[AlexandrY 3]

Интернет-коллеги, обратите внимание, что в одном ГОСТе находятся вместе с Безопасностью и Надёжностью ещё Контролепригодность и Технологичность.

- Если изделие не контролепригодно - качество его не возможно проконтролировать, то верить в безопасность и надёжность такого изделия могут только очень наивные.

- Если технология изготовления изделия требует золотые руки дяди Васи, то безопасность и надёжность изделия будут зависеть от того, как похмелился дядя Вася