: Ильдус May 27 2018, 14:14

А Вы точно не читали документов ИКАО?
Например:
Приложение 13
к Конвенции о международной гражданской авиации
Расследование авиационных происшествий и инцидентов

3.1 Единственной целью расследования авиационного происшествия или инцидента является предотвращение авиационных происшествий и инцидентов в будущем. Целью этой деятельности не является установление доли чьей-либо вины или ответственности.
(выделено мной)


Вы будете смеяться, но, когда-то я о подобном читал в книжке «Заметки следователя» (автор, кажется Шейнин - точно не помню). Там описывается случаи периодического массового брака при производстве электроники для обороны. Соответственно, этим заинтересовались «органы».
Закончилось тем, что следователь пришёл к руководству предприятия и «предсказал», что в следующем месяце опять пойдёт брак... - виной тому нарушение требования паять в нитяных перчатках.

Почему брак идёт с некоторой периодичностью, хотя нарушают постоянно.
Оказывается, следователь проанализировал даты брака и даты ухода монтажниц в декрет. - Беременные женщины вместе с потом выделяют особый секрет, который разъедает пайку.
- За что купил, за то и продаю

Автор: Егоров May 27 2018, 20:57

Так это действительно реальный случай. Намотка реле особо тонким проводом. Участок "легкотрудниц" если не путаю, Кишинев.
Реле успешно проходили приемо-сдаточные и входной контроль. А через некоторое время появлялся массовый отказ в отдельных партиях.
Потребовался длительный статистический анализ и действительно, часть работниц работала без перчаток, добросовестно считая, что это просто украшение, ничего с руками от провода не случится.
Ой, как много в истории техники таких случаев! Несмотря на очень строгие технологические меры, время от времени подобного рода сбои случаются.
Каждая пополняет коллекцию знаний и опыта, но все-таки появляются все новые.

Автор: _Vova May 28 2018, 06:18

Извиняюсь что не по теме. Глядя как намеренно снижается ресурс различной техники, в частности автомобилей, хотя характер спроса на авиарынке другой, возникает вопрос - до авиации это не докатилось?

Автор: Gorby May 28 2018, 09:44

Мануилыч, Вы верно вводную лекцию по теории вероятностей в преферанс проиграли? Ну что за дремучее невежество!
В самом понятии вероятности нет абсолютно никакой мистики.
Вот, напамять: вероятность - это число, равное отношению количества благоприятных исходов к общему количеству опытов. Всё, Карл!!!

Вот надежность уж точно я назвал бы лукавой. Но она, зараза, измеряется.... опаньки! - В вероятности отказа на заданном промежутке времени. Кругом враги!
Похоже Вы так и не дослушали, что ДА, вероятности бывают априорные и апостериорные. Ну так уж получилось в математике. Высшей математике, Мануилыч!
Вы бы не рассуждали прилюдно о вещах, в которых не понимаете.

Удачи в проектировании высоконадежных и отказоустойчивых систем, я если не - то "впрограммисты"!
Кстати, задачка для Вас: Блондинка считает, что вероятность увидеть динозавра, выглянув на улицу, равна 0.5 - Ведь она либо увидит его, либо нет - 50\50 так сказать.
Сможете опровергнуть?

А, и ещё: инженеры применяют, (ис)пользуют, на крайняк юзают, но никогда не "юсают" что-либо как...

Автор: AlexandrY May 28 2018, 10:28

Зачем такую древность вспоминать.
Во, сегодня мне принесли образец. Изготовили китайские товарищи из DongshunMotor

Он не погнутый, там реально так выточена деталь.
Видать беременный токарь точил.
Моторчик-то работает, только ресурс у него будет никакой.



Мы тоже сертифицировали червячную передачу.
Так нам на слово никто не поверил. Заставили сделать 30 тыс. циклов и показать износ.
После того как без смазки шайба стерлась после первых тысяч циклов, сделали систему автоматической смазки.
После того как шайба стала входить в резонанасы стали менять резъбу. И так далее. В целый рисёч вылилось.
Но эт все механика. Наш механик тут постить не будет.

А где у вас тут электроника, тот диагностический охват о котором говорится в ГОСТ ISO 13849-1 и где валидация о которой говорится в ГОСТ ISO 13849-2?

Автор: Ильдус May 28 2018, 20:04

Так ведь вероятность – она вероятная : может отказать через час, а может никогда.
Я приводил пример, когда отказ, типа "обрыв" или "рассоединение" парируется продуманной конструкцией.

По ресурсам и подобному в авиации на слово тоже не верят – первый изготовленный самолёт никогда не летает, а идёт на статические испытания вплоть до разрушения. Потом в серии один самолёт из партии повторяет судьбу первого.

Доводилось несколько недель ходить на натурный стенд управления мимо стенда шасси, на котором в течении этих недель непрерывно убирали и выпускали шасси (может это было и дольше, только у меня закончилась командировка).

Что касается ГОСТ ISO... , то исторически, со времён СССР, сложилось, что авиация – это штучка двойного назначения и контролируется военпредами, которые руководствовались ГОСТами с буковкой "В", а сегодня с буковками "Р В".



Нет, наоборот – идёт борьба за продление ресурса.

Эффективные менеджеры в верхних эшелонах власти авиапрома борются за снижение затрат на капитальные ремонты вплоть до смерти пассажиров (не дай Бог).
При этом апеллируют к "требованиям" ОСТ 1 02776-2001, хотя он называется "Эксплуатация техническая авиационной техники по состоянию. Основные положения".

Очень трудно приходится в официальных ответах не забывать, что предлоги "в" и "на" пишутся отдельно от "адреса".

Автор: AlexandrY May 28 2018, 20:27

Продуманная конструкция эт хорошо.
Но где продуманная электроника?
В наше время Industry 4.0 на конструкции далеко не уедешь, ресурсоемкость однако критична, нужны кибер-физические системы.
Где проактивная диагностика, где sensors fusion?
У нас на червячной передаче не менее 4-х датчиков сейчас стоит и в будущем будет еще больше.

