Точняк студент :D

Сумма знаний, накопленных человечеством размещена в книгах. Не думаю, что все знания цивилизации выдали дураки.
В то же время, жалко смотреть на разработчика, который что-то создает, в принципе не понимая теоретически как оно будет работать. Выучил хорошо три аккорда на гитаре и уже Бетховен у него дурак.
Потому, будьте не так категоричны и вульгарны.
Кстати, мир ответственных разработок состоит не только из троированных систем. Если все-таки почитать книжки, то дублированные системы при определенных условиях надежнее троированных.
На моей практике КАКУЩИЕ инженеры, привыкшие бездумно троировать каждую заклепку , были возмущены когда им об этом впервые рассказали. Но против теории не попрешь, в конце-концов, дошла и до них книжная премудрость.

Но использование книжных знаний без наличия собственной головы, здравого смысла и опыта проектирования приводит к плачевным результатам.
Книги никогда не заменят здравый смысл и опыт


Только почему-то как только речь идет о действительно ответственных системах (пуск ракет, системы управления ракет, АСУТП опасных химических производств и т.п.), то там используется не менее чем троирование. Наверное инженеры там дураки и умных книжек не читали

Можете порекомендовать работы по повышению надежности (резервирование и т.п.) аналоговых схем, в том числе - устойчивости к параметрическим отказам?

Извините интернет-коллеги, но, спор об абстрактных дублированных и троированных системах – спор ни о чём.

Например, надо, что бы лампочка ночью обязательно горела. Очень просто: ставим два включателя параллельно, но, при этом возрастает вероятность ложного включения лампочки днём.

А если вместо лампочки пиропатрон в ящике с динамитом? – Два включателя ставим последовательно, но, при этом возрастает вероятность того, что в нужный момент взрыва не будет.
* * * * *
В сложных системах всё сложнее, например, вычислитель автопилота. Ставим параллельно два вычислителя… а что делать, если один вычислитель говорит: "Влево" – а другой – "Вправо"? Ещё должен быть электронный судья, который выключит обоих (!). Безнадёжность возрастает более, чем в два раза, но, лётчик проживёт дольше. Кстати, это дублированная система или как? В моём кругу это называется "канал с контролем".
– У нас двухканальный автопилот это две пары вычислителей. После второго критического отказа лётчик берёт управление на себя.

А если это бесчеловечный САМолёт (сам летает, без лётчика)? – Ставим в параллель три вычислителя и "не убиваемого" судью (правильней говорить: "не убиваемых судей"). Если один вычислитель противоречит двум, то "судья" его исключает. Если появляется разногласие между двумя оставшимися, то "судья" фактически случайным образом оставляет одного – вероятность правильного выбора 0,5.

– Если это было бы три выключателя на лампочку, то говорили бы о троировании, а здесь говорим об одноотказной системе: после любого одного критического отказа функция управления сохраняется.
В электродистанционных системах управления ставят либо три пары вычислителей, либо четыре параллельных вычислителя с "не убиваемыми" судьями.

P.S. Это очень утрировано.





Посмотрите здесь http://stu.scask.ru/book_ar2.php?id=94

Кворум-элементы (КЭ) обычно дополняются контролем разницы (разбежки) между выходом подканала вычислителя и выходом КЭ. При превышении заданного порога разбежки этот подканал выключается из контура управления.

"А мужики-то не знали"©
Судя по Вашим словам Вы только только открыли для себя мир резервированных систем и дивитесь.
Да. Именно так. Как Вы сказали.
И в реальной жизни приходится мириться с недостатками разных схем резервирования.
Приходится делать выбор, что Вам важней: надёжное включение или надёжное выключение.
В ПАЗ-ах важней отключение. Поэтому там мирятся с тем, что велика вероятность ложного отключения. Почему? Потому что "лучше перебдеть, чем недобдеть".
При ложном отключении просто будет материальный ущерб.
А при не отключении - человеческие жертвы.

Поэтому на что-то приходится "закрывать глаза".

Это жизнь.

Это только в книжках всё идеально.
А в реальной жизни приходится идти на компромис

Ильдус
Поэтому не слушайте дураков, которые предлагают Вам сэкономить с десяток тысяч евро за счет использования дублированной системы управления вместо троированной.

