|
|
|
Аппаратное дублирование, избыточность, отказоустойчивые системы, горячая замена, Где почитать? |
|
|
|
May 10 2012, 12:59
|
Частый гость
Группа: Свой
Сообщений: 197
Регистрация: 17-06-10
Из: Киев
Пользователь №: 57 986
|
Цитата(Ильдус @ May 8 2012, 09:13) Если два оставшихся будут иметь разную полярность, то на выходе КЭ будет ноль (иногда надо учитывать). Приведите пример такого случая. Ваша схема не предусматривает обратную полярность источников E1-Е3.
|
|
|
|
|
May 10 2012, 16:37
|
Местный
Группа: Участник
Сообщений: 230
Регистрация: 5-07-05
Пользователь №: 6 552
|
Цитата(i-mir @ May 10 2012, 15:59) Приведите пример такого случая. Ваша схема не предусматривает обратную полярность источников E1-Е3. Я не понял, в каком месте она (схема) не предусматривает. Например, Е1 может быть и +1 В, и -1 В. Если останется только, например, Е1= (+1) В и Е2= (-5) В, то на выходе будет ноль. У нас четыре подканала работают через такие кворум-элементы. Если вследствие разброса параметров два подканала будут чуть-чуть в плюсе, а два других - чуть-чуть в минусе, то в районе нуля образуется зона нечувствительности. Есть места, очень критичные к зоне нечувствительности, поэтому сигнал искусственно перед КЭ смещается, а после КЭ обратным смещением возвращается на место. См. приложенный файл. На первой странице набрана в microCAP схема из трёх подканалов, работающих через КЭ на общую нагрузку. На второй странице (амплитуда и частота) трёх источников: v(1) = 10 В, 1 Гц; v(2) = 9 В, 0,9 Гц; v(3) = 11 В, 1,1 Гц и v(6) = напряжение на R1 Это просто пример для понимания, как меняется выходной сигнал КЭ от разброса входных. Нет проблем это смоделировать для двух подканалов (но не дома). На третьей странице соединение ОТ в кворум-элементы (именно во множественном числе) для частичного резервирования при четырёх подканалах. Например, закорачивание R1 не влияет на сигналы на остальных трёх резисторах. Естественно, питание источников сигнала и сборок ОТ у каждого подканала своё. Есть случаи, когда надо с трёх подканалов перейти на четыре подканала, при этом, как просили в здесь, без общей точки - для этого надо выкинуть четвёртый источник сигнала и самую нижнюю сборку ОТ.
Прикрепленные файлы
___3.pdf ( 403.27 килобайт )
Кол-во скачиваний: 115
|
|
|
|
|
May 11 2012, 16:49
|
Местный
Группа: Участник
Сообщений: 230
Регистрация: 5-07-05
Пользователь №: 6 552
|
Цитата(Ильдус @ May 10 2012, 19:37) Нет проблем это смоделировать для двух подканалов (но не дома). Я вроде как обещал смоделировать работу двух подканалов с кворум-элементом. См. прилагаемый файл. Схему оставил ту же, что и в предыдущем сообщении. Надеюсь, Вы помните сказанное в сообщении №15 Цитата ОТ - обычный диодный мост, вертикальная диагональ которого питается источником тока I1 - I3. Если ток сигнала Iс через горизонтальную диагональ меньше тока ограничения Io (вертикальной диагонали), то точки А и Б эквипотенциальны (равны). Т.е. если Ic > Io, то на выход сигнал не проходит. Поэтому я просто приравнял амплитуду источников тока первого (верхнего) ОТ (диодного моста) к нулю и, соответственно, ток сигнала первого источника не стал проходить на выход КЭ.
|
|
|
|
|
Jun 3 2014, 05:18
|
Профессионал
Группа: Свой
Сообщений: 1 817
Регистрация: 14-02-07
Из: наших, которые работают за бугром
Пользователь №: 25 368
|
Простите, что подымаю тему. Но вот не нахожу я похожего чего-то по книжкам или стандартам. У меня вроде как и не космос, и не защита для атомных станций. Просто требуется обеспечить отказоустойчивость на высоком уровне, с возможностью полного восстановления системы без остановки. Пока все решается двумя полностью идентичными системами управления, из которых одна активна, а другая в ждущем режиме. Если активная диагностирует неисправность - переключаемся на ждущую. Неисправную тогда можно ремонтировать вплоть до полного отключения. Пока проблема в том, что в конце концов сигнал от активной системы подается на управляющие элементы. И это делает недублированный блок, который является единой точкой отказа (SPOF) Не хочется делать отсебятину - может есть еще какие европейские стандарты по этому поводу? IEC 61508 уже читал. Ближе всего по ихней классификации мне подходит 1oo2D, но только по структуре.