Автор: Ильдус May 29 2018, 17:28

Извините, интернет-коллега, Вы о чём?

Я, русский татарин, плохо понимаЙ, что Вы написали аглицкими буковками.
Если Вы беременны цифровизацией, то Вам к Грефу...
Если Вы о технологических укладах, то Вам к Глазьеву...

Но, поскольку был задан вопрос: "Но где продуманная электроника?" – то отвечаю на примере:
Я здесь http://electronix.ru/redirect.php?https://electronix.ru/forum/index.php?s=&showtopic=95272&view=findpost&p=1563911 писал уже о требованиях АП-25 серьёзно относиться к отказам, типа "Рассоединение".
В АП-25 есть ещё требование к отказам, типа "Заклинение" – вероятность заклинения экспертами считается равной единице (может быть – точка!!! – Не обсуждается).

Продолжу о стабилизаторе.

В июле 2001 г. разбился Ил-76. Мне довелось общаться с одним из специалистов (экспертов) ЛИИ им. Громова. По его словам ОДНОЙ из причин катастрофы могло быть заклинение кнопки...
Балансировка самолёта по тангажу (в продольной оси) и крену на старых самолётах проводится нерезервированной кнопкой 4КНР (см. файл "Кнопка_4КНР"). Согласитесь, что сюда что-то механически продуманное применить... лично я, электронщик, просто не представляю.

На Бе-200ЧС вместо 4КНР стоит трёх-канальная (три подканала) штучка, по имени "Кнюппель" (см. фото "Кнюппель" с надписями "Крен" и "Пикир" и "Кабр", и файл "100_2761"). В 1997 г. самолётчики (КБ им. Г.М. Бериева) выдвинули требование избежать заклинения кнюппеля.

Пообщались с аэродинамиками, выяснили, что при самопроизвольном перемещении стабилизатора в течении 6 – 8 с, ситуация не выйдет за пределы "СС" (сложная ситуация) и поставили в тракт управления таймер (микросхема 564ИЕ15 – не судите за "старьё", см. годы), которая через 7 с отключает управление стабилизатором. При отпускании кнюппеля и повторном нажатии – управление возвращается на следующие 7 с.

Обращаю внимание, что Ил-76 проектировался по военным нормам, где лётчику платят (или думают, что платят) за то, что рискует жизнью, а Бе-200 проектировался по гражданским нормам (НЛГС и, в последствии, АП-25), где пассажир платит, что бы его доставили из "А" в "Б" без повреждений.

P.S. Что касается датчиков на червячной передаче, то, например, в управлении закрылками на Бе-200ЧС используется дублированный гидропривод вращательного типа (прошу прощения интернет-коллег, у которых аллергия на дублированные системы – нам, разработчикам, выбирать не приходилось). Привод в середине, влево и право уходят валы, которые передают вращение на червячные передачи, перемещающие секции закрылков.
По краям консолей крыла (вообще-то на сегодняшних самолётах крыло одно, а то, что мы называем левым и правым крылом, на самом деле консоли или плоскости одного крыла) стоят электромеханические тормоза, которые мы включаем в случае ненормального перемещения закрылков.

- Контролируется рассинхронизация левых и правых закрылков, контролируется превышение скорости перемещения закрылков, и стоят муфты предельного момента, которые сигнализируют о заклинении кинематики.
И это делает электроника.

Автор: AlexandrY May 29 2018, 18:16

Я прочитал АП-25 тот что вы выложили. Там вообще не про электронику.
Зачем вы его тут упоминаете я не понимаю.
Где там про резисторы , конденсаторы, микроконтроллеры, фирмваре, языки программирования?
У электронных компонентов есть четыре вида отказа: замыкание, разрыв, изменение номинала и смена функции у сложных компонентов.
А "Рассоединение" и "Заклинение" как-то не в тему.
Или вы не электроникой там занимаетесь? Или давно на пенсии?

Автор: Ильдус May 29 2018, 20:43

А Вы не задумывались над тем, что Вы можете совершить увлекательное виртуальное путешествие в любую точку Земли ? А если Вам понадобится что-то реальное, то придётся воспользоваться чем-то тяжелее воздуха?

С одной стороны электроника управляется чем-то механическим, даже если это сенсорное управление.
С другой стороны электроника управляет чем-то механическим.
* * * * *
АП-25, которое Вы, якобы, прочитали, гласит:

3.3. Эксплуатация с отказными состояниями.
Самолет должен быть спроектирован и по-
строен таким образом, чтобы в ожидаемых ус-
ловиях эксплуатации при действиях экипажа в
соответствии с РЛЭ:

3.3.1. Каждое отказное состояние (функцио-
нальный отказ, вид отказа системы), приводя-
щее к возникновению катастрофической ситу-
ации (катастрофического эффекта), оценива-
лось как практически невероятное и не возни-
кало вследствие единичного отказа одного из
элементов системы.
(выделено мной)

С какого перепугу Вы решили, что речь идёт только о механической системе?
Главная сложность проектирования резервированных систем – что бы не было общих "точек", мест единичных отказов, по которым все подканалы могут ахнуться.

Для анализа сложных систем очень помогают "деревья отказов", например, ГОСТ Р 27.302-2009

Автор: Егоров May 29 2018, 23:04

Хм... я тоже имел некоторое отношение к проектированию надежных систем, систем "связанных с жизнеобеспечением". Мне кажется, Ильдус очень хорошо знает все специфические требования к такой разработке.
Да, основное заклинание там "любая одна неисправность не должна приводить к аварии". И совершенно безотносительно - механика это, электроника или девочки программу не так набили.
Единственная поблажка - не может быть короткого замыкания у резистора. Остальное - все может быть. И любая одиночная неисправность должна парироваться.
А уж как разработчик это реализует - большой простор для фантазии. В конце изысканий ( врагу не пожелаю -- ) "Отчет по полноте проверок" и "Отчет по расчету надежности".
Короче, форум - не ускоренное профтехучилище для проектировщиков надежных систем.