Они Вам что-то будут твердить про математику, про вероятность отказа и прочее.
Но когда Вы сгорите, Вам вряд ли будет легче от понимания, что по расчётам получалось, что вероятность отказа дублированной системы даже меньше, чем троированной.

Поэтому где реально ответственные системы и речь идёт о жизни людей, то инженеры не "мудрствуют лукаво" и юсают троированные системы

В системе управления, отказ которой принесёт убыток в сотни миллионов евро вряд ли стоит "экономить на спичках", использую дублирование вместо троирования под эгидой "а это позволит сэкономить нам пару десятков тысяч евро"

Вы бы их почитали для начала, может быть знали бы тогда, что в них как раз всё не идеально.

Уважаемый Ильдус, как я понял вы "в теме" Расскажите, пожалуйста, как делается "судья"? Ведь от него зависит будет ли отключен неисправный элемент. А если даст сбой сам судья? В чём его соль и надёжность? прост как тапок? Или просто считаем, что он не может дать сбой?


Были случаи в гражданской авиации, когда из трёх приёмников воздушного давления два выходили из строя (или обмерзали) и каким-то образом выдавали "левые", но одинаковые значения. Судья отключал третьего, который выдавал значения не совпадающие ни с кем, но зато правильные! Вот и нюанс)))


В-первую очередь на этом форуме исчезает желание слушать вас, и ваших многочисленных клонов. Страдающих манией величия и уникальными знаниями, недоступными простым людям.



А станет легче от того, что какой-то "умник" с форума призывал не читать книжек, а слушать его советы, не привязанные к жизни?

Вы тут говорили, что разработали таких устройств около десятка. Я даже не прошу показать, т.к. они секретные. Назовите их по пунктам.


И откуда такие умники как вы знание-то получаете? В беседах под деревом? Собираетесь в научный кружок, и передаёте знания только избранным?

Учите матчасть на предмет того, от чего защищают троированные системы.
А троированные системы гарантированно защищают от отказа ОДНОГО канала резервирования.
ОДНОГО, Карл

Поэтому всякие инсинуации на тему "а что будет если откажут два канала из трёх" от того, что человек не в теме. "Будет" всё что угодно. Троированные системы и не должны гарантировать правильную работу при отказе более чем одного канала резервирования


Я не призываю не читать книжки "теоретиков" и математиков. Я призываю не верить им слепо. Относится к инфе в книжках критически и включать голову. И больше слушать "практиков". Т.е. инженеров, которые сами, лично, проектировали троированные системы

Вот взять хотя бы утверждение Шеннона из-за которого и разгорелся весь "сыр-бор" в данной теме.

Я про то, что "из не надёжных компонентов можно сделать устройство с как угодно высокой степенью надёжности".

Сказать можно всё что угодно.
А ты мне сделай из гавна систему с надёжностью 9 девяток после запятой.
Замучаешься пыль глотать.

Потому что "теория" имеет дело с абстрактными, идеальными обобщенными моделями.
А в жизни всегда есть куча нюансов

Ок. Зачёт.

Ваш стиль изложения скорее говорит об обратном. Впрочем, это могут быть погрешности восприятия. Но тогда и вам следует на форуме снизить градус эмоций, исключить слова, оскорбляющие авторов книг, а также присутствующих здесь людей. И выражаться ясно, толково и по-деловому. Тогда и многозначаности толкований не будет.

Я с вами согласен в том, что практиков интересно послушать, это естественно. Но где они??? Вот в Иркутске у меня тут под боком таких людей нет. На авиазавод (одно из наших крупных предприятий) просто не пройдёшь, тем более за консультаций. Вот и остаётся интернет с форумами, да книги. И вот возникает вопрос. Вы говорите, что спроектировали не одну такую систему. Ну и как вам верить. Вы же не один пример не привели. Зато используете кучу эмоциональных оборотов, что может быть естественно в вашем кругу общения, но совершенно не уместно здесь, на форуме. Естествено у меня лично снижается степень доверия к вам. Создаётся ощущение (может быть и ложное), что вы просто пришли сюда покрасоваться.