|
|
|
|
|
May 14 2017, 20:13
|
Участник
Группа: Участник
Сообщений: 23
Регистрация: 30-12-08
Пользователь №: 42 857
|
На родном языке: Коваленко А.Е., Гула В.В. - Отказоустойчивые микропроцессорные системы. 1986 Пашковский Г.С. - Задачи оптимального обнаружения и поиска отказов в РЭА (Радио и связь, Надёжность и качество). 1981 Синтез сложных многофункциональных отказоустойчивых систем электроники. А. А. Авакян, В. В. Клюев (Спектр). 2014 Согомонян Е.С., Слабаков Е. В. - Самопроверяемые устройства и отказоустойчивые системы (Радио и связь). 1989 Бортовые системы управления космическими аппаратами: Учебное пособие. Под ред. А.С. Сырова (МАИ-ПРИНТ). 2010 Проектирование и испытание бортовых систем управления. Учебное пособие. Под ред. А.С. Сырова (МАИ-ПРИНТ). 2011 На английском: http://libgen.io/search.php?req=fault+tole...&column=def
Сообщение отредактировал hitch - May 14 2017, 20:15
|
|
|
|
|
May 18 2017, 11:06
|
Знающий
Группа: Свой
Сообщений: 680
Регистрация: 11-02-08
Из: Msk
Пользователь №: 34 950
|
А есть какие то известные цифры, о связи между резервированием и увеличением надежности в аппаратуре, которые опубликованы, и на которые можно просто ссылаться, без собственного расчета?
Я где то слышал, что дублирование повышает надежность в 1.4 раза, а троирование в 1.7. Но сам никогда не считал, не умею. Поэтому хотелось бы увидеть это в виде таблицы, включая четверное резервирование, восьмерное и т.д.
|
|
|
|
|
May 18 2017, 19:29
|
Участник
Группа: Участник
Сообщений: 23
Регистрация: 30-12-08
Пользователь №: 42 857
|
Цитата(Shivers @ May 18 2017, 14:06) Я где то слышал, что дублирование повышает надежность в 1.4 раза, а троирование в 1.7. Не совсем уверен в цифрах, но кажется вы правы. Была где-то логарифмическая характеристика надёжности от количества каналов. При количестве каналов больше 3-4 существенного прироста уже не происходит из-за пропорционального увеличения количества элементов, которое в свою очередь, уменьшает надёжность.
|
|
|
|
|
May 19 2017, 04:54
|
Знающий
Группа: Участник
Сообщений: 518
Регистрация: 29-09-11
Пользователь №: 67 450
|
Цитата(Shivers @ May 18 2017, 15:06) Я где то слышал, что дублирование повышает надежность в 1.4 раза, а троирование в 1.7. Обычно считают так: при дублировании для работы устройства достаточно работы одного канала, поэтому вероятность отказа всего устройства (т.е. обоих каналов одновременно) равна вероятности отказа одного канала, возведенной во вторую степень. При таком расчете не учитывается возможность выдачи каналом недостоверной информации, т.е. для цепей питания пойдет, для информационных - нет. Чтобы обезопаситься от выдачи недостоверной информации используют троирование и мажоритарный элемент для определения наиболее правдоподобного результата. Стоит почитать ГОСТ Р 51891-2008, ISO 1161_1984 Менеджмент риска. Структурная схема надежности и булевы методы, там хорошо и понятно (что удивительно для стандарта) написано.
|
|
|
|
|
May 19 2017, 06:48
|
Знающий
Группа: Свой
Сообщений: 680
Регистрация: 11-02-08
Из: Msk
Пользователь №: 34 950
|
Цитата(novikovfb @ May 19 2017, 07:54) ... вероятность отказа всего устройства (т.е. обоих каналов одновременно) равна вероятности отказа одного канала, возведенной во вторую степень. ... По идее, если дублирование дает увеличение надежности в 1.4, а троирование в 1.7, то ближайшая формула - квадратный корень из числа каналов. Но почему и спрашиваю - хотелось бы взглянуть на готовую таблицу или формулу расчета, а не гадать, или разбираться с методикой. За ссылку на ГОСТ спасибо, но я пока не готов с ним разбираться. У меня просто казуальный интерес, касающийся проектирования интегральных микросхем для космоса. С одной стороны я в курсе, что почти каждый рад. стойкий чип делается с обязательным аппаратным резервированием (обычно троирование) и мажорированием. Один такой процессор стоит как новые жигули. С другой стороны, ходит слух что тот же Илон Маск положил болт на резервирование на уровне интегральной схемы, и в свои аппараты ставит обычную коммерческую ЭКБ, но с каким то чудовищным (10х, 40х ?)резервированием на уровне аппаратных блоков и узлов. В результате он здорово экономит деньги, а получает результат как минимум не хуже. Поэтому было бы просто интересно узнать (но не считать самому) - как увеличивается надежность при резервировании, скажем, 40х. Если извлечь квадратный корень из 40, получится 6 -что навряд ли (оборудования то стало больше в 40 раз!).