Автор: a123-flex May 30 2018, 04:48

Автор: haker_fox May 30 2018, 05:48

Не объясните ли, почему?

Ну вроде такой задачи никто и не ставил.

Автор: Gorby May 30 2018, 13:01

Как говаривал некий мистер Холмс, если отбросить все НЕвозможные версии, то то, что останется и будет истиной, какой бы МАЛОвероятной она не была.

Подозреваю, что был зафиксирован удручающе (или радующе) малый процент отказов резисторов в виде короткого замыкания.
Да-с, господа, физика-с!


- И что же Вам мешает провести пять перпендикулярных линий?
- Геометрия.
- Эээ игнорируйте её!

Автор: AlexandrY May 30 2018, 13:06

Потому что не совсем верно.
По стандарту только у проволочных со специальной намоткой можно игнорировать замыкание
Но нам недавно на сертификации удалось под этот пункт провести тонкопленочные SMD.

Автор: Ильдус May 30 2018, 17:20

Уважаемые интернет-коллеги, Вы будете смеяться, но, я предлагаю Вам вспомнить книги и фильмы про войну. Например, про то, как рискуя жизнями брали "языка" – а какая польза от рядового вражьева войска? – Выяснить, где стыки полков, дивизий или армий.
А если проанализировать трагические для нас провалы – то, большей частью, они произошли на стыке полков, дивизий или армий (иногда там, на стыках, вообще не было войск, однако).

Можете считать, что впадаю в детство (1913 год рождения... или 1813? – склероз, однако), но (!!!) в сложных системах основные ляпы именно на стыке с другими (мамой клянусь!!!).

См. первую картинку:
– на вариантах "А" и "Б" ключи ... не важно какие, может быть любимые моему сердцу с ручным приводом на мраморной плите (см. вторую картинку), а может быть полевые ключи, встроенные в какой-нибудь драйвер;
– "+27 В (1)" и "+27 В (2)" – это независимые шины электропитания;
– диоды... – нужные штучки. "+27 В" – это только на схеме "+27 В", на самом деле они могут быть по допуску и 29 В, и 24,5 В (могу ошибиться – склероз, однако). И если ключи будут замкнуты при разных напряжениях на шинах электропитания, то большие (выжигающие) токи через ключи Вам обеспечены;
– лампа – это красная лампа "СДУ", по которой лётчик имеет полное право покинуть машину;
– МСРП – это пресловутый "черный ящик" – аварийный регистратор, состоящий из кучи чёрных ящиков и одного оранжевого цвета.

Было у нас сделано, как на варианте "А", и долго забот не знали, но, однажды, перед полётом загорелась красная лампа "СДУ". Быстренько (за каких-то пяток часов) выяснили, что у МСРП "съехала крыша", и он выдал встречный плюс, который зажёг красную лампу "СДУ".

С тех пор, на системах, до которых дотягиваются мои руки, стык "дивизий" выполняется по варианту "Б".

Автор: Егоров May 30 2018, 19:06

Ну а как оно может возникнуть замыкание у пленочного резистора? Тут действительно, физика-с....
Полупроводниковых переходов там нет. Обрыв вывода и пленочного проводника возможны, но самопроизвольное возникновение хорошего проводника между двумя точками... Это вроде передачи тепла от холодного тела к горячему. Теоретически возможно, практически нет.
А у других компонентов, например, у диодов даются данные о распределении видов отказа. Скажем, обрыв в 20%, Пробой (К.З.) в 80% случаев.
В механике обесточенный электродвигатель через редуктор может стать генератором, а исполнительный орган может принять произвольное положение. А вот через червячный редуктор - никогда.

Автор: Ильдус May 30 2018, 19:55

Где-то я слышал фразу: "Никогда не говори никогда". Всё зависит от трения и угла захода резьбы (если не ошибаюсь в названии параметра).

Старая добрая телефонная сеть принимала импульсы от номеронабирателя строго определённой частоты следования. В старых добрых телефонах диск (номеронабиратель) возвращался в исходное положение под действием пружины, при этом через обратимую червячную передачу вращал центробежный тормоз, который стабилизировал частоту повторения импульсов. И всё это без электроники. Правда в червячной передаче вместо гайки была шестерня-солнышко.

Сегодня в электроприводах рулей летательных аппаратов применяют шариковинтовую пару – та же червячная передача, только с малыми потерями на трение – она обратимая. При отказе схемы управления электродвигателем снимается питание с релешки, которая нормально замкнутыми контактами замыкает обмотки двигателя друг на друга. Если под действием аэродинамических сил руль перемещается, то двигатель через обратимую шариковинтовую пару работает генератором под нагрузкой. Т.е. демпфирует болтанку руля.

Автор: x736C May 30 2018, 23:27

Интересно, что у пленочного конденсатора такие отказы случаются. Обсуждалось на форуме. Сперва КЗ, потом выгорает до обрыва. Выпускаются специальные конденсаторы, чтобы этого избежать.
(Неплохое видео по теме http://electronix.ru/redirect.php?https://www.youtube.com/watch?v=QgKY5QWehME)

В этом документе рассмотрено дерево отказов для пленочного резистора, и явно указывается, что короткого замыкания не бывает.
http://electronix.ru/redirect.php?https://www.mouser.com/pdfdocs/ResistorTechnicalGuide-2.PDF

И это не очень понятно. Чем принципиально отличаются пленочные конденсатор от резистора в контексте обсуждаемого вопроса.
В других местах указывается риск КЗ, но как менее вероятный.