Теория всегда такова. И не только по надёжности. Возьмите математику. Все эти диффуры, матрицы - скукотень. в чистом виде. Но попробуйте решить пару примеров из электротехники, и вы поймёте, что без этих знаний вам там тяжко придётся. Не надо возводить теорию в один угол, а практику - в другой. Они единое целое. Вы же не говорите, что ваша левая почка главнее правой. Они обе нужны. И жить без одной можно, но природа-то дала две)

Ну это для любого образованного человека ясно. И никогда теория не претендует на карт-бланш.

возможно ли гарантированно защитить от единичного необратимого отказа (компонента/канала) систему , в которой 90% ( весу/количеству элементов) только дублированные подсистемы а остальные как придется - троированные и т.д ?

Я сторонник: "Действительно, прост, как тапок!"
Я сторонник кворум-элементов (КЭ) на пассивных деталях. Ссылку http://stu.scask.ru/book_ar2.php?id=94 я уже приводил. Там на рис. XI.60 схема, в которой вместо источника питания (Iо) диодных мостов ошибочно указан полярный конденсатор.
Более подробно можно глянуть здесь: https://cloud.mail.ru/public/LC9H/bRUtHEPgr

Безотказного ничего не бывает, поэтому на регламентных работах (раз в пару лет) проводится "контроль средств контроля" – поочерёдно в каждый подканал вводится рассогласование, по которому "блок контроля" этого подканала должен отключить питание диодных мостов (в данном случае они сыграют роль ключей) и выдать сигнализацию.

Это в вычислительной части, где сигналы в пределах рабочего диапазона не предсказуемы. Сигнал вычислителя затем поступает на исполнительный механизм (привод). Привод описывается несложной (для средств контроля) математической моделью. Не убиваемый КЭ тоже может ломаться, поэтому у нас кворумированные сигналы вычислителя (одинаковые по амплитуде и фазе, но, физически раздельные) раздельно поступают на привод и электронную модель привода, и там свой контроль.

Т.е. если КЭ в случае своей поломки пропустит неправильный сигнал, то это ловится на следующем участке тракта. И это "контроль" тоже контролируется на регламентных работах.
* * * * *
КЭ на диодных мостах в работе, например, с четырьмя подканалами вычислителя отбрасывает крайние по уровню сигналы, а из оставшихся двух в середине (на числовой оси) выбирает меньший по уровню. Если один подканал вычислителя скачком выдаёт большой ложный сигнал, то КЭ на диодных мостах на выходе выдаст скачок не превышающий рабочей погрешности вычислителей.

Есть, так называемый (у нас) американский кворум на операционных усилителях, который вычисляет среднее арифметическое из нескольких входных. Здесь при скачке сигнала одного из входных сигналов на выходе будет скачок меньший в число подканалов вычислителей, но, гораздо больший, чем в диодном КЭ. Есть ещё отрицательные нюансы, которые надо учитывать.

Вы имеете в виду https://mak-iac.org/rassledovaniya/an-148-1...704-11-02-2018/
По этому поводу я высказал своё скромное мнение здесь
https://www.aviaport.ru/conferences/45245/#p511249
Подчеркну из сказанного в ссылке:
" Сигнализация о не включении обогрева, и сигнализация о необходимости сравнить приборные скорости разных источников НЕ красная, а ЖЁЛТАЯ, т.е. не требует немедленных действий.
Я не лётчик, но, уверен, что взлёт и набор высоты НЕ относится к "незагруженном этапе полета".

Сигнализацию лётчики видели, но, действовали по инструкции – отложили на потом."
* * * * *
Задолго до этого Ан-148 на туполевской машине система воздушных сигналов (СВС или что-то аналогичное) ложно выдало угол атаки градусов 80, ограничитель предельных режимов переложил рули на полный ход на пикирование. Хорошо, что высоты хватило и лётчики отключили автоматику.

На сегодняшний день правила проектирования гражданской авиатехники требуют:
– разнородное программное обеспечение, написанное независимыми программистами;
– разнородное железо, разработанное независимыми схемотехниками на разнородной элементной базе.

Но (!), то что было на туполевской машине – это алгоритмическая ошибка. На сегодняшний день лично я не знаю, как этого избежать. Знаю только, что планирование "пятилетку за год" способствует появлению таких ошибок.

Спасибо огромное! Вы очень интересно рассказываете! Пойду читать ваш пост на aviaport.ru.