|
|
|
|
|
May 19 2017, 16:27
|
Участник
Группа: Участник
Сообщений: 21
Регистрация: 8-12-16
Пользователь №: 94 560
|
Цитата(Shivers @ May 18 2017, 14:06) А есть какие то известные цифры, о связи между резервированием и увеличением надежности в аппаратуре, которые опубликованы, и на которые можно просто ссылаться, без собственного расчета?
Я где то слышал, что дублирование повышает надежность в 1.4 раза, а троирование в 1.7. Но сам никогда не считал, не умею. Поэтому хотелось бы увидеть это в виде таблицы, включая четверное резервирование, восьмерное и т.д. Ответ зависит от вида резервирования, показателя надежности, момента времени, закона распределения и др. Для резервирования с постоянно включенным резервом можете посмотреть книгу В.А. Острейковского "Теория надежности" В книге редакции 2003 года смотрите раздел 5.2 страница 131, формула 5.9.
|
|
|
|
|
May 22 2017, 15:09
|
Участник
Группа: Участник
Сообщений: 23
Регистрация: 30-12-08
Пользователь №: 42 857
|
Ещё 2 источника полностью отвечающие на вопрос о связи между резервированием и увеличением надёжности в аппаратуре: Dubrova E. - Fault-Tolerant Design (Springer-Verlag New York). 2013 - раздел 4.2.2 N-Modular Redundancy и диаграмма 4.10. Фёдоров Ю.Н. - Основы построения АСУТП взрывоопасных производств. Том 1. Методология (Синтег). 2006 - раздел 4.
|
|
|
|
|
May 23 2017, 07:34
|
Знающий
Группа: Свой
Сообщений: 680
Регистрация: 11-02-08
Из: Msk
Пользователь №: 34 950
|
Спасибо большое!
График интересен, но не понятен. К примеру - что такое лямда-Т. Понял только, что это какое то время, но осталось загадкой, что за точка 0.69 лямда-Т, где все кривые сходятся. Еще непонятно, что такое R. Это вероятность работы без сбоев - чем дальше, тем ниже? В таком случае смущает, что после времени 0.69 лямда-Т любой (2 и более) резерв даст меньшую надежность, чем у одного канала. Это по теории так - резервирование дает бенефит только ограниченное время, а потом только вредит?
Спасибо, разобрался.
|
|
|
|
|
Dec 2 2017, 16:27
|
Профессионал
Группа: Свой
Сообщений: 1 687
Регистрация: 11-01-05
Из: Москва
Пользователь №: 1 884
|
Цитата(syoma @ Jun 3 2014, 09:18) Простите, что подымаю тему. Но вот не нахожу я похожего чего-то по книжкам или стандартам. У меня вроде как и не космос, и не защита для атомных станций. Просто требуется обеспечить отказоустойчивость на высоком уровне, с возможностью полного восстановления системы без остановки. Пока все решается двумя полностью идентичными системами управления, из которых одна активна, а другая в ждущем режиме. Если активная диагностирует неисправность - переключаемся на ждущую. Неисправную тогда можно ремонтировать вплоть до полного отключения. Пока проблема в том, что в конце концов сигнал от активной системы подается на управляющие элементы. И это делает недублированный блок, который является единой точкой отказа (SPOF) Не хочется делать отсебятину - может есть еще какие европейские стандарты по этому поводу? IEC 61508 уже читал. Ближе всего по ихней классификации мне подходит 1oo2D, но только по структуре. Что вам мешает выходы обеих управляющих половинок дублировать, ставить 2 свича и дублировать входы управления исполнительных устройств/исполнительные устройства ?
--------------------
Если хочешь узнать, что ждет тебя на дороге впереди, спроси у тех, кто возвращается по ней.
|
|
|
|
|
|
2 чел. читают эту тему (гостей: 2, скрытых пользователей: 0)
Пользователей: 0
|
|
|