Автор: haker_fox May 31 2018, 01:44

Угу. В системах, которые столькритичны, пожалуй нужно допустить всё... что угодно... и чего вроде бы быть не может. Но, поскольку это невозможно чисто умозрительно, всё равно будут происходить инциденты, на которых мы будем учиться.

Автор: novikovfb May 31 2018, 04:10

Ходят слухи, что при использовании бессвинцового припоя в некоторых случаях возможно образование оловянных иголок, иногда дотягивающихся до соседнего вывода компонента.

Автор: Ильдус May 31 2018, 05:43

По поводу КЗ в резисторах и конденсаторах
Есть (точнее: был) "Справочник. Надёжность электроизделий".
Там на стр. 289 для резисторов есть таблица с распределением отказов по видам отказов - короткого замыкания нет.
Такая же таблица для конденсаторов на стр.318 - есть и КЗ (преобладает), есть и обрывы.

Автор: vladec May 31 2018, 06:03

Где это сильно важно применяются специальные компоненты -- Y-конденсаторы и Fusible-резисторы отказывающие гарантированно с обрывом цепи:

Автор: AlexandrY May 31 2018, 06:35

Надо сказать справочник уникальный.
Интересно почему у западных производителей такого нету?
Но сдается мне он не все риски показывает, которые надо учитывать в реальном изделии.
Те же SMD резисторы и конденсаторы подвержены дуговому разряду особенно в загрязненной среде.
Т.е. хотя сам по себе резистор в вакууме и не сможет никогда замкнуть, на плате они замыкаются разрядной дугой на раз-два.

Думаю должен быть еще более секретный военный справочник, где давались бы оценки вероятности повреждений элементов при воздействии ЭМИ.

Автор: x736C May 31 2018, 11:36

В каком-то документе, когда вчера гуглил информацию, попалась причина замыкания резисторов медные дендриты.

UPD: Файл с описанием. http://electronix.ru/redirect.php?https://www.researchgate.net/profile/Anshul_Shrivastava3/publication/278187873_Thick_Film_Resistor_Failures/links/559c97ae08ae7f3eb4d02e5b/Thick-Film-Resistor-Failures.pdf?origin=publication_detail

Автор: Ильдус May 31 2018, 12:07

Не знаю за западных производителей, но, у меня есть - весит 15 мегов и для русского татарина только для любопытства

Для любопытства см. первые пять страниц

Автор: Егоров May 31 2018, 22:32

Не превышайте допустимых напряжений и дуги не будет. Защищайте монтаж лаком по ОСТ АБВГД, прячьте в корпус по IP 12345 и все будет по чертежу.
Хотя, однажды мудрые караси с завода-изготовителя запретили использовать в изделии свои резисторы вообще. Прочли среду эксплуатации и указали на содержание водорода. Это, мол, сильный восстановитель и металлоокисные резисторы замкнут из-за дендритов. Как бы чего не вышло....
Тогда им эту же среду показали в виде химсостава обычного воздуха по ГОСТ. Оттуда списали данные при запросе разрешения. Небольшое количество водорода в атмосфере присутствует.
Все, успокоились эксперты, разрешили.

Автор: Ильдус Jun 1 2018, 20:29

"Где тонко, там и рвётся" не сейчас и не мной придумано.

Мне, когда-то пацану, старший родственник, конструктор-механик показал на практике, что равнопрочная деталь прочнее детали с разной толщиной, хотя при этом минимальная толщина равна толщине равнопрочной детали.

Когда-то мы для сигнализации использовали классическую схему последовательно-параллельных ключей (см. вариант "А").

Пообщавшись в командировках не один год с самолётом и разработчиками смежных систем, я узнал, что система визуальной индикации и речевой информатор (см. файл стр.66, п.8.11) – сами по себе не резервированные, да к тому же каждый питается только от одной шины "+27 В".
Возвращаясь к примерам из механики, в варианте "А" мы изображали стальной трос, к которому привязаны две бечёвки (смежники).

При разработке следующей модификации СДУ мы согласовали с самолётчиками равнопрочный (равнонадёжный) вариант "Б".

P.S. Кто заинтересовался забугорным справочником по надёжности, наберите в поисковике: " MIL-217 " - я пользуюсь Яндексом.

Автор: Моисей Самуилович Jun 2 2018, 05:20

Берём два одинаковых устройства изготовленных в одно и тоже время, и работавших в одинаковом режиме в одном и том же месте
Одно выходит из строя через месяц, а другое без отказов отработало 45 лет.
Хотя и резисторы и конденсаторы там одним и те же.
И какой смысл тогда во всех этих расчетах по цифрам взятым из таких вот справочников?
Все эти цифры - чистое очковтирательство.
А расчёты выполняются по принципу "тут смотрим, а на это закрываем глаза"
Все эти расчеты вероятности отказа ценны только для массовых изделий и большого числа опытов.

Например сделал ты 10 миллиардов телефонов с вероятностью отказа 1е-6 за год.

Тогда ты можешь сделать вывод, что из 10 млрд у тебя примерно 10000 "плюс-минус километр" откажут через год.

Таким образом ты знаешь какие бапки нужно заложить (в стоимости телефона) на гарантийный ремонт

Автор: adnega Jun 2 2018, 05:24

Не бывает ничего одинакового в макромире.

Есть револьвер с обоймой без одного патрона, и из него в вас достоверно выстрелят.
Но у вас есть возможность достать из обоймы еще один патрон.
Будете ли вы использовать эту возможность, если рядом с вами живой человек,
который отказался от аналогичного предложения и выжил?

Автор: Моисей Самуилович Jun 2 2018, 05:42

Я бы на Вашем месте не очень полагался на эти, взятые зачастую "с потолка", цифры в таких "справочниках".


Ну если считать по таким вот справочникам, то получается, что бывает.

При этом я не призываю отказаться от всех выкладок теории надежности, касающиеся троирования, дублирования и т.д.