Напридумывать можно без проблем, например, на реальном самолёте тормозные щитки (ТЩ) дублируётся методом секционирования.
Каждая секция выпускается / убирается подачей питания на электрогидроклапан по двух-проводной схеме.
- Если любой транзистор станет "гвоздиком", то ложного перемещения не будет.
- Если любой транзистор станет изолятором, то сработает одна из секций ТЩ (с пониженной эффективностью).

При проектировании надёжных систем всегда приходится выбирать между "плохо" и "очень плохо"

Не подскажете, есть ли какие-либо книги, по проектированию (ну или хотя бы подробно описывающие) ЭДСУ, её особенности? Есть, конечно, в сети отрывочные документы для Airbus, но на книги не похоже.

Есть КТ-254 http://kaf401.rloc.ru/ASORLD/KT-254.pdf - такая же "библия", как Моральный кодекс строителя коммунизма", только листов много больше.

Описание ЭДСУ или СДУ (система дистанционного управления) видел только в Руководствах по эксплуатации этих систем, и то, только в объёме, необходимом для обслуживания. Собственно и для Airbus то же самое.


Есть КТ-254 http://kaf401.rloc.ru/ASORLD/KT-254.pdf - такая же "библия", как Моральный кодекс строителя коммунизма", только листов много больше.

Описание ЭДСУ или СДУ (система дистанционного управления) видел только в Руководствах по эксплуатации этих систем, и то, только в объёме, необходимом для обслуживания. Собственно и для Airbus то же самое.

В интернете можно найти на Боинг (см. файл), но, я английским не владею, тем не менее у меня сложилось мнение, что у них где-то "за кадром" описания есть супер-пупер компьютер, которому они верят, как Богу.
Кстати, у них три тройки с использованием процессоров разных фирм.

Прошу пардона за излишне резкие выражения.
Просто меня возмутило это:


Типа "Вы всё тут дураки! Читайте Шеннона как я".
В то время как именно Шеннона НИКТО и не читает. Среди разработчиков резервированных систем. Есть более прикладная литература.Хотя её крайне мало.

А использование книги Шеннона при разработке троированных систем управления - это все равно что использовать только законы Максвелла для расчета схем.

Да законы Максвелла выполняются в электрических схемах.
Но на практике мы пользуемся другими методами расчета.

Так и с Шенноном. Вещь красивая, абстрактная. Но на практике практически не применимая

ссылку на одну из "книжек" я дал, ещё есть см. файл "Руководство по методам оценки безопасности..." - основной смысл : думать, думать, думать и не забывать про здравый смысл.

Собственно описание одного из вариантов ЭДСУ см. файл ЭДСУ-200RE_описание. - если что, то писал как бы для себя и публикую из шкурнических интересов - может быть придётся писать подобное на модификацию, поэтому моя благодарность за замечания не будет знать границ в пределах разумного.

Кстати, это тоже книжки - не верующие в книги могут не читать.

Книг очень мало.
И причем у разных авторов зачастую прямо противоположный взгляд на методы резервирования и по разному идут расчеты надёжности.
Так что всё равно самому придётся головой думать

Кроме того, хочу заметить, что в ответственных системах кроме обеспечения низкой "вероятности отказа" не менее важно обеспечивать БЕЗОПАСНОСТЬ. А "надёжность" и "безопасность" - не тождественные понятия

Поэтому даже идут на уменьшение надежности если это приведет к большей безопасности.

Т.е. отказы бывают более критичные и менее критичные.

И зачастую чтобы снизить вероятность "опасного" отказа приходится увеличивать вероятность безопасных отказов

А что касается книг. То даташиты читайте на троированные системы.
Хороших книг по троированным системам управления практически нет.

Господа, спасибо за информацию. Ильдус, вам отдельное спасибо за книги! Буду неспешно изучать)

Интересный подход.
Вообще-то , если система надежной не получается, то, конечно, ее лучше выбросить. Но заодно и не играться с опасными вещами.
Но чтобы продолжать работать с опасными вещами совсем без систем безопасности - что-то новенькое.
Если мы делаем систему разделения ступеней и она никак не получается требуемой надежности, то что делать? Не будем вообще ступени разделять, повременим с полетами поскольку еще не доросли, или полетим с системой уровня "как бог даст"?

Система аварийного спасения космонавтов или кресло с катапультой для летчиков - из этой серии. Сделать абсолютно надежным аппарат не получилось, пусть будет хотя бы безопасным.

