Jump to content

    

Аппаратное дублирование, избыточность, отказоустойчивые системы, горячая замена

Если два оставшихся будут иметь разную полярность, то на выходе КЭ будет ноль (иногда надо учитывать).

 

Приведите пример такого случая. Ваша схема не предусматривает обратную полярность источников E1-Е3.

Share this post


Link to post
Share on other sites
Приведите пример такого случая. Ваша схема не предусматривает обратную полярность источников E1-Е3.

Я не понял, в каком месте она (схема) не предусматривает. Например, Е1 может быть и +1 В, и -1 В. Если останется только, например, Е1= (+1) В и Е2= (-5) В, то на выходе будет ноль.

 

У нас четыре подканала работают через такие кворум-элементы. Если вследствие разброса параметров два подканала будут чуть-чуть в плюсе, а два других - чуть-чуть в минусе, то в районе нуля образуется зона нечувствительности.

 

Есть места, очень критичные к зоне нечувствительности, поэтому сигнал искусственно перед КЭ смещается, а после КЭ обратным смещением возвращается на место.

 

См. приложенный файл.

На первой странице набрана в microCAP схема из трёх подканалов, работающих через КЭ на общую нагрузку.

На второй странице (амплитуда и частота) трёх источников:

v(1) = 10 В, 1 Гц;

v(2) = 9 В, 0,9 Гц;

v(3) = 11 В, 1,1 Гц

и v(6) = напряжение на R1

 

Это просто пример для понимания, как меняется выходной сигнал КЭ от разброса входных. Нет проблем это смоделировать для двух подканалов (но не дома).

 

На третьей странице соединение ОТ в кворум-элементы (именно во множественном числе) для частичного резервирования при четырёх подканалах. Например, закорачивание R1 не влияет на сигналы на остальных трёх резисторах. Естественно, питание источников сигнала и сборок ОТ у каждого подканала своё.

 

Есть случаи, когда надо с трёх подканалов перейти на четыре подканала, при этом, как просили в здесь, без общей точки - для этого надо выкинуть четвёртый источник сигнала и самую нижнюю сборку ОТ.

___3.pdf

Share this post


Link to post
Share on other sites
Нет проблем это смоделировать для двух подканалов (но не дома).

Я вроде как обещал смоделировать работу двух подканалов с кворум-элементом.

 

См. прилагаемый файл.

Схему оставил ту же, что и в предыдущем сообщении. Надеюсь, Вы помните сказанное в сообщении №15

ОТ - обычный диодный мост, вертикальная диагональ которого питается источником тока I1 - I3. Если ток сигнала Iс через горизонтальную диагональ меньше тока ограничения Io (вертикальной диагонали), то точки А и Б эквипотенциальны (равны).

Т.е. если Ic > Io, то на выход сигнал не проходит.

Поэтому я просто приравнял амплитуду источников тока первого (верхнего) ОТ (диодного моста) к нулю и, соответственно, ток сигнала первого источника не стал проходить на выход КЭ.

___3_2_.pdf

Share this post


Link to post
Share on other sites

Простите, что подымаю тему. Но вот не нахожу я похожего чего-то по книжкам или стандартам. У меня вроде как и не космос, и не защита для атомных станций. Просто требуется обеспечить отказоустойчивость на высоком уровне, с возможностью полного восстановления системы без остановки.

Пока все решается двумя полностью идентичными системами управления, из которых одна активна, а другая в ждущем режиме. Если активная диагностирует неисправность - переключаемся на ждущую. Неисправную тогда можно ремонтировать вплоть до полного отключения.

Пока проблема в том, что в конце концов сигнал от активной системы подается на управляющие элементы. И это делает недублированный блок, который является единой точкой отказа (SPOF)

Не хочется делать отсебятину - может есть еще какие европейские стандарты по этому поводу? IEC 61508 уже читал. Ближе всего по ихней классификации мне подходит 1oo2D, но только по структуре.

Share this post


Link to post
Share on other sites

Посоветуйте хорошую книжку (желательно американскую) по резервированным системам управлению и их математическому расчету

Share this post


Link to post
Share on other sites

На родном языке:

Коваленко А.Е., Гула В.В. - Отказоустойчивые микропроцессорные системы. 1986

Пашковский Г.С. - Задачи оптимального обнаружения и поиска отказов в РЭА (Радио и связь, Надёжность и качество). 1981

Синтез сложных многофункциональных отказоустойчивых систем электроники. А. А. Авакян, В. В. Клюев (Спектр). 2014

Согомонян Е.С., Слабаков Е. В. - Самопроверяемые устройства и отказоустойчивые системы (Радио и связь). 1989

Бортовые системы управления космическими аппаратами: Учебное пособие. Под ред. А.С. Сырова (МАИ-ПРИНТ). 2010

Проектирование и испытание бортовых систем управления. Учебное пособие. Под ред. А.С. Сырова (МАИ-ПРИНТ). 2011

 

На английском:

http://libgen.io/search.php?req=fault+tole...&column=def

Edited by hitch

Share this post


Link to post
Share on other sites

А есть какие то известные цифры, о связи между резервированием и увеличением надежности в аппаратуре, которые опубликованы, и на которые можно просто ссылаться, без собственного расчета?

 

Я где то слышал, что дублирование повышает надежность в 1.4 раза, а троирование в 1.7. Но сам никогда не считал, не умею. Поэтому хотелось бы увидеть это в виде таблицы, включая четверное резервирование, восьмерное и т.д.

Share this post


Link to post
Share on other sites
Я где то слышал, что дублирование повышает надежность в 1.4 раза, а троирование в 1.7.