Но все эти расчеты и выкладки нужно использовать просто для качественной оценки ("это по теории надежней, а это по теории менее надёжно") технических решений.

Хотя в реале дублированная система (или вообще не резервированная) по факту, может показать себя даже более надёжной, чем троированная.

Но ответственных системах "перестраховываются" и всегда стараются "соломки подстелить" в виде троирования.

Потому что когда погибнут люди из-за выхода из строя не резервированной системы, то ты не сможешь прикрыться своими расчетами сказав "но ведь по расчетам получалось, что вероятность отказа равна 1е-9"

Ведь никто не гарантирует, что если устройство проработала без отказов 45 лет, значит и другое, вроде бы такое, тоже столько же проработает.

В теории надежности/вероятности вообще никто ничего не гарантирует. И всё расчеты имеют точность в несколько порядков: может проработать и 45 лет, а может 1 день

И потом. "Надёжность"/"вероятность" эфемерная величина. В том смысле что нельзя взять тестер и померить её, как мы меряем напряжение в схеме.

Это примерно такая же величина как "качество".
Которая вроде есть и мы её используем для оценок, но "тестером" померить качество не получится.
Не существует таких тестеров

Поэтому на практике надёжность почти на 100% зависит от старательности, добросовестности и уровня профессионализма инженера-разработчика.
Хороший инженер и из отличных импортных компонентов сделает дерьмо.
А хороший инженер даже из совкового дерьма сделает конфетку

Автор: adnega Jun 2 2018, 06:03

Вы реальной разработкой занимались когда-либо?
Любой решение оно стоит денег (материалы, человекочасы, новые технологии, новое оборудование и т.п.)
Чтобы что-то обосновать, нужны количественные оценки.
Любое надежное решение оно и денег в конечном итоге много стоит. Вряд ли кто согласится лишнее выкладывать за сверхнадежность.
Нормативной базой, регулирующей эту область, очерчивается необходимый и достаточный уровень.


Есть тестер - называется "Доска Гальтона".

Автор: AlexandrY Jun 2 2018, 06:09

К счастью у нас теперь есть бигдата и облака.
Пошли статьи как народ реально предсказывает моменты отказа на основе прошлой статистики.
Поэтому скоро будет все иначе.
Сам уже без 9D сенсоров платы не делаю.

Автор: Моисей Самуилович Jun 2 2018, 06:28

Моменты отказа ... ЧЕГО?

И статистики чего? Отказов этого же устройства?

А может лучше стараться не отказы предсказывать, а проектировать нормально? Чтобы не отказывало. Не?


Ну если заказчик платит....
Хозяин - барин.

Как говориться "Кто платит - тот м музыку заказывает"


Спасибо кэп. "А мужики-то не знали"
Продолжаете капитанствовать?

Автор: Егоров Jun 2 2018, 08:31

Делать из дерьма конфетки когда-то было моей работой. Вы же с такой работой, похоже, вовсе незнакомы. Основы теории вероятностей разработчик должен знать.
На пальцах
Я лежа из винтовки выбивал 95-97 очей из ста. Давайте заключать пари. Есть два варианта.
1. пари что 96 я не выбью.
1. 10 пари, что я с одного выстрела не попаду в десятку.
Плата каждый раз одна. Ну, и что вы выберете? Вероятность-то эфемерна, варианты равноценны или как?

Автор: Моисей Самуилович Jun 2 2018, 09:28

Вы телепат?
30 лет только этим и занимаюсь


"БОГ НЕ ИГРАЕТ В КОСТИ"©
Выстрелы, подбрасывание монетки, попадание иголки в заданный сектор круга. Только там и работает Ваша теория вероятностей.
А при проектировании сложнейших территориально распределенных резервированных многостоечных систем управления с элементами искусственного разума её применение сродни натягиванию совы на глобус.

А основы тервера да. Их любой школьник знает. Что если очень долго подбрасывать монетку, то частота появления "решки" будет стремиться к 50%. Это наука. Да и то. Я могу натренироваться так подбрасывать монетку, что у меня почти одни "решки" будут выпадать

Автор: x736C Jun 2 2018, 13:32

Уже искусственный разум пошел в ход... Бог ты ж мой

Автор: Моисей Самуилович Jun 2 2018, 13:37

А Вы всё на реле фирма "Заря" и КТ315-м проектируете?
Тогда мы идём к Вам

Автор: Ильдус Jun 2 2018, 16:23

Когда-то некто Ленин (может слышали про такого?) сказал в январе 1917 года : «Мы, старики, может быть, не доживем до решающих битв этой грядущей революции. Но я могу, думается мне, высказать с большой уверенностью надежду, что молодежь, которая работает так прекрасно в социалистическом движении Швейцарии и всего мира, что она будет иметь счастье не только бороться, но и победить в грядущей пролетарской революции»...

А потом некто Николай №2 отрёкся от престола... и понеслась...
— Кто бы мог подумать? Экономика была на подъёме (если верить упёртым монархистам), на фронте мы бы победили (если верить упёртым монархистам).

Коллега, искусственный интеллект, это пародия на естественный. Когда искусственный интеллект перестанет пародировать естественный, то носители естественного интеллекта перестанут быть нужными.

Но, это всё философия, а не техника.

Здесь один коллега, по нику Моисей Самуилович, как-то писал, что не надо путать надёжность и безопасность. Вы, коллега, случайно этого Моисей Самуиловича не знаете?

Повторно размещаю ГОСТ 27.002-89 «Надёжность в техникие. Основные понятия и определения» см. стр.3, термин 1.1.
Хотя есть великие профессионалы, которым ГОСТы не указ... - это, мол, отмазка для юристов.

Коллега, что бы разговаривать на одном языке, прошу Вас привести Ваше правильное и единственно правильное определение термина «Надёжность».