То есть, сначала разработали троированное кресло, но когда оно абсолютно надежно катапультировало летчика, но кусками, то выяснилось, что это небезопасно, и пошли на снижение надёжности?

Интересный подход: "Если задача не имеет нравящегося мне решения, значит её вообще решать не надо"


Расскажите нам об этом. Как вы к этому пришли


Вы хотите, чтобы я занялся решением ВАШЕЙ конкретной проблемы, с которой Вы не можете справиться?
Давайте тогда обсудим сумму моего гонорара



Если это троллинг - то ну очень толстый

А если кто-то не понял мои слова "даже идут на уменьшение надежности если это приведет к большей безопасности" приведу пример.

Система диагностики может не дать запустить двигатель на ракете на старте ошибочно решив, что в системе есть неисправность, хотя её на самом деле нет.
Но это лучше чем совсем убрать систему диагностики (руководствуясь придуманным идиотами правилом "чем меньше элементов в системе - тем она надёжней", правилом, которое без оговорок работает только для "систем" из двух резисторов) и пуститься с отказом, который приведёт к тому, что люди погибнут.


Таким образом мы УХУДШИЛИ надёжность. Потому что увеличили вероятность отказа.
НО.
За счёт увеличения вероятности безопасных отказов мы снизили вероятность опасных отказов в заданном интервале времени

Ах вон вы про что. Это называется "подмена понятий" вообще-то. И к надёжности отношения не имеет.

Продолжаете троллить?
Ну тогда я пас с Вами что-то обсуждать и что-то Вам объяснять.

Эээх , Мануилыч, жив курилка?!

Специально для вас некто Крупский уже довольно давно написал:
— Нет ничего практичнее хорошей теории.

Но вы же книжек не читаете..... Ттттттесла доморрррощенный, блин....

На заборе тоже написано. А там даже дров нет.
Если такой умный сделайте из гамна систему с надёжностью 9 девяток после запятой.
Вам же Шеннон написал в книжке, что "ноу проблем", что из ненадёжных компонентов можно сделать систему с как угодно высокой надёжностью

Или рассчитайте мне схему пользуясь только 4-мя уравнениями Максвелла. Или теория Максвелла, на которой базируется всё электричество и магнетизм, недостаточно хороша и практична?

То, что надёжность и безопасность — не одно и тоже, подтверждается хотя бы наличием стандартов по БНКТ — Безопасность, Надёжность, Контролепригодность и Технологичность, например ГОСТ Р 56079-2014 (в интернете легко найти).

А вот по поводу повышения безопасности за счёт надёжности — не согласен, они скорее дополняют друг друга. Точнее - надёжность является одной (только одной) из составляющих безопасности.

Интернет-коллеги, обратите внимание, что в одном ГОСТе находятся вместе с Безопасностью и Надёжностью ещё Контролепригодность и Технологичность.
- Если изделие не контролепригодно - качество его не возможно проконтролировать, то верить в безопасность и надёжность такого изделия могут только очень наивные.
- Если технология изготовления изделия требует золотые руки дяди Васи, то безопасность и надёжность изделия будут зависеть от того, как похмелился дядя Вася.


Коллега, извините, зачем Вы так пугаете народ? Девять девяток после запятой — это 1*10 в минус девятой степени (мне так привычнее).

Например, выписка из реальных требований из реального Тех.задания на ЭДСУ для реального самолёта:

Вероятность пассивного отказа аппаратной части, при котором рулевые поверхности и механизация останавливаются или отрабатывают в нейтральное (исходное) положение, должна быть:
- не более 1*10 минус 9 на один час полета для управления РВ;
- не более 1*10 минус 9 на один час полета для управления РН;
- не более 1*10 минус 9 на один час полета для управления элеронами;
. . . . .
Вероятность отказа, приводящего к самопроизвольному перемещению любой управляемой поверхности за пределы зоны детекции отказа не должна превышать 0,5*10 минус 9 на один час полета.
* * * * *
Эти требования обеспечивают четыре работающих в параллель подканала. Расчётная вероятность отказа 10 минус 12 и меньше. Расчёт надёжности согласовывался с экспертами из ЛИИ им. Громова.

