Перейти к содержанию

Аппаратное дублирование, избыточность, отказоустойчивые системы, горячая замена

Привет.
Подскажите пожалуйста существует ли литература по сабжу? Интересует как делать по уму апппаратную избыточность для повышения надежности системы управления.
В моем случае - система управляет силовой электроникой в системах энергоснабжения. И ее отказ приведет к отключению света во многих городах. Пока решаем так - система управления (Процессоры и FPGA) полностью продублирована, включая датчики и разнесена физически, вплоть до того, что в разные здания. Обмен данными между системами только по оптике.
Выходы задублированных систем в виде оптики приходят в один контрольный блок, а с него в виде одного сигнала к исполнительным устройствам - тиристорам. Каждая система имеет встроенную самодиагностику, и блок, основываясь на этих данных решает, данные с какой системы посылать на выход. Контрольный блок сделан очень надежным с минимумом компонентов.
Конечно не самое лучшее решение и оно не всегда работает, поэтому хочется сделать как-то лучше и по уму.
Хочется, чтобы вообще не было Single Point Failure - то есть узлов, отказ которых приводит к выходу из строя всей системы. Горячая замена - тоже интересно как по уму делается.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Почитайте Федоров Ю.Н. "Основы построения АСУТП взрывоопасных производств". В этой книге есть информация по поводу резервирования, дублирования.
Изменено пользователем ARMik

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
или
Федоров Ю.Н. - Справочник инженера по АСУ ТП: проектирование и разработка (2008)
оно, вроде, посвежее

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Спасибо, почитаю

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Скорее всего то о чем вы говорите можно найти в области работы критических систем,
таких как космос/авиация, впк, ядерные технологии, химия, ж/д. Тот критерий который
был озвучен соответствует требованиям к безопасности например для ж/д и атомных
станций (принцип единичного отказа). Авиация и космос более выдвигают более жесткие
требования.

Относительно литературы - более менее качественная на английском, в чистом виде
консолидированной информации я не находил пока. Начать можно с простых вещей,
как ни странно в лабораторках для ВУЗов хорошо изложен сам подход.

Выкладываю одну их них "Анализ безопасных схем...".

Если будут более предметные вопросы постараюсь ответить.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Почитал я этот справочник - более менее интересно - но он там сконцентрирован на системах безопасности, а мне надо системы управления. Плюс там описывается применение, но не разработка.
Помоему для систем управления подход должен немного отличаться.
Есть еще что-нибудь интересное? Классификация типа 1002,2004 и т.д. - интересная. Есть по ним что-нибудь прочитать кроме стандартов?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Когда я в свое время столкнулся с аналогичной проблемой - выходом послужили материалы
Space Shuttle Technical Conference (NASA,1985) - там детально проанализированы подходы
и рекомендации к проектированию челнока. Идеи резервирования с тех пор не изменились.
Немного выводы расходятся с Федоровым, но как мне кажется из-за специфики приложения,
ведь на земле можно выпасть в "защитный отказ" и ничего, а на борту безопасные но дохлые
мозги никому не нужны.

Почитайте в принципе материалы NASA - в сети можно найти. У меня эти материалы - 67 Мб,
выложу по запросу.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Цитата(i-mir @ Oct 11 2011, 16:10) <{POST_SNAPBACK}>
Когда я в свое время столкнулся с аналогичной проблемой - выходом послужили материалы
Space Shuttle Technical Conference (NASA,1985) - там детально проанализированы подходы
и рекомендации к проектированию челнока. Идеи резервирования с тех пор не изменились.
Немного выводы расходятся с Федоровым, но как мне кажется из-за специфики приложения,
ведь на земле можно выпасть в "защитный отказ" и ничего, а на борту безопасные но дохлые
мозги никому не нужны.

Почитайте в принципе материалы NASA - в сети можно найти. У меня эти материалы - 67 Мб,
выложу по запросу.

делаю запрос, спасибо!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Да, было бы интересно посмотреть на практические, желательно схемотехнические, простые приемы горячего резервирования...Типа есть выходной аналоговый сигнал, который формируется 2-мя одинаковыми блоками, и вот один блок отказал, а сигнал все равно есть ... Как сделать выходной "сумматор", чтобы он на все это не влиял....

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Цитата(i-mir @ Nov 1 2011, 16:09) <{POST_SNAPBACK}>

К сожалению, ссылки уже не актуальны, а материалы нужные и полезные. Не могли бы "освежить" ссылки? Или положить на фтп? Спасибо!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Предлагаю не использовать термин "гарячее" резервирование - т.к. он неинформативен.
Если имеется ввиду работа в режиме нагруженного резервирования (см. ГОСТ 27.002-89 п.7.8),
то нужно понять что за аналоговый сигнал у вас используется.
В большинстве случаев можно обойтись облегченным или ненагруженным резервированием
и рассмотреть выходной каскад более детально по вашим требованиям.
Рассмотрите допустимое время переключения между каналами - обеспечение достаточно
быстрой коммутации может решить проблему намного быстрее и проще, даже с аналоговым
выходом.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Цитата(sturi @ Dec 22 2011, 09:23) <{POST_SNAPBACK}>
Да, было бы интересно посмотреть на практические, желательно схемотехнические, простые приемы горячего резервирования...Типа есть выходной аналоговый сигнал, который формируется 2-мя одинаковыми блоками, и вот один блок отказал, а сигнал все равно есть ... Как сделать выходной "сумматор", чтобы он на все это не влиял....

Для "суммирования" аналоговых сигналов применяют аналоговый кворум (КЭ), который состоит из ячеек ограничителей тока (ОТ) - см. прикреплённый файл.

ОТ - обычный диодный мост, вертикальная диагональ которого питается источником тока I1 - I3. Если ток сигнала Iс через горизонтальную диагональ меньше тока ограничения Io (вертикальной диагонали), то точки А и Б эквипотенциальны (равны).

Три соединённых ОТ образуют КЭ (можно и два, можно и двадцать два). Если сигналы Е1 - Е3 равны, то на Rн естественно имеем напряжение Е1. Если сигналы не равны, то на Rн будет напряжение, равное среднему по уровню источнику, например,
Е1 = 1 В; Е2 = 5 В; Е3 = 2 В - на Rн будет напряжение, равное Е3 (2 В).
- это так называемое мягкое отключение.

К точкам А и Б каждого подканала надо подключить компаратор, который при превышении заданного порога отключит соответствующий источник тока. - Жёсткое отключение

Из двух оставшихся на выход КЭ пройдёт меньший по уровню сигнал. Если они до отключения первого неисправного были равны, то рывков на Rн не будет.
Если два оставшихся будут иметь разную полярность, то на выходе КЭ будет ноль (иногда надо учитывать). Из двух оставшихся система не сможет выбрать правильный (КЭ как в жизни - два человека могут спорить до посинения), поэтому надо отключать оба.

"Безнадёжность" такого резервирования = 3*Q*Q, где Q - "безнадёжность" одного подканала.



Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Для публикации сообщений создайте учётную запись или авторизуйтесь

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти
Авторизация