У меня есть приятель (приятель, хоть и начальник — зам. Главного конструктора). Он считает, что теория надёжности, основанная на теории вероятности: «Лженаука и продажная девка империализма» (с).

Как-то приятель приходит и ругается, что сломалась микроволновка — вышел из строя какой-то концевой выключатель (КВ), мол, этому конструктору (проектировщику КВ) надо фаберже оторвать!

Спрашиваю:
- А сколько прошло после окончания гарантии?
- Да что-то около полугода...
- Извини!!! Это высший пилотаж конструирования, основанный на теории надёжности!!!

Автор: Моисей Самуилович Jun 2 2018, 16:46

ага.
А "кибернетика - продажная девка империализма"©
Только пока мы так относимся в ИИ в проклятом оплоте империализма (Штатах) системы искусственного разума (ИИ) МАССОВО и повсеместно внедряются и используются уже лет 30.

Вот ведь дураки буржуины НЕ знают, что ИИ - это всего лишь пародия


Только не теории надёжности. А элементарные знания физики и схемотехники.
Или просто "жучок" в софте

Автор: AlexandrY Jun 2 2018, 18:13

Но выложенный вами глоссарий под названием ГОСТ 27.002 всего лишь говорит о том, что надежность - это комплексное свойство с кучей зависимостей.
Там еще 7-мь показателей для надежности придумали. Забыли только сказать что с ними потом делать.
Тут я с "Моисей Самуилович" согласен. Концы уходят в воду, или все уходит на откуп фантазии разработчика.

Что интересно, надежность по ГОСТ 27.002 легко можно повысить мерами по техническому обслуживанию и ремонтами.
Вот это и есть наш светлый путь.
Благодаря бигдате и облакам мы сможем реализовать перманентное техническое обслуживание.
Всегда знать заранее что и когда ремонтировать.

Автор: one_eight_seven Jun 2 2018, 18:16

Нормальные люди знали это и до бигдаты и облаков. Регламентное обслуживание существует чёрт-те сколько уже.

Автор: one_eight_seven Jun 2 2018, 20:28

Так это же вы.
В этой теме - про расчёты и сертификацию.
В паре соседних - про выбор компонентов и проектирование печатных плат.
Везде вас волнует только то, насколько крепко пришиты пуговицы.

Автор: Егоров Jun 2 2018, 21:58

Так, коллеги, наше собрание слишком отклоняется от генеральной линии, намеченной Правилами.
Пошли прямые оскорбления, нецензурщина...
Я убрал ряд сомнительных по содержанию и недопустимых по форме высказываний. Пока без всяких репрессивных мер.
Давайте не путать парламент и техническое совещание. Вы же инженеры или ...

Автор: AlexandrY Jun 3 2018, 07:50

Не путаем перманентное и регламентное. Последнее - просто никого не обязывающая формальность, параграф в мануале.

Автор: one_eight_seven Jun 3 2018, 10:54

Как и описанное вами. Или вы всё ещё в сказки верите?

Автор: Ильдус Jun 4 2018, 06:03

Что бы понимать друг друга, надо разговаривать на одном языке. В технике "разговор слепого с глухим" может приводить к человеческим жертвам. Что бы это минимизировать, чётко определяют и ограничивают различные термины.

Даже есть ГОСТ 2.105-95 "ЕСКД Общие требования к текстовым документам" – который, что бы минимизировать непонимание, запрещает использовать синонимы в пределах одного технического документа (на художественную литературу он не распространяется).

По поводу надёжности, читаем ГОСТ 27.002:

1.1. Термин Надежность: Свойство объекта сохранять во времени в установленных пределах значения всех параметров, характеризующих способность выполнять требуемые функции в заданных режимах и условиях применения, технического обслуживания, хранения и транспортирования.
* * * * *
И если какой-нибудь Андреас Лубиц впиявит совершенно исправный А320 в склон Французских Альп (март 2015 г., 150 погибших), то это к надёжности не имеет никакого отношения.

Существует термин "Безопасность" – термин многогранный, и определения этого термина лично я не знаю. Знаю только, что при сегодняшнем развитии техники, безопасность в меньшей степени зависит от надёжности и в большей степени от выполнения Правил, которые, как тут справедливо заметил иркутянин, пишутся кровью.

Например, если автомобильный компьютер перестанет давать топливо в инжекторный двигатель, то автомобиль безопасно остановится. Если компьютер, во время автоматической парковки, врежет автомобиль в другой, то на этих скоростях ни кто не будет травмирован (что будет потом – не обсуждаю). При этом по показателю количество погибших на миллион перевезённых автотранспорт стоит на втором месте (кстати, авиация делит с железной дорогой последнее место).

Есть ПДД – правила дорожного движения, которые, например, обязывают водителей и пешеходов двигаться на зелёный свет и стоять на красный. Эти требования минимизируют трагические события. Подчёркиваю: "минимизируют, а не исключают".

Есть правила пожарной безопасности. Ненадёжность какого изделия приводит к пожарам, если мы курим в постели, жжём траву в жару?

А пожарная безопасность, например, в зданиях массового скопления людей определяется отдельным разделом СНИП – строительные нормы и правила, которые предписывают проектировщику количество выходов в зависимости от количества людей, так же предписывают ширину проходов для эвакуации в зависимости от количества людей…
* * * * *
Вернусь к дублированию и троированию.

Например, на самолёте Бе-200ЧС для управления рулевыми поверхностями используются силовые гидроцилиндры (бустера) РП100. Вероятность отказа РП100 – 0,27е-6 на час полёта. Если ставим два бустера в параллель (дублируем), то расчётная вероятность будет 7,29е-14 на час полёта, что с лихвой обеспечивает, что бы отказ системы был событием практически невероятным (1е-9).