Реализовано: на операционных усилителях 140УД6 и 1401УД2; самые маленькие транзисторы — 2Т3117 и 2Т3108; диоды — 2Д510 и матрицы 2Д906; резисторы С2-36 и С2-33Н не менее 0,125 Вт; логика собрана на 564 серии, внешние соединители — СНЦ23. Блоки вторичного электропитания — импульсные, с рабочей частотой 2400 Гц (не ошибка, именно 2,4 кГц).

Вся электроника расположена в двух шкафах по 30 кг, разнесённых по разным бортам. Потребление — 1 кВт.

А вы имеете право назвать модель самолёта?

Многоцелевой самолёт-амфибия Бе-200ЧС.

Не в коем случае не подвергаю ничего сомнению и никакой критике... но... почему 564-я? А как же процессоры или микроконтроллеры?

В 1998 г., когда мы разрабатывали этот вариант ЭДСУ, я о процессорах что-то знал, а микроконтроллеры... - даже слов таких не знал.

Теперь понятно. Я знаю, что Бе-200 довольно взрослый самолёт, ведь его собирали у нас в Иркутске на авизазаводе, и очень часто приходилось слышать эту марку))) Т.е., по-сути, разрабатывали ЭДСУ на той базе, которая была известна? И если бы знали доскольнально тот же i80486, то могли бы сделать и на нём? Или какие-то ограничения всё-таки имелись?

это же не вычислитель, и как МП может заменить кучу логических вентилей?

Лично я считаю, что любителей иностранщины (импорта) надо судить за измену Родине
Да и в те годы особого доверия к цифровой технике у нас не было.

Сегодня есть российские (конкретно не знаю, я по крупному – по системе) При модернизации применим и процессоры, и микропроцессоры, и ПЛИСы.
Но (!!!) ошибки и в "железе", и в программном обеспечении никто не отменял, поэтому подканалы должны быть разнородными по "железу" и ПО. См. КТ-178В - сегодня действует уже КТ-178С (DO-178С)

Вообще не понял, какая разница МП может заменить любую логическую схему с соответствующим программным обеспечением, другое дело, что быстродействие может пострадать. Но, поскольку речь идёт о приводах, полагаю, что здесь не имеет большого значения. Да. не вычислитель. Но вычислительная техника может привнести много новых возможностей, которые делать на логических элементах просто невыгодно.


Я работаю со схемотехникой профессионально почти каждый день. И как бы не сильна была моя любовь к Родине, но я куплю импортный stm32f103 индустриального диапазона за 100 р, а не керамический отечественный клон с военной приёмкой за 20000 руб.

А логические элементы разве не относятся к цифровой технике? И потом, из отечественных были клоны импортных микропроцессорных комплектов. Тажа древняя, но всё-таки серия КР580.

Понятно.

о как. видел как летал самолёт в 1989, январь-февраль ... но погуглив, понял что видел А-40.
Промеряли бухты черноморского региона на взлёт-посадку.
А производят и тот и тот вроде бы у Бериева, в Таганроге?


(круглый)

А оно надо?
Если руководствоваться здравым смыслом и делать только то, что нужно – результат просто удивительный.
Например, в этом году рассекретили и опубликовали Научно-технический отчёт по "Луноход-2"
http://russianspacesystems.ru/wp-content/u..._Lunokhod_2.pdf
– На радиолампах, с транзисторами, разряды в последовательном цифровом коде переключались релешками… – преклоняюсь перед разработчиками тех времён!!!
* * * * *
В начале 80-х годов прошлого столетия на нашей фабрике была проведена экспериментальная работа по замене одного резерва аналогового вычислителя СДУ-10 (для Су-27) на цифровой вычислитель (или правильно говорить "вычислитель на вычислительной технике" ).
Цель - определить способность цифры считать так же быстро, как аналог. Результат превзошёл ожидания, но, работы были прекращены.

Почему? – В 1983 г. произошло падение истребителя “Торнадо” вследствие отказа вычислителя системы воздушных сигналов, вызванного воздействием сильных электромагнитных полей. Значение электрической составляющей напряженности электромагнитного поля в районе места падения, находящегося в районе передатчика “Голос Америки”, составляло 70 В/м.
Для справки: напряжённость, создаваемая молнией – до 900 кВ/м.

При этом в начале 80-х Су-27 с аналоговой СДУ испытывался на воздействие высоко-интенсивных электро-магнитных полей с положительным результатом.




Где производят Бе-200, см здесь https://russianplanes.net/planelist/Beriev/Be-200

А-40 не производят ни где. Последний прототип распилили на металлолом лет десять назад.

Странно. В одном из постов вы сказали, что ничего не знали о микроконтроллерах, а о процессорах - только слышали. Вот я и сделал вывод, что сделали на том, что знали. Это не хорошо и не плохо. Если прибор выполняет то, что он него требуют.

А у них другой элементной базы и не было. Т.е., цифровые микросхемы были, но могли не проходить по требованиям. Да, люди делали на транзисторах, реле и лампах то, что сейчас можно сделать на современных микросхемах. Да и далеко сейчас уедем, если будем использовать схемотехнику 70-х, 80-х.

1983 год закончился 35 лет назад))) Сейчас 2018. На микропроцессорах и микроконтроллерах летают "эйрбасы", "боинги". Вы же это не хуже меня знаете. И, я полагаю, современные системы более экономичны в планет энергопотребления, проще в диагностике, отладке, калибровке и настройке. Надёжность их выше, хотя бы по причине высокой интеграции схемы на куске кремения. Они открывают широкие возможнсти: ну хотя бы банальное логгирование. Ведь в воздухе разно может быть. Прилетел на землю, посмотрел лог, сделал выводы. Система сама может сообщать о том, что в ней что-то пора заменить, или обслужить, или выбросить. Конечно, с одной стороны есть мудрость: работает - не трогай. Но так можно было бы до сих пор на паровозах ездить, а то и на тележке с лошадью)))

Я не специалист в авионике. Интерес к ней у меня сугубо личный, как к произведению искусства. Но поскольку я немного в теме (занимаюсь электроникой и программированием), то некоторые ваши утверждения у меня вызывают как минимум вопросы. Которые я и задаю))) Надеюсь, без обид.

З.Ы. Тут самое главное не оправдывать старые подходы нежеланием изучать новые возможности. Хотя иногда я сам этим отличаюсь))))

Вы неправильно интерпретируете стандарт.

Контролепригодность - это возможность контроля заданными средствами.
И там не про технологичность, а про ремонтную технологичность

А цифры 10^-9 как-то выглядят нереально.
Т.е. их нельзя перепроверить на промежутке менее 100 лет. А именно такой горизонт принято считать предельным в промышленности.
У самого высокого уровня эффективности защиты в промышленности стоит цифра 10^-7
И эта цифра применяется к рискам с катастрофическими последствиями.

Вы не занимаетесь такими изделиями? Если да, то могли бы привести ссылки. Ну пусть даже, если это не ваши изделия. Вы их где-то приводили, но я найти не могу(((

Вот: EN ISO13849-1 (PLe/Safety Category4), IEC 61508 (SIL3) certified
Нажмите для просмотра прикрепленного файла

Или вот две стороны другого контроллера
Нажмите для просмотра прикрепленного файла
Нажмите для просмотра прикрепленного файла

Если заглянуть в EN ISO13849-1 то там PL (Performance Level) уровня "e" - самый высокий уровень безопасности в промышленности.
И ему соответствует уровень надежности функций безопасности в 10^-7
Надежность других функций (не функций безопасности) конечно можно поднимать и выше, только кому это надо?

Вы о "промышленности", а я об авиации. Для примера выписка из "Библии" разработчиков авиационной техники:
4.7. Отказное состояние (функциональный
отказ, вид отказа системы) может быть отнесе-
но к событиям практически невероятным, если
выполняется одно из следующих условий:
(а) Указанное состояние возникает в резуль-
тате двух и более независимых последователь-
ных отказов различных элементов рассматри-
ваемой системы или взаимодействующих с ней
систем с вероятностью менее 10 в минус 9 на час полета
по типовому профилю;
"Авиационные правила. Часть 25. Нормы лётной годности самолётов транспортной категории"
(См. файл)
* * * * *
Кстати, это согласуется с "Вашими промышленными" 10 в минус 7.
Если мне не изменяет склероз, то в НЛГС (Нормы лётной годности гражданских самолётов СССР) было приведено обоснование этих требований:
– по экономическим соображением и экспертным оценкам для общества приемлема авиакатастрофа (гибель людей) не чаще, грубо говоря, чем один случай на 10 млн. часов полёта (вспоминаем исландский вулкан Э́йяфьядлайё̀кюдль, из-за которого авиационные власти Европы отменили авиарейсы 16—20 апреля 2010 года в его районе – сколько было недовольных пассажиров, а авиакомпании даже проводили опытные полёты без пассажиров для доказательства безопасности). Далее, по экспертным оценкам на абстрактном самолёте 100 критических систем (которые могут угробить пассажиров и экипаж) – отсюда требование 10 в минус 9 степени.
* * * * *
Поскольку эти цифры действительно нельзя проверить опытным путём, то эксперты по авиационной безопасности расчёты надёжности с результатом хуже 10 в минус 12 даже смотреть не будут.
* * * * *
В АП-25 на стр. 236 (электронной) приведены определения разных ситуаций на самолёте с соответствием показателей надёжности.


Ничего странного! Я же сказал о себе, а не за всю авиацию.
В соседнем отделе разрабатывали (и разработали) систему автоматического управления (САУ-10) на процессоре на тот же Су-27. Но !!! САУ можно отключить. Из той же "Библии" АП-25:
8.2.7.12. При автоматическом управлении
полетом самолета с исправной САУ пилотам
должна быть обеспечена возможность взятия
управления на себя (вмешательства в управле-
ние самолетом) путем воздействия на основные
рычаги управления без каких-либо дополни-
тельных действий по отключению САУ.

На ручке управления самолётом даже есть (была) кнопка КБО - кнопка быстрого отключения САУ. Причём КБО располагалась так, что бы можно было быстро на неё нажать большим пальцем держащей ручку руки.

Т.е. в критических системах к вычислительной технике относились в то время с большой опаской.
К тому же на истребителе военному лётчику платят (или думают, что платят) за то, что он рискует жизнью.
В гражданской авиации пассажир платит, что бы его доставили из тчк. А в тчк. Б без повреждений.

Сегодня летают на процессорах не только "их" эрбасы и боинги, но, и наши самолёты. Просто речь шла, что девять девяток после запятой не такое уж и страшное требование даже для "антиквариата" электроники.

С этим я абсолютно согласен. Я бы и сам поопасался лететь на самолёте без механического резервирования. В airbus он точно есть, называется "mechanical backup". Я прекрасно понимаю, что электроника может дать сбой, может элементарно лишиться своего питания и т.д. и т.п. В тоже время, как механика и гидравлика (спорно) более надёжна в плане отказа, хотя бы из-за огромной проверки временем. Но вот незадача. Airbus A380. Огромнейшая машина. Такой чисто механически трудно управлять. Всё равно нужны какие-то бустеры, гидравлика, например.


Да, конечно. Сухой Суперджет хороший тому пример. Я подразумевал, что "они" пришли к этому раньше в гражданской авиации.

P.S. Спасибо за документ! Очень интересный!

Да нее...
Я думаю считается так -
Нажмите для просмотра прикрепленного файла

Т.е. берем самую обычную ненадежную электронику, хуже чем те же Safety контроллеры с фоток выше и резервируем каждую, т.е. далаем так чтобы поломка была только когда сбойнут обе вместе.
И тогда мы для 100 независимых таких систем и получим ту заветную десятку с 9-ю нулями после запятой.

Очевидный трюк.
В промышленности делается точно также - оговаривается обязательность дублирования функций безопасности.

Почему трюк-то? Это базовые теоремы теории вероятностей Абсолютно научный подход.

Тут можно еще сказать, что ваши 10^-7 на блок получаются из 10^-12..10^-9 на отдельные компоненты, которые тоже получают используя «трюки» и небесспорные методики.

Потому что теория вероятности распространяется только на случайные события. На столь малых вероятностях у меня нет уверенности, что они будут реально случайными, а не связанными и закономерными (маловероятные внешние воздействия, человеческий фактор и т.п.). Использование разнородных компонентов в резервированных системах, конечно, сглаживает связь между возможностями отказов, но всё-же, людям свойственно ошибаться.

Если у вас уже есть значение апостериорной вероятности отказа (10^-7, например), то и оперировать такими значениями вы можете, опираясь на теоремы, производя перемножение, сложение и т.п.
«реально случайными, а не связанными и закономерными». Эта фраза не понятна, если честно. Что значит, реально случайными