Насчет теорем, сложения, перемножения и т.п. - понятно. Но они работают для не связанных между собой событий.
"У каждой аварии есть конкретные имя, фамилия и должность" (Лазарь Каганович)
Например, отказ одного канала в резервированной системе вызван отказом резистора (треснула керамика в результате нарушения технологии производства). Какова вероятность, что при нарушении технологии треснет только один резистор в резервированной системе, где во всех каналах использованы резисторы того же типа?
При этом отказ конкретного резистора имеет вероятность, не противоречащую ТУ на него. И имея вполне определенную вероятность отказа для одного канала резервирования, посчитанную по нормативной документации и проверенную на опытной партии приборов, распространять полученные данные на все приборы - разрешенное трюкачество. Потому что мы не можем знать конкретное будущее конкретной детали в конкретном приборе и полагаемся на вероятности. И для большого количества случаев эти вероятности будут работать. Вероятность отказа 10^-7 будет подтверждаться при 10^7 опытах, даже при 10^6 опытах.

вы же вроде фанат philips ? а тут стм ?
любопытно это ваши лифты ? или это не ваш продукт ?


что за хрень. мне кажется в этих раскладках от уважаемого Ильдуса есть и большой смысл и большой интерес. Многократное резервирование процессорных систем мне кажется весьма мутной затеей.

вопрос имхо классический: а судьи кто ?

Ильдус и спасибо что делитесь опытом.

Ну, это Вы так думаете. Я знаю людей (зам. главного конструктора и выше), которые считают теорию надёжности лженаукой, хорошо, что не "продажной девкой империализма" (с)


Ошибка может быть (и точка!), и никак не обсчитывается.
В авиации принято: "один делает, другой проверяет" – сейчас, к сожалению, это часто нарушается.
Помимо этого в гражданской авиации вводится требование на разнородных (не зависимых) производителей и разработчиков. – Минимизируется вероятность негативного влияния ошибок (хотя ошибки и не обсчитываются).



По поводу разнородности компонентов здесь уже писалось.

Уже давно ни одна авиакатастрофа не является следствием какого-то одного события – всегда комплекс разных факторов. Посмотрите в файле рис. 2-11А и 2-11В на стр. 35, 36 (электронных).

Что касается нарушения технологии производства, то на серьёзных предприятиях раз в год или один раз на партию проводят квалификационные испытания – испытания, подтверждающие, что предприятие способно производить продукцию заданного качества. Хотя, знаю случаи, когда на участке изготовления оставались три пенсионерки и качество – никакое.

Посмотрите в файле рис. 2-2 на стр. 21 (электронная). Заодно рис. 2-3
В авиации отказы техники при катастрофах давно не на первом месте. На рис.2-2 "Человеческие факторы" (так переведено) – это ошибки лётчиков.
"Организационные факторы" (так переведено). . . то, что менеджеров не посчитали за человеков, я согласен

Во-первых, следите за словами.

Во-вторых,мы с уважаемым Ильдусом уже давно дискутируем (именно потому, что у него огромный практический опыт и мне это как раз интересно), потрудитесь почитать сначала.

Посмотрите на структурные схемы систем управления полётом Airbus & Boeing. Здесь они выкладывались. А казаться может многое...


Этот вопрос я уже задавал. Правда в другой ветке. Вот тут
И ответ на этот вопрос находится как раз в этой ветке, только чуть по-ближе к началу.

А вообще, вы, собственно говоря, что сказать-то хотели?

Я извиняюсь, был неправ

Трюк.

Да и само понятие вероятности - какое-то лукавое.
Вряд ли кто-то погибая в аварии будет радоваться тому, что вероятность этого события была равна 1e-7, а не 1e-5.

Почему я считаю понятие вероятности "лукавым", потому что оно не конкретное. И его нельзя точно измерить
И вообще оно изначально придумано для серий в миллиарды штук (или событий). Для МАССОВЫХ явлений
Берём миллиард самолетов и если один из них отказывает за год, то только в этом случае корректно говорить о вероятности отказов 1e-9 в год.
Да и то, это мы определили вероятность отказа не для данного конкретного самолёта, а для всей серии в миллиард штук.
И даже это не говорит, что в следующий год тоже откажет только 1 самолёт из миллиарда.
Так что понятие "вероятности отказа" - это эфемерное понятие.
Пока не проведёшь опыт - её не определишь. А как ты её определил, это уже ПРОШЛАЯ вероятность.
А не настоящая или будущая.

Поэтому всем этим цифрам и расчетам надёжности я не доверяю.

При этом инженер должен знать: какие решения надёжней, какие нет.

Какие увеличивают надёжность, а какие, напротив, уменьшают.
Но полностью доверять расчётным цифрам такого виртуальной эфемерной величины, как вероятность отказа для единичных изделий я бы не стал

Ещё дополню.
Устройство с p=1e-9 может отказать через день, а устройство с p=1e-5 проработать целый год гне отказав.
Так что в реальной жизни на понятие "вероятность отказа" нельзя опираться

Повторюсь, то понятие применимо для гигантских серий изделий, для массовых явления.
А для данного конкретного устройства, изделия, опыта - оно практически бесполезно

Все хуже.
Перед тем как считать надежность и применять ее к функциям безопасности нужно определить риски.
И тут стандарты либо молчат либо вступают в силу совершенно специфичные мелкие отраслевые стандарты.
Их пишут уже все кто не попадя. Но в основном на базе уже произошедший эксцессов, не учитывая развития технологий.
Либо при отсутствии стандарта регламентируется организация процесса оценки рисков без всякой гарантии что все риски будут оценены.
Так вот все вероятности теряют смысл если вы упустили какой либо риск.

Т.е. что-то должно произойти прежде чем люди увидят риск.

Для авиации риски давно определены в авиационных правилах, например, в АП-25, которые я приводил здесь:
https://electronix.ru/forum/index.php?s=&am...t&p=1563279

Кстати, авторство АП-25 принадлежит МАК — межгосударственный авиационный комитет, который объединяет страны СНГ.

АП-25 гармонизированы с FAR 25 — Нормы лётной годности США и CS 25 — Нормы лётной годности Евросоюза (даю сокращённые названия).
- согласитесь, что это далеко не «специфичные мелкие отраслевые стандарты».