Всё замечательно, но!!! это только надёжность, а безопасность требует выполнения при проектировании Авиационных правил, в частности АП-25.
А в АП-25 сказано, что одиночное заклинение не должно приводить к катастрофе. Поэтому разработчики самолёта поставили на борту три независимые гидросистемы и три бустера в параллель – если один заклинит, то два других его пересилят и обеспечат управление. Нам, электронщикам, здесь меньше трёх подканалов управления бустерами ставить нельзя.

И никакой фантазии разработчика – понимаю, что "творческим" натурам это не по нраву.

Автор: AlexandrY Jun 4 2018, 07:00

Ну значит ваша авиация живет по каким-то своим странным правилам, либо вы не дочитали что-то в своих правилах.
Ибо АП-25, как я уже говорил - это практически ни о чем, нет конкретики, разъяснений и толкований.

Вот типичное дерево выбора требуемой эффективности защиты (Performance Level, PL) для функций безопасности робота и конвейера.


Как видно она определяется риском, который прямая функция вероятности отказа (как бы надежности другими словами).

А в ваших АП-25 даже намека нет на градации эффективности защиты, прям анахронизм какой-то.

Автор: haker_fox Jun 4 2018, 23:41

Я так понимаю, если заклинит второй, то в зависимости от поверхности, может наступить... ку
Ильдус, вы в теме авиации! Подскажите, вы не знаете, как устроены симуляторы самолётов для обучения пилотов? Т.е. на них стоят по-максимуму все те приборы, что и в кабине реального самолёта? Каким образом заменяются недостающие реальные детали и параметры окружающей среды? Как добиваются максимального поведенческого сходства между симулятором и реальным самолётом, летёщим, скажем с одним из четырёх двигателей, а в это время его атакует гроза с ветром 1000 км/с?))))

Автор: x736C Jun 5 2018, 01:16

Позволю ответить, хоть вопрос адресован не мне. Авиатренажеры разделяются на категории. Для наиболее высокой категории все органы управления и приборы должны быть аутентичными. Для авиатренажеров, имитирующих полет малых летательных аппаратов, существуют послабления.

Автор: AlexandrY Jun 5 2018, 05:48

Да, а дождь имитируют поливая водой, а ветер - обдувая вентиляторами. И вроде бы это даже правда.

Автор: Ильдус Jun 5 2018, 06:08

Лет двадцать назад на нашей фабрике делали тренажёр для вертолёта. Приборы были виртуальные – на сенсорной панели.
Мне запомнился он анекдотом – во время "боя" над кустами появлялся "летающий" танк . Так и не смогли найти косяк в программе и переписали её.

У Бериевцев стенды натурного моделирования и пилотажный стенд предназначены для отработки законов управления и проверки разработанного.

На стенде натурного моделирования пульты, командные рычаги управления, привода, жгуты – всё реальное. Привода нагружены на масса-весовые эквиваленты, с помощью пневмоцилиндров можно имитировать аэродинамические нагрузки, которые через рули действуют на привода.
Датчики высоты, скорости, угловых скоростей и перегрузок… – имитируются с помощью компьютера.

Так же есть экран, на который выводится виртуальная обстановка. И опять анекдот – лётчик-испытатель Рубен Есаян перед первой посадкой на воду тренировался на натурном стенде и промахнулся… На экране кромка воды поднялась выше кабины. На вопрос Есаяна: "И что дальше?" – ведущий лётчик-испытатель Бериевцев невозмутимо ответил: "Добавь газу и возьми ручку на себя". – Самолёт "выплыл" и полетел дальше.
Там же лётчики-эксперты EASA проверяли возможность парировать резкие перекладки рулей из-за возможной ошибки в программном обеспечении ("ошибки" вводил я в аналоговую часть ЭДСУ).

Боковой ветер закладывали в модель на аналоговой вычислительной машине УФА-10 при отработке системы траекторного управления на суховскую "сотку" (Т-4) ещё в конце 60-х прошлого века.

Гроза? – В моём понимание это электромагнитное воздействие, акустический шум и световая вспышка. Приборы на это всё проверяются отдельно. В тренажёрах не знаю - не копенгаген.

Сходства с реальностью добиваются по экспертным оценкам лётчиков-испытателей.

Если не ошибаюсь, МИЭА занимался тренажёрами для пилотов.



А в чём измеряется эффективность?

Например, эффективность экономики государства определяется по ВВП – суммарная стоимость конечных товаров и услуг. Например, если крупный жулик заплатит крупный гонорар за услуги крупному адвокату, то ВВП этого государства вырастет на эту сумму.

Если не затруднит, то определения эффективности в студию. Безопасности чего? – Робота от людей или людей от робота то же, желательно с опорой на русскоязычные источники.

Кстати о роботах.
Несколько месяцев назад НИИ СУ (НИИ Систем Управления) прислал нам на, как бы рецензию, проект ГОСТ Р 60.6.3.3–2018.
– О существовании комплекса стандартов по надёжности разработчики этого ГОСТ представления не имеют.
– При переводе с "американского" путают неисправность с отказом.

Случайно не Ваша фирма разрабатывала этот ГОСТ? – Если что, не обижайтесь на выданные мной замечания.

Кому сподручнее читать первоисточники на американском языке прилагаю файл.

Автор: x736C Jun 5 2018, 11:03

Не очень понял смысл вашего комментария. Речь шла об органах управления и приборах. То есть о кабине. Ветер и дождь прекрасно моделируются без вентиляторов и настоящей воды.

В конторе, где довелось когда-то потрудиться, делали тренажеры разных классов. И для небольших ЛА вертолетного типа приборы отрисовывались на экране обычной ЖК-панели, закрытой металлическим листом с прорезанными круглами отверстиями. На одном мониторе несколько полностью отрисованных стрелочных индикаторов. Для тренажеров больших лайнеров такой подход не применим. По кнопкам и тумблерам такие же требования.

В России требованиями к тренажерам разных категорий и их сертификацией, насколько помню, занимается организация ЦЭСАТ.

Автор: AlexandrY Jun 5 2018, 11:03

Вы че http://electronix.ru/redirect.php?https://www.kinopoisk.ru/film/chudo-na-gudzone-2016-805650/?
Там все показано.

Но если кабина настоящая c настоящими окнами, то как еще сделать имитацию дождя?

Автор: x736C Jun 5 2018, 11:37

Ну ок. Зависит от того, каким целям служит тренажер. Там может быть и огонь, задымление настоящие
Например, у тренажера Союза есть дымогенератор
Хотя еще не так давно космонавты тренеровались без дыма и прекрасно летали в космос.
http://electronix.ru/redirect.php?https://instagram.com/p/_138kWEjko/

Фильм кстати еще не посмотрел

Автор: haker_fox Jun 6 2018, 03:33

А мне всё интересно.


Клёвый фильм. Правда скучноватый. Но это из-за реальной основы. Но по-смыслу - очень даже правильный. Молодцы дяди и тёти в кабинетах. Всё решили за пилотов. При этом одно дело решать в тёплом кабинете, а другое дело - в кабине самолёта без двигателей, над городом с людьми, и когда у тебя за спиной люди...


Стоп. Так ЭДСУ аналого-цифровая. Я имею в виду, в ней есть и те и те каналы?

Автор: Ильдус Jun 6 2018, 19:19

Действительно стоп! И задний ход...
Здесь http://electronix.ru/redirect.php?https://electronix.ru/forum/index.php?s=&showtopic=95272&view=findpost&p=1562286
Я размещал файл раздела "Описание" из Руководства по технической эксплуатации ЭДСУ-200" где сказано:
"ЭДСУ представляет собой цифро-аналоговую систему управления рулями" - хотя правильнее - "аналого-цифровая".

Там же есть структурные схемки, где с четырьмя аналоговыми подканалами "сожительствуют" три цифровых подканала.

Аналоговая часть обеспечивает приемлемое и, главное, безопасное управление во всём диапазоне высот и скоростей, а цифровая часть – более комфортное управление. Ну, примерно как ездить на "Москвиче 412" (если кто помнит про такой) и, например, на Вольво.

Кстати, автор РЭ на ЭДСУ-200 Ваш скромный слуга

Я, вроде как, где-то сообщал, что пишу со своей точки зрения (сторонника аналоговой техники). Добавлю, что это не мешает быть специалистом-системотехником, отвечающим за "всю Одессу".
Так что ничего удивительного.

Автор: haker_fox Jun 6 2018, 23:40

Да, точно. Я читал Просто меня что-то смутило.

Автор: Моисей Самуилович Jun 12 2018, 09:45

Хотелось бы всё же от механики (заслонок, крыльев и т.п.) и простейших теоретических учебных моделей, где всё понятно как считать, вернуться к СЛОЖНЫМ (несколько десятков стоек напичканных ПЛИС, DSP, микропроцессорами, прикладным софтом, ОСами и т.п. территориально разнесённых на километры и связанных по EtherNet) троированным ПАП (программно-аппаратным комплексам)

Как там надёжность считать?

Вот когда точный расчёт надёжности становится, мягко говоря, не тривиальной задачей

Автор: one_eight_seven Jun 12 2018, 09:53

А что вы вообще можете об этом знать, если по вашим же словам, ваш тираж - это 1-3 экземпляра…

Автор: adnega Jun 12 2018, 11:20

У меня давно подозрения к данному участнику. Периодически тут появляются всякие Николаи Семеновичи с 30 летним опытом, с 30тыр зарплатой, тысячами написанных программ и сотнями разработанных надежных устройств. Но ни одного доказательства показать не могут.

Автор: Моисей Самуилович Jun 12 2018, 11:37

Вот именно. Наша уникальная система управления единственная в своём роде.
В мире ничего подобного нигде нет

Автор: Vasily_ Jun 12 2018, 11:56

И поэтому вы сейчас нажали кнопу жалоба?
ps. Не успел заметить, как товарища уже отправили на отдых.

Автор: Ильдус Jun 14 2018, 12:56

Перво-на-перво не путать задачи надёжности и безопасности.

Прикладной софт, ОСы и т.п. по надёжности никак не считаются - ошибка может быть (точка!!!)
В авиации самолёты тоже напичканы электроникой и софтом. Так вот в критических системах в не менее трёх подканалах софт пишется независимыми программистами.

Автор: AlexandrY Jun 14 2018, 13:31

Чет тут не то.
Чисто интуитивно надежность как таковая никому не нужна. Она только сокращает потребление и ведет к дефляции, что есть зло.
Нужна только безопасность проистекающая из надежности.
И в embedded системах все сконцентрировано на безопасности.
Не далее как сегодня мне пришла реклама вот такого пакета - http://electronix.ru/redirect.php?http://www.st.com/content/ccc/resource/technical/document/data_brief/group1/1e/a8/20/21/0e/07/4d/40/DM00496586/files/DM00496586.pdf/jcr:content/translations/en.DM00496586.pdf
И там как часть мер обсуждается надежность.
И кстати по высшему уровню SIL 3 нужно только два канала и совсем не надо чтобы их делали разные команды.
Хотя бумаг наплодить по ходу надо тонну разных.

Автор: Ильдус Jun 14 2018, 16:30

Любезный, Вы не обратили внимание, что здесь русскоязычный сайт?
так что Вы хотели сказать? - Только будьте любезны, по русски.

Кстати, Я не заметил, что Вы ответили на вопросы здесь: http://electronix.ru/redirect.php?https://electronix.ru/forum/index.php?s=&showtopic=95272&view=findpost&p=1565551

1) А в чём измеряется эффективность?
2) Безопасности чего? – Робота от людей или людей от робота то же, желательно с опорой на русскоязычные источники.

Извините, любезный, но, ля-ля по клавиатуре - это не мешки ворочать. Прошу ещё раз прощения за не "электронные" примеры.