 

Не совсем уверен в цифрах, но кажется вы правы. Была где-то логарифмическая характеристика надёжности от количества каналов. При количестве каналов больше 3-4 существенного прироста уже не происходит из-за пропорционального увеличения количества элементов, которое в свою очередь, уменьшает надёжность.

Share this post


Link to post
Share on other sites
Я где то слышал, что дублирование повышает надежность в 1.4 раза, а троирование в 1.7.

Обычно считают так: при дублировании для работы устройства достаточно работы одного канала, поэтому вероятность отказа всего устройства (т.е. обоих каналов одновременно) равна вероятности отказа одного канала, возведенной во вторую степень. При таком расчете не учитывается возможность выдачи каналом недостоверной информации, т.е. для цепей питания пойдет, для информационных - нет. Чтобы обезопаситься от выдачи недостоверной информации используют троирование и мажоритарный элемент для определения наиболее правдоподобного результата.

Стоит почитать ГОСТ Р 51891-2008, ISO 1161_1984 Менеджмент риска. Структурная схема надежности и булевы методы, там хорошо и понятно (что удивительно для стандарта) написано.

Share this post


Link to post
Share on other sites
... вероятность отказа всего устройства (т.е. обоих каналов одновременно) равна вероятности отказа одного канала, возведенной во вторую степень. ...

 

По идее, если дублирование дает увеличение надежности в 1.4, а троирование в 1.7, то ближайшая формула - квадратный корень из числа каналов.

Но почему и спрашиваю - хотелось бы взглянуть на готовую таблицу или формулу расчета, а не гадать, или разбираться с методикой.

 

За ссылку на ГОСТ спасибо, но я пока не готов с ним разбираться. У меня просто казуальный интерес, касающийся проектирования интегральных микросхем для космоса. С одной стороны я в курсе, что почти каждый рад. стойкий чип делается с обязательным аппаратным резервированием (обычно троирование) и мажорированием. Один такой процессор стоит как новые жигули. С другой стороны, ходит слух что тот же Илон Маск положил болт на резервирование на уровне интегральной схемы, и в свои аппараты ставит обычную коммерческую ЭКБ, но с каким то чудовищным (10х, 40х ?)резервированием на уровне аппаратных блоков и узлов. В результате он здорово экономит деньги, а получает результат как минимум не хуже. Поэтому было бы просто интересно узнать (но не считать самому) - как увеличивается надежность при резервировании, скажем, 40х. Если извлечь квадратный корень из 40, получится 6 -что навряд ли (оборудования то стало больше в 40 раз!).

Share this post


Link to post
Share on other sites

Посмотрите у Тексаса, как они делают резервирование в контроллерах повышенной безотказности, серия "Геркулес" помнится, или еще как то.

Share this post


Link to post
Share on other sites
А есть какие то известные цифры, о связи между резервированием и увеличением надежности в аппаратуре, которые опубликованы, и на которые можно просто ссылаться, без собственного расчета?

 

Я где то слышал, что дублирование повышает надежность в 1.4 раза, а троирование в 1.7. Но сам никогда не считал, не умею. Поэтому хотелось бы увидеть это в виде таблицы, включая четверное резервирование, восьмерное и т.д.

Ответ зависит от вида резервирования, показателя надежности, момента времени, закона распределения и др.

Для резервирования с постоянно включенным резервом можете посмотреть книгу В.А. Острейковского "Теория надежности"

В книге редакции 2003 года смотрите раздел 5.2 страница 131, формула 5.9.

Share this post


Link to post
Share on other sites

Ещё 2 источника полностью отвечающие на вопрос о связи между резервированием и увеличением надёжности в аппаратуре:

Dubrova E. - Fault-Tolerant Design (Springer-Verlag New York). 2013 - раздел 4.2.2 N-Modular Redundancy и диаграмма 4.10.

Фёдоров Ю.Н. - Основы построения АСУТП взрывоопасных производств. Том 1. Методология (Синтег). 2006 - раздел 4.

 

Share this post


Link to post
Share on other sites

Спасибо большое!

График интересен, но не понятен. К примеру - что такое лямда-Т. Понял только, что это какое то время, но осталось загадкой, что за точка 0.69 лямда-Т, где все кривые сходятся.

Еще непонятно, что такое R. Это вероятность работы без сбоев - чем дальше, тем ниже? В таком случае смущает, что после времени 0.69 лямда-Т любой (2 и более) резерв даст меньшую надежность, чем у одного канала. Это по теории так - резервирование дает бенефит только ограниченное время, а потом только вредит?

 

Спасибо, разобрался.

Share this post


Link to post
Share on other sites
Простите, что подымаю тему. Но вот не нахожу я похожего чего-то по книжкам или стандартам. У меня вроде как и не космос, и не защита для атомных станций. Просто требуется обеспечить отказоустойчивость на высоком уровне, с возможностью полного восстановления системы без остановки.

Пока все решается двумя полностью идентичными системами управления, из которых одна активна, а другая в ждущем режиме. Если активная диагностирует неисправность - переключаемся на ждущую. Неисправную тогда можно ремонтировать вплоть до полного отключения.

Пока проблема в том, что в конце концов сигнал от активной системы подается на управляющие элементы. И это делает недублированный блок, который является единой точкой отказа (SPOF)

Не хочется делать отсебятину - может есть еще какие европейские стандарты по этому поводу? IEC 61508 уже читал. Ближе всего по ихней классификации мне подходит 1oo2D, но только по структуре.

 

Что вам мешает выходы обеих управляющих половинок дублировать, ставить 2 свича и дублировать входы управления исполнительных устройств/исполнительные устройства ?

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this