Изначально риски оценивает ИКАО, например:
Приложение 6 к Конвенции о международной авиации.
Часть II
Международная авиация
общего назначения. Самолеты.
Стр.19-20 (электронные).
Уровень безопасности. Применение положений настоящего Приложения должно обеспечивать приемлемый
уровень безопасности пассажиров и третьих сторон (под третьими сторонами имеются в виду лица на земле или лица в воздухе на борту других воздушных судов). Кроме того, поскольку некоторые полеты воздушных судов
(массой, как правило, до 5700 кг) международной авиации общего назначения будут выполняться менее опытными и
менее квалифицированными экипажами, с использованием менее надежного оборудования, в соответствии с менее
строгими стандартами и с большей свободой действий, чем полеты воздушных судов, относящихся к коммерческому
воздушному транспорту, было признано в этой связи, что пассажиру такого воздушного судна международной
авиации общего назначения не будет непременно обеспечен тот же уровень безопасности, что и пассажиру,
оплачивающему по тарифу стоимость пользования коммерческим воздушным транспортом. Однако было признано,
что путем обеспечения приемлемой степени безопасности для третьих сторон будет достигаться и приемлемый
уровень безопасности для летных экипажей и пассажиров.
(конец цитаты, см. файл)

Прошу прощения, но, это написано в большей степени юристами, поскольку риски — это не техническое понятие, а связанное во многом с психологией общества.
* * * * *
Требуемые уровни безопасности (риски) и соотношение их с показателями надёжности есть в АП-25.

Ага. Банально монтажница провод плохо припаяла. Как это учесть в формулах расчёта надёжности?

Поэтому мы, разработчики ответственных систем, "не мудрствуем лукаво"© играясь с математическими узорами (формулами расчета надёжности), а используем троирование.

Оно хоть в какой-то степени нивелирует "упущенные риски" и пресловутый "человеческий фактор"


Не соглашусь. Очень даже техническое.
Как на гильотинных ножницах снижают риск того, что оператор отрежет себе руки или голову?
Чисто технически: делают педаль и две кнопки.
Т.е. гильотина может быть запущена только если одна рука оператора на одной кнопке, вторая на другой, а нога на педали.

Как видите, снижение риска решается чисто техническими методами

Ильдус
Или про самолёты, раз уж Вам данная тематика близка.
Какому-то уроду пришло в голову в новой модификации самолёта поменять педали "газ" и "тормоз".
Увеличили он этим риск? На порядки. Потому что у лётчика уже рефлекс где должен быт газ и тормоз.
А инженер взял и поменял ПРИВЫЧНОЕ расположение органов управление и этим увеличил риск катастрофы на порядки.

Это в каких-нибудь Ваших нормативных документах прописано?

Коллега, что же Вы так любите кидаться большими цифрами?
Я приводил требования 1е-9 для одной из критических систем самолёта. На гражданский самолёт транспортной категории даётся вероятность 1е-7 на час полёта.

Вы, считаете теорию надёжности «лженаукой и продажной девкой империализма» (с), поэтому Вы не обратили внимания, что вероятность — это безразмерная величина, а я её привожу на «на час полёта».
- Так принято в среде авиационных экспертов. Считается надёжность в типовом полёте типовой длительности, и, для удобства восприятия полученная безразмерная надёжность делится на длительность этого типового полёта.
Следовательно, для длительности полёта 10 часов (не самая большая, от Москвы до Владивостока ИЛ-62 тратил 9 часов), вероятность катастрофы 2е-6 — грубо говоря одна катастрофа на миллион часов.

Здесь https://aviationtoday.ru/poleznoe/skolko-samoletov-nebe.html можно посмотреть сколько самолётов находится единовременно в воздухе — порядка 25 тыс. в день.

- Получаем в год 9 млн. 125 тыс., и если это не массовое явление, то я умолкаю.
При этом не забываем, что гражданская авиация появилась не десять и не 20 лет назад, поэтому статистика катастроф есть и есть статистика отношения общества к «частоте» этих катастроф — отношение к риску.

А то, что существует вероятность отказа через несколько часов работы для любой, сколько угодно надёжной системы... хоть сто-кратно резервированной — Да!!! Есть такая вероятность, абсолютно надёжного нет ничего. Есть «красная черта» (как модно сейчас говорить), до которой общество готово мириться с безнадёжностью.

Это я не люблю "кидаться большими числами".
Это само понятие "вероятности" математики придумали для описания этих самых "больших чисел".
А некоторые пытаются "натянуть сову на глобус" и использовать это понятие для описание ОДНОГО(!!!) устройства. Когда я намекаю на то, что это не совсем корректно, и что практически бесполезно - люди встречают это в штыки


В этом случае - эта вероятность скорей юридическая величина, а не физическая.
Потому что
а) Никто её не измерял
б) Она не гарантирует, что не будет аварии
Написать можно всё что угодно (бумага всё стерпит), чтобы удовлетворить тем или иным юридическим документам.



Именно так.
Она нужна для очковтирательства и для юридических документов. Ну и для рекламы


В технике ВСЕГДА когда говорят "вероятность отказа" подразумевают какой-то временной интервал (час, год и т.д.). Я думал это очевидно всем


Тем не менее, это не гарантирует, что конкретно Вы не разобьётесь, когда полетите.
И смысл тогда всех этих манипуляций с математическими значками?

Никто не дает никаких гарантий и даже не пытается это делать. Одно событие более вероятное, другое менее. Вы же с этим не будете спорить? Степень этой вероятности можно рассчитать, померить, предположить, обеспечить и т.д. По крайней мере люди уже довольно давно всячески пытаются это делать и у них это получается. Более чем за сто лет построен математический аппарат, который прекрасно работает и великолепно себя зарекомендовал. Вы пытаетесь философствовать на темы, в которых некомпетентны. Надо просто открыть книгу и почитать.

И еще скажу, чтоб два раза не вставать. Какие миллиарды, какие большие числа?)) Побросайте монетку хотя бы, чтобы посмотреть на каких числах уже начнет работать теория вероятностей и с какой погрешностью. Хрестоматийный пример из введения к учебнику. Если вы играете в домино или в карты на деньги, игнорируя базовые принципы теории вероятностей с человеком, который их активно использует, то уже после десятка игр вы скорее всего будете в минусе. Хотя гарантий этого нет и никто не пытается их вам дать. Просто более выигрышная стратегия поведения, которая работает.
То, что прибор с надежностью 10^-9 может отказать через час, а прибор с 10^-7 не откажет и через год — это схоластика чистой воды. Совершенно очевидна вещь, которая не отменяет научные постулаты ни на йоту.


это пять баллов!)))

Как раз об этом я и говорю, что "померить" её невозможно.
А даже и померив - мы узнаём какой вероятность БЫЛА, а не какая она сейчас
Расчитать? А как Вы учтёте в расчётах, что монтажница плохо провод припаяла в разъёме?

А вот повысить надёжность можно. В технике есть для этого разные методики. Например троирование


Вы книжки читаете. И по книжкам о всем судите. А я более 30 лет проектирую резервированные системы управления.
И знаю о чем говорю.


Вы сравнили х..й с пальцем. Тёплое с мягким.
Сложную систему с подбрасыванием монетки


На монетке?
А что мне поподбрасывать в случае сложной радиоэлектронной системы? Не скажете?
Вот и получается, что "Теория вероятностей" "работает" на простейших выхолощенных моделях, где можно отбросить кучу несущественных факторов.

А что делать в случае сложных систем?
Дуру монтажницу отбросите? Ил идиота проектироващика, который неправильно использует элементную базу? Или придурка программиста?

Как Вы их всех учтёте в уравнениях?


Пока Вы "наукой" занимаетесь, я обеспечиваю безопасность людей.
Поэтому у нас с Вами разное мировозрение и мы друг друга не поймём.
Вы жонглируете математическими значками, а я обеспечиваю надёжность практически

Какие ваши предложения?

Больше учить инженеров ПРАКТИЧЕСКИМ навыкам проектирования надёжных систем, а не математическими значками манипулировать.

Опытный инженер знает, что монтажница может накосячить, что молодой инженер может ошибку в схему сделать и прочее.. Что уборщица может шваброй кабель вырвать, что могут поставить контрафакт, что из-за отстутвия транзисторов такой марки, поставят другой и прочее и прочее

а книжный специалист, "теоретиг" считая вероятность ничего не знает про то, как РЕАЛЬНО создаются, работают и обслуживаются сложные системы. Он свои формулы применяет для какой-то абстрактной системы в вакууме

При расчетах вероятности отказа для систем "теоретиги" на такую тьму ЗНАЧИМЫХ факторов "закрывают глаза", не обращают на них внимание, отбрасывают, не учитывают в расчетах, что практическая ценность их вычислений сводится к нулю.

И эти расчеты нужны просто чтобы "натянуть сову на глобус" - пройти аттестацию, получить какие-то разрешительные документы и прочее.

Т.е. эти расчеты чисто юридического плана. Они должны быть иначе тебе не дадут соответствующие разрешительные бумаги

Вот и всё.

Это реальная жизнь, малята.

У кого? Да и вы чем подтвердите свой опыт?



А вот это уже как минимум заносчиво.

Здесь, на этой ветке, некто Моисей Самуилович объяснял, что надёжность и безопасность — две большие разницы. Вы его случайно не знаете?

Что такое надёжность в технике, можно прочесть в ГОСТ 27.002-89. О безопасности там нет ни слова.

Для тех, кто больше верит «один Ильдус написал», а не первоисточникам, привожу цитату:
Надёжность -- Свойство объекта сохранять во времени в установленных пределах значения всех парамет­ров, характеризующих способность выполнять требуемые функции в заданных режимах и ус­ловиях применения, технического обслуживания, хранения и транспортирования. (выделено мной).

На обеспечение безопасности направлены документы несколько иного склада, например, приводимое здесь https://electronix.ru/forum/index.php?s=&am...t&p=1563606 «Руководство по управлению безопасности полётов» - РУБП (так переведено, хотя по смыслу речь идёт о всех аспектах авиационного транспорта).

Здесь https://electronix.ru/forum/index.php?s=&am...t&p=1556348 например, я упоминал «Правила устройства электроустановок» - 330 страниц текста, и ни одной цифры вероятности отказа — весь текст направлен на обеспечение безопасности. Это тоже «Библия», рассчитана на инженерно-технический персонал, занятый проектированием, монтажом и эксплуатацией установок электрического освещения, а также электрооборудования специальных установок.

Я здесь как-то упоминал «Расчёт надёжности». Кроме этого документа для критических систем делается «Анализ функциональных отказов. (Отказобезопасность)» - несколько человек, включая независимых экспертов, несколько месяцев анализируют каждую функцию системы, определяют последствия отказов разных узлов..., привязывают это к ожидаемой надёжности из «Расчёта надёжности»..., составляют план мероприятий что и где это проверить, оценить (в полёте, на пилотажном стенде или стенде натурного моделирования..., по аналогии...)



Не знаю. Мне педали газа на небольшом количестве типов, с которыми я имел дело, не попадались. См. фото: высокие рычаги по центру приборной панели — это РУДы (рукоятки управления двигателями), а слева «лежачие» с красными наболдашниками — аварийные тормоза (что бы резко тормозить, если в полёте неожиданно по курсу появится дряхлый пенсионер ), на другом снимке правый пилот держит левую руку на РУДах

Возможно Вы имели в виду катастрофу Як-42 с хоккейной командой 07 сентября 2011 г. в районе аэродрома г. Ярославля.

Меня в советском институте на предмете «марксистско-ленинская философия» учили, что читать надо первоисточники.
Здесь https://mak-iac.org/rassledovaniya/yak-42-r...434-07-09-2011/ можно скачать «Полный текст Окончательного отчета по катастрофе самолета Як-42Д RA-42434...» - достаточно полная информация, в частности:

«... проходил программу подготовки для ввода в стой на ВС Як-42 в качестве второго пилота .... продолжая выполнять полёты в качестве КВС (командира воздушного судна)-стажёра на ВС Як-40.
Одновременное освоение двух типов ВС не предусмотрено программами подготовки лётного состава...» (стр.35)
- В чистом виде «организационные факторы» (рис. 2-2 из РУБП) оказались причиной трагедии.

Про тормозные площадки на педалях там тоже написано. И почему на Як-42 они не такие, как на Як-40.



Обратите внимание:
Авиакатастрофа с Ярославской командой произошла по «организационным факторам» в 2011 г., а о том, что «организационные факторы» на первом месте в РУБП было написано в 2009 г. (может и раньше, просто я не смотрел)

Ну хорошо с авиацией мы разобрались.
Эта та самая одна из отраслей, и не факт что инженерам других отраслей можно оттуда что-то позаимствовать.
Потому как список рисков в авиации формирует MAК, если я верно понял, и это огромный коллегиальный орган.
Учел все риски MAK-а при разработке и ты чист.

Вы дайте мне методу как мне одному без размазывания ответственности по коллегам оценить все риски в полном объеме.
Чем может угробить или покалечить мое оборудование юзера, а если покалечить, то как - серьезно или не серьезно?
И юзеры часто будут калечится или редко и по какой причине?

Вон тот же искусственный интеллект, сфера гораздо горячее и опаснее авиации.
Uber на автопилоте спокойно задавил пешехода. Оцените-ка там риски или хотя бы скажите как их оценивать. В авиации же так много наработок.

Зачем Вам одному это? - Всё знать не возможно!

Если Вы делаете для себя, то риски Вы определяете себе сами.
Например, если я делаю для себя аппарат магнитотерапии, то с электробезопасностью особо не заморачиваюсь, хотя знаю (в общих чертах) требования, предъявляемые к медицинской технике.

Если речь идёт, например, о воспитании детей, то, зная, что ребёнок маленьким молоточком особо не поранится, «рискую» дать забить гвоздь.
Так же, зная, что на выключенном (отключённом от источника питания) сверлильном станке ребёнок особо не поранится — даю свободно играть.
Зная, что я хорошо научил ребёнка приземляться на «ноги-пружинки», разрешаю прыжки.
* * * * *
Если Вы хотите лично один разработать народно-хозяйственную продукцию, изучите ГОСТ Р 15.201-2000 и все ГОСТы, на которые там есть ссылки...

Заземление должно выполняться с требованиями ГОСТ 12.1.030 и ГОСТ 15151... Присоединительные элементы заземления должны быть расположены в местах, обеспечивающих удобство контроля их переходного сопротивления в процессе изготовления и эксплуатации аппаратуры. ...

...Требования к чистоте воздуха устанавливают в соответствии с положениями, установленными в ГОСТ 17433.
Степень защиты аппаратуры оболочками выбирают в соответствии с ГОСТ 14254.

Масса отдельных узлов и блоков аппаратуры должна быть не более 30 кг. Узлы и блоки аппаратуры массой свыше 30 кг должны иметь устройства для их подъема и удержания в поднятом положении при монтажных работах и техническом обслуживании (ручки, рым-болты и т.п.)....

.... Средства измерения должны быть обеспечены методами и средствами поверки. Поверка должна осуществляться в соответствии с требованиями ГОСТ 8.437, ГОСТ 8.508, ГОСТ 8.401, ГОСТ 8.061, ГОСТ 8.207, ГОСТ 8.395 и других действующих нормативных документов по метрологическому обеспечению.
....
Элементы должны применяться в условиях и режимах, соответствующих требованиям, указанным в стандартах и ТУ на них.
...
Металлические и неметаллические неорганические покрытия должны соответствовать требованиям ГОСТ 9.301
Лакокрасочные покрытия должны соответствовать требованиям ГОСТ 9.032
...
При питании аппаратуры от Госэнергосети общего назначения она должна сохранять работоспособность при нормах качества электрической энергии, установленных в ГОСТ 13109.
...
При конструировании аппаратуры должны быть учтены антропометрические показатели человека-оператора, указанные в ГОСТ 21114.
...
Требования безопасности электротехнической аппаратуры - по ГОСТ 12.2.007.
...
Конструкция аппаратуры должна обеспечивать защиту персонала: - от поражения электрическим током; - от энергетической опасности; - от воздействия высоких температур; - от воздействия ионизирующих и электромагнитных излучений; - от последствий взрыва взрывоопасных элементов, устройств, веществ и материалов; - от огня; - от движущихся частей аппаратуры, а также неустойчивости ее отдельных составных частей при воздействии на них механических нагрузок; - от вредных и опасных веществ, образующихся при функционировании аппаратуры, а также при воздействии внешних факторов.

Для обеспечения безопасности и отражения особенностей эксплуатации аппаратуры должны быть предусмотрены: - инструкция по мерам безопасности обслуживающего персонала при ее эксплуатации, ремонте и проведении профилактических работ; - предупреждающие знаки и специальные надписи (таблички), размещенные в легко доступных для наблюдения местах. Предупреждающие знаки и надписи должны быть выполнены красным цветом. Если аппаратура в процессе эксплуатации будет освещаться красным светом, то надписи должны быть выполнены белым цветом.
...
Выполняйте все требования всех ГОСТов и у Вас всё будет безопасно.
У Вас ещё не пропало желание что-то одному разрабатывать?

Вот именно. Там чистой воды юриспруденция. На базе одних бумажек написал другие и ты чист перед законом. И у тебя "зад прикрыт" если что.

Т.е. это всё, что описал наш коллега, чистой воды бюрократическая чехарда, чтобы "прикрыть свой зад" разного рода бумажками, чтобы в случае чего не оказаться на нарах. Вот и всё.
К обеспечению надёжности всё это имеет весьма косвенное отношение.
Надёжность обеспечивается инженерами-проектировщиками, которые закладывают надёжные решения в вои разработки

Ильдус
У Вас часто встсречается "должна соответствовать ГОСТ такому-то"

Уверяю Вас, это совершенно недостаточно.

Чувствуются Вы уже мутировали и теперь больше юрист, чем инженер. Что для Вас главное "задницу прикрыть бумажками", чтобы "случись что" Вам не сесть на нары. Что для Вас главное чтобы по бумагам всё было хорошо, а по факту "как получиться"

Т.е. главная цель у Вас - это именно соответствовать ГОСТ-ам и прочим циркулярам, а не реальная работа по обеспечению надёжности

А требования ГОСТ зачастую не просто противоречивы, а зачастую противоречат даже здравому смыслу

(Выделено в ссылке мной)
Я начинаю сомневаться, что Вы разработчик — Вы скромничаете, Вы — экстрасенс

Извините, коллега, а когда Вы последний раз что-то разработали и оно пошло в серию???

Я с Вами полностью согласен, что: «Надёжность обеспечивается инженерами-проектировщиками, которые закладывают надёжные решения в свои разработки» - а чем Вы докажете, что Вы Инженер-проектировщик (именно с большой буквы), который способен закладывать надёжные решения? - Мамой поклянётесь?

Когда-то я занимался в радиокружке, и там руководитель учил: «Делай хорошо — плохо само получится». Потом меня старшие Инженеры учили... а когда пришла пора защищать изделие, где я был ведущим разработчиком, ни кто не интересовался моими характеристиками — проверяющих интересовало: «А выполнено требование ГОСТ ааа? А ГОСТ ббб? А ГОСТ ввв?» - и ... чудо!!! Всё что Я разрабатывал, оказалось выполнено по ГОСТам, ОСТам и прочим РД!!!

Всё очень просто! Меня просто так учили. После этого я подводил студентов-практикантов к шкафу и показывал три полки, на которых лежала РКД, по которой изготавливают изделие, и девять полок документации, которая доказывает, что изделие соответствует всем заданным требованиям, включая надёжность и безопасность.

А Вы, коллега, как доказывали, что спроектировали безопасное изделие? - Болтовнёй о том, что Вы тридцать лет конструированием занимаетесь?
* * * * *
Кстати, с экспертами АР МАК мне приходилось и на «ямах» встречаться, и за столом обсуждать спорные вопросы. Это действительно специалисты высокой категории, и ставить за глаза отрицательный диагноз может только неудачник с самомнением. Извините, если что не так.
* * * * *
Сменим примеры.
Есть ОСТ 1 01160-88 «. . . Методы испытаний на молниестойкость»
Ни кто с вольтметром и амперметром, да и осциллографом реальную молнию не измерял. И то, что получают в лабораторных условиях, специалисты по молнии никогда не называют молнией — в лаборатории: «длинная искра».
Но, как-то надо оценивать стойкость оборудования. К тому же, результаты любых испытаний должны быть повторяемы, следовательно должны быть стандартизированные воздействия.

Поэтому пришли к соглашению, что если оборудование соответствует требованиям этого ОСТ, то, скорее всего оно выдержит воздействие молнии.

За «бугром» подход тот же самый. И в их DO-160D стойкость к атмосферному электричеству (не прямое воздействие молнии) есть примерно такие же по форме импульсы воздействия, например, полуспад «Длинной волны» у нас 50 мкс, а у них 60 мкс — с учётом 20 % допуска, это одно и то же.

Я это к тому, что надёжность тоже надо как-то оценивать, повторяю: «Мамой клянусь!!!» - в серьёзных изделиях не проходит.

И всякие: «Пассажиру упавшего самолёта плевать на 10 минус девятой... это может случиться и через час полёта и никогда...» - детский лепет!!!
С тем же успехом можно наплевать на правила дорожного движения — то, что Вы законопослушно стоите на остановке, совершенно не означает, что на Вас никогда не наедет дурак за рулём.

Ещё раз, коллега: «Как доказывали, что Ваша разработка безопасна???»

И всё-таки, вы который раз уже игнорируете предложение показать, или назвать свои разработки. Между прочим, уважаемые Ильдус и AlexandrY давно это сделали. Так вы действительно спроектировали такие системы?


Вот и мне уже который пост интересно, чего это Моисей Самуилович там наразрабатывал, и как аттестовывал??? А то столько болтовни о том, что надо начинать с надёжно запаянного проводка. Кстати, пассажиру станет не легче, если самолёт под управлением системы имени Моисия Самуиловича начнёт вести себя неадекватно при том, что не было "дуры монтажницы" и всё было сделано "просто по-инженерному практически и на совесть". У меня создаётся ощущение, что этот человек просто болтун. Если бы он был действительно практиком, то не раз столкнулся бы с "бумажными вопросами", когда изделие должно соответствовать куче документов. Просто это мировая практика. И её никак не обойти только красивыми заявлениями о практическом проектировании.

Дык сталкиваемся постоянно. Но это я бы сказал больше работа для юристов, чем для инженеров. Прикрываться бумажками

А каждая бумажка - это тома актов испытаний, анализов отказобезопасности, методик оценки соответствия...

Мне довелось общаться с бывшим работником Эрбаса, который закончил там свою карьеру в ранге вице-президента по международной сертификации. Он говорил, что многое делается в угоду тому, что бы юристы фирмы в случае катастрофы (не дай Бог) могли в суде сказать: «Приняты все доступные средства...» - и шутил - «Скоро самолёты будут проектировать юристы».

Рекомендую статью Александра Васильевича Явкина, самого Главного конструктора Бе-200ЧС: «Оружие борьбы за рынок — сертификация» https://www.aviaport.ru/news/2008/11/28/162115.html
* * * * *
«Выполняя требования ГОСТов, разработчик прикрывает свою задницу» - не спорю.

Мне посчастливилось присутствовать на защите механической части проводки управления, в частности, управления стабилизатором. «Пытали» докладчика эксперты из Европейского агентства по авиационной безопасности (EASA).

Стабилизатор — это рулевая поверхность с большой эффективностью, служит для продольной балансировки самолёта в полёте. Привод стабилизатора — двух канальный (понимаю, что дублирование для некоторых — как серпом по фаберже), два электродвигателя через дифференциал работают на червячную передачу. Червячная передача — это винтик, зафиксированный в продольной оси, может только вращаться от привода. На винтике маточная гайка, зафиксированная по вращению и может только перемещаться вдоль винтика. Гайка связана со стабилизатором.

Винтик — это стальной червяк, толщиной с руку. Гайка — бронзовая. Конструкция расположена вертикально.

Итак, вопрос — ответ:

-- Бронзовая гайка перемещаясь по стальному червяку будет изнашиваться и разрушаться. Что будет при разрушении гайки?
-- Сверху и снизу бронзовой гайки закреплены на ней стальные гайки. Стальные гайки прослаблены — пока бронзовая гайка работоспособна, стальные не имеют контакта с червяком. После разрушения бронзовой гайки стальные начинают перемещаться с сильным шумом (вызвано трением), который на проверках не возможно не услышать.
-- Хорошо. А если лопнет червяк?
-- Червяк представляет собой трубу, внутри которой стальной стержень (шпилька), стягивающий своими гайками червяк. Т.е. конструкция не рассыпется.
-- Хорошо. Но, стержень со временем может лопнуть
-- Нижняя часть стержня покрашена яркой красной краской. Внизу есть свободное пространство, куда обломок стержня может «выпасть» и показать краску. Обеспечен удобный доступ для контроля на регламентный работах.
-- Хорошо. Представьте расчёт наработки стержня на обрыв (расчёт надёжности, однако), показывающий, что наработка на обрыв превышает время между регламентами.

Гениально!!! Хотя, на самом деле, конструктора с тридцатилетним стажем, которые разрабатывали эти гайки стержни, могли и не догадываться, что выполняя требование АП-25: «Любое одиночное рассоединение не должно приводить к катастрофе» - прикрыли задницу руководителя проекта и, заодно, спасли задницы будущих авиапассажиров.

Ещё раз. Чем вы занимаетесь? Почему не называете сферу разработок?



Но всё-таки я считаю, что все пытаются минимизировать количество аварий, т.к. это элементарно невыгодно, если говорить только о деньгах и репутации.

Класс! Я имею в виду, что очень интересно. Пишите, пожалуйста, по-больше подобных вещей) Это проливает свет именно в сфере практики, о которой тут так много говорит Моисей Самуилович...

Ну так это не только бумажки для юристов, но и бумажки, написанные техническими специалистами, часть из них написана кровь погибших в авиакатастрофах.

Манера общения очень напоминает некого "Николая Семеновича", аналогичным образом вбрасывавшего неподкрепленные фактами утверждения.




и т.д.

И вот эта ветка - брат близнец.


Похоже на не припаянный провод?

Угу. Правда там его стаж составляет аж 40 лет...
И того чела когда просили показать реальные разработки он упорно игнорировал эти просьбы. Толи секретные сугубо, толи показывать нечего.

А Вы точно не читали документов ИКАО?
Например:
Приложение 13
к Конвенции о международной гражданской авиации
Расследование авиационных происшествий и инцидентов

3.1 Единственной целью расследования авиационного происшествия или инцидента является предотвращение авиационных происшествий и инцидентов в будущем. Целью этой деятельности не является установление доли чьей-либо вины или ответственности.
(выделено мной)


Вы будете смеяться, но, когда-то я о подобном читал в книжке «Заметки следователя» (автор, кажется Шейнин - точно не помню). Там описывается случаи периодического массового брака при производстве электроники для обороны. Соответственно, этим заинтересовались «органы».
Закончилось тем, что следователь пришёл к руководству предприятия и «предсказал», что в следующем месяце опять пойдёт брак... - виной тому нарушение требования паять в нитяных перчатках.

Почему брак идёт с некоторой периодичностью, хотя нарушают постоянно.
Оказывается, следователь проанализировал даты брака и даты ухода монтажниц в декрет. - Беременные женщины вместе с потом выделяют особый секрет, который разъедает пайку.
- За что купил, за то и продаю

Так это действительно реальный случай. Намотка реле особо тонким проводом. Участок "легкотрудниц" если не путаю, Кишинев.
Реле успешно проходили приемо-сдаточные и входной контроль. А через некоторое время появлялся массовый отказ в отдельных партиях.
Потребовался длительный статистический анализ и действительно, часть работниц работала без перчаток, добросовестно считая, что это просто украшение, ничего с руками от провода не случится.
Ой, как много в истории техники таких случаев! Несмотря на очень строгие технологические меры, время от времени подобного рода сбои случаются.
Каждая пополняет коллекцию знаний и опыта, но все-таки появляются все новые.

Извиняюсь что не по теме. Глядя как намеренно снижается ресурс различной техники, в частности автомобилей, хотя характер спроса на авиарынке другой, возникает вопрос - до авиации это не докатилось?

Мануилыч, Вы верно вводную лекцию по теории вероятностей в преферанс проиграли? Ну что за дремучее невежество!
В самом понятии вероятности нет абсолютно никакой мистики.
Вот, напамять: вероятность - это число, равное отношению количества благоприятных исходов к общему количеству опытов. Всё, Карл!!!

Вот надежность уж точно я назвал бы лукавой. Но она, зараза, измеряется.... опаньки! - В вероятности отказа на заданном промежутке времени. Кругом враги!
Похоже Вы так и не дослушали, что ДА, вероятности бывают априорные и апостериорные. Ну так уж получилось в математике. Высшей математике, Мануилыч!
Вы бы не рассуждали прилюдно о вещах, в которых не понимаете.

Удачи в проектировании высоконадежных и отказоустойчивых систем, я если не - то "впрограммисты"!
Кстати, задачка для Вас: Блондинка считает, что вероятность увидеть динозавра, выглянув на улицу, равна 0.5 - Ведь она либо увидит его, либо нет - 50\50 так сказать.
Сможете опровергнуть?

А, и ещё: инженеры применяют, (ис)пользуют, на крайняк юзают, но никогда не "юсают" что-либо как...

Зачем такую древность вспоминать.
Во, сегодня мне принесли образец. Изготовили китайские товарищи из DongshunMotor
Нажмите для просмотра прикрепленного файла
Он не погнутый, там реально так выточена деталь.
Видать беременный токарь точил.
Моторчик-то работает, только ресурс у него будет никакой.



Мы тоже сертифицировали червячную передачу.
Так нам на слово никто не поверил. Заставили сделать 30 тыс. циклов и показать износ.
После того как без смазки шайба стерлась после первых тысяч циклов, сделали систему автоматической смазки.
После того как шайба стала входить в резонанасы стали менять резъбу. И так далее. В целый рисёч вылилось.
Но эт все механика. Наш механик тут постить не будет.

А где у вас тут электроника, тот диагностический охват о котором говорится в ГОСТ ISO 13849-1 и где валидация о которой говорится в ГОСТ ISO 13849-2?

Так ведь вероятность – она вероятная : может отказать через час, а может никогда.
Я приводил пример, когда отказ, типа "обрыв" или "рассоединение" парируется продуманной конструкцией.

По ресурсам и подобному в авиации на слово тоже не верят – первый изготовленный самолёт никогда не летает, а идёт на статические испытания вплоть до разрушения. Потом в серии один самолёт из партии повторяет судьбу первого.

Доводилось несколько недель ходить на натурный стенд управления мимо стенда шасси, на котором в течении этих недель непрерывно убирали и выпускали шасси (может это было и дольше, только у меня закончилась командировка).

Что касается ГОСТ ISO... , то исторически, со времён СССР, сложилось, что авиация – это штучка двойного назначения и контролируется военпредами, которые руководствовались ГОСТами с буковкой "В", а сегодня с буковками "Р В".



Нет, наоборот – идёт борьба за продление ресурса.

Эффективные менеджеры в верхних эшелонах власти авиапрома борются за снижение затрат на капитальные ремонты вплоть до смерти пассажиров (не дай Бог).
При этом апеллируют к "требованиям" ОСТ 1 02776-2001, хотя он называется "Эксплуатация техническая авиационной техники по состоянию. Основные положения".

Очень трудно приходится в официальных ответах не забывать, что предлоги "в" и "на" пишутся отдельно от "адреса".

Продуманная конструкция эт хорошо.
Но где продуманная электроника?
В наше время Industry 4.0 на конструкции далеко не уедешь, ресурсоемкость однако критична, нужны кибер-физические системы.
Где проактивная диагностика, где sensors fusion?
У нас на червячной передаче не менее 4-х датчиков сейчас стоит и в будущем будет еще больше.

Извините, интернет-коллега, Вы о чём?

Я, русский татарин, плохо понимаЙ, что Вы написали аглицкими буковками.
Если Вы беременны цифровизацией, то Вам к Грефу...
Если Вы о технологических укладах, то Вам к Глазьеву...

Но, поскольку был задан вопрос: "Но где продуманная электроника?" – то отвечаю на примере:
Я здесь https://electronix.ru/forum/index.php?s=&am...t&p=1563911 писал уже о требованиях АП-25 серьёзно относиться к отказам, типа "Рассоединение".
В АП-25 есть ещё требование к отказам, типа "Заклинение" – вероятность заклинения экспертами считается равной единице (может быть – точка!!! – Не обсуждается).

Продолжу о стабилизаторе.

В июле 2001 г. разбился Ил-76. Мне довелось общаться с одним из специалистов (экспертов) ЛИИ им. Громова. По его словам ОДНОЙ из причин катастрофы могло быть заклинение кнопки...
Балансировка самолёта по тангажу (в продольной оси) и крену на старых самолётах проводится нерезервированной кнопкой 4КНР (см. файл "Кнопка_4КНР"). Согласитесь, что сюда что-то механически продуманное применить... лично я, электронщик, просто не представляю.

На Бе-200ЧС вместо 4КНР стоит трёх-канальная (три подканала) штучка, по имени "Кнюппель" (см. фото "Кнюппель" с надписями "Крен" и "Пикир" и "Кабр", и файл "100_2761"). В 1997 г. самолётчики (КБ им. Г.М. Бериева) выдвинули требование избежать заклинения кнюппеля.

Пообщались с аэродинамиками, выяснили, что при самопроизвольном перемещении стабилизатора в течении 6 – 8 с, ситуация не выйдет за пределы "СС" (сложная ситуация) и поставили в тракт управления таймер (микросхема 564ИЕ15 – не судите за "старьё", см. годы), которая через 7 с отключает управление стабилизатором. При отпускании кнюппеля и повторном нажатии – управление возвращается на следующие 7 с.

Обращаю внимание, что Ил-76 проектировался по военным нормам, где лётчику платят (или думают, что платят) за то, что рискует жизнью, а Бе-200 проектировался по гражданским нормам (НЛГС и, в последствии, АП-25), где пассажир платит, что бы его доставили из "А" в "Б" без повреждений.

P.S. Что касается датчиков на червячной передаче, то, например, в управлении закрылками на Бе-200ЧС используется дублированный гидропривод вращательного типа (прошу прощения интернет-коллег, у которых аллергия на дублированные системы – нам, разработчикам, выбирать не приходилось). Привод в середине, влево и право уходят валы, которые передают вращение на червячные передачи, перемещающие секции закрылков.
По краям консолей крыла (вообще-то на сегодняшних самолётах крыло одно, а то, что мы называем левым и правым крылом, на самом деле консоли или плоскости одного крыла) стоят электромеханические тормоза, которые мы включаем в случае ненормального перемещения закрылков.

- Контролируется рассинхронизация левых и правых закрылков, контролируется превышение скорости перемещения закрылков, и стоят муфты предельного момента, которые сигнализируют о заклинении кинематики.
И это делает электроника.

Я прочитал АП-25 тот что вы выложили. Там вообще не про электронику.
Зачем вы его тут упоминаете я не понимаю.
Где там про резисторы , конденсаторы, микроконтроллеры, фирмваре, языки программирования?
У электронных компонентов есть четыре вида отказа: замыкание, разрыв, изменение номинала и смена функции у сложных компонентов.
А "Рассоединение" и "Заклинение" как-то не в тему.
Или вы не электроникой там занимаетесь? Или давно на пенсии?

А Вы не задумывались над тем, что Вы можете совершить увлекательное виртуальное путешествие в любую точку Земли ? А если Вам понадобится что-то реальное, то придётся воспользоваться чем-то тяжелее воздуха?

С одной стороны электроника управляется чем-то механическим, даже если это сенсорное управление.
С другой стороны электроника управляет чем-то механическим.
* * * * *
АП-25, которое Вы, якобы, прочитали, гласит:

3.3. Эксплуатация с отказными состояниями.
Самолет должен быть спроектирован и по-
строен таким образом, чтобы в ожидаемых ус-
ловиях эксплуатации при действиях экипажа в
соответствии с РЛЭ:

3.3.1. Каждое отказное состояние (функцио-
нальный отказ, вид отказа системы), приводя-
щее к возникновению катастрофической ситу-
ации (катастрофического эффекта), оценива-
лось как практически невероятное и не возни-
кало вследствие единичного отказа одного из
элементов системы.
(выделено мной)

С какого перепугу Вы решили, что речь идёт только о механической системе?
Главная сложность проектирования резервированных систем – что бы не было общих "точек", мест единичных отказов, по которым все подканалы могут ахнуться.

Для анализа сложных систем очень помогают "деревья отказов", например, ГОСТ Р 27.302-2009

Хм... я тоже имел некоторое отношение к проектированию надежных систем, систем "связанных с жизнеобеспечением". Мне кажется, Ильдус очень хорошо знает все специфические требования к такой разработке.
Да, основное заклинание там "любая одна неисправность не должна приводить к аварии". И совершенно безотносительно - механика это, электроника или девочки программу не так набили.
Единственная поблажка - не может быть короткого замыкания у резистора. Остальное - все может быть. И любая одиночная неисправность должна парироваться.
А уж как разработчик это реализует - большой простор для фантазии. В конце изысканий ( врагу не пожелаю -- ) "Отчет по полноте проверок" и "Отчет по расчету надежности".
Короче, форум - не ускоренное профтехучилище для проектировщиков надежных систем.

Не объясните ли, почему?

Ну вроде такой задачи никто и не ставил.

Как говаривал некий мистер Холмс, если отбросить все НЕвозможные версии, то то, что останется и будет истиной, какой бы МАЛОвероятной она не была.

Подозреваю, что был зафиксирован удручающе (или радующе) малый процент отказов резисторов в виде короткого замыкания.
Да-с, господа, физика-с!


- И что же Вам мешает провести пять перпендикулярных линий?
- Геометрия.
- Эээ игнорируйте её!

Потому что не совсем верно.
По стандарту только у проволочных со специальной намоткой можно игнорировать замыкание
Но нам недавно на сертификации удалось под этот пункт провести тонкопленочные SMD.

Уважаемые интернет-коллеги, Вы будете смеяться, но, я предлагаю Вам вспомнить книги и фильмы про войну. Например, про то, как рискуя жизнями брали "языка" – а какая польза от рядового вражьева войска? – Выяснить, где стыки полков, дивизий или армий.
А если проанализировать трагические для нас провалы – то, большей частью, они произошли на стыке полков, дивизий или армий (иногда там, на стыках, вообще не было войск, однако).

Можете считать, что впадаю в детство (1913 год рождения... или 1813? – склероз, однако), но (!!!) в сложных системах основные ляпы именно на стыке с другими (мамой клянусь!!!).

См. первую картинку:
– на вариантах "А" и "Б" ключи ... не важно какие, может быть любимые моему сердцу с ручным приводом на мраморной плите (см. вторую картинку), а может быть полевые ключи, встроенные в какой-нибудь драйвер;
– "+27 В (1)" и "+27 В (2)" – это независимые шины электропитания;
– диоды... – нужные штучки. "+27 В" – это только на схеме "+27 В", на самом деле они могут быть по допуску и 29 В, и 24,5 В (могу ошибиться – склероз, однако). И если ключи будут замкнуты при разных напряжениях на шинах электропитания, то большие (выжигающие) токи через ключи Вам обеспечены;
– лампа – это красная лампа "СДУ", по которой лётчик имеет полное право покинуть машину;
– МСРП – это пресловутый "черный ящик" – аварийный регистратор, состоящий из кучи чёрных ящиков и одного оранжевого цвета.

Было у нас сделано, как на варианте "А", и долго забот не знали, но, однажды, перед полётом загорелась красная лампа "СДУ". Быстренько (за каких-то пяток часов) выяснили, что у МСРП "съехала крыша", и он выдал встречный плюс, который зажёг красную лампу "СДУ".

С тех пор, на системах, до которых дотягиваются мои руки, стык "дивизий" выполняется по варианту "Б".

Ну а как оно может возникнуть замыкание у пленочного резистора? Тут действительно, физика-с....
Полупроводниковых переходов там нет. Обрыв вывода и пленочного проводника возможны, но самопроизвольное возникновение хорошего проводника между двумя точками... Это вроде передачи тепла от холодного тела к горячему. Теоретически возможно, практически нет.
А у других компонентов, например, у диодов даются данные о распределении видов отказа. Скажем, обрыв в 20%, Пробой (К.З.) в 80% случаев.
В механике обесточенный электродвигатель через редуктор может стать генератором, а исполнительный орган может принять произвольное положение. А вот через червячный редуктор - никогда.

Где-то я слышал фразу: "Никогда не говори никогда". Всё зависит от трения и угла захода резьбы (если не ошибаюсь в названии параметра).

Старая добрая телефонная сеть принимала импульсы от номеронабирателя строго определённой частоты следования. В старых добрых телефонах диск (номеронабиратель) возвращался в исходное положение под действием пружины, при этом через обратимую червячную передачу вращал центробежный тормоз, который стабилизировал частоту повторения импульсов. И всё это без электроники. Правда в червячной передаче вместо гайки была шестерня-солнышко.

Сегодня в электроприводах рулей летательных аппаратов применяют шариковинтовую пару – та же червячная передача, только с малыми потерями на трение – она обратимая. При отказе схемы управления электродвигателем снимается питание с релешки, которая нормально замкнутыми контактами замыкает обмотки двигателя друг на друга. Если под действием аэродинамических сил руль перемещается, то двигатель через обратимую шариковинтовую пару работает генератором под нагрузкой. Т.е. демпфирует болтанку руля.

Интересно, что у пленочного конденсатора такие отказы случаются. Обсуждалось на форуме. Сперва КЗ, потом выгорает до обрыва. Выпускаются специальные конденсаторы, чтобы этого избежать.
(Неплохое видео по теме https://www.youtube.com/watch?v=QgKY5QWehME)

В этом документе рассмотрено дерево отказов для пленочного резистора, и явно указывается, что короткого замыкания не бывает.
https://www.mouser.com/pdfdocs/ResistorTechnicalGuide-2.PDF

И это не очень понятно. Чем принципиально отличаются пленочные конденсатор от резистора в контексте обсуждаемого вопроса.
В других местах указывается риск КЗ, но как менее вероятный.

Угу. В системах, которые столькритичны, пожалуй нужно допустить всё... что угодно... и чего вроде бы быть не может. Но, поскольку это невозможно чисто умозрительно, всё равно будут происходить инциденты, на которых мы будем учиться.

Ходят слухи, что при использовании бессвинцового припоя в некоторых случаях возможно образование оловянных иголок, иногда дотягивающихся до соседнего вывода компонента.

По поводу КЗ в резисторах и конденсаторах
Есть (точнее: был) "Справочник. Надёжность электроизделий".
Там на стр. 289 для резисторов есть таблица с распределением отказов по видам отказов - короткого замыкания нет.
Такая же таблица для конденсаторов на стр.318 - есть и КЗ (преобладает), есть и обрывы.

Где это сильно важно применяются специальные компоненты -- Y-конденсаторы и Fusible-резисторы отказывающие гарантированно с обрывом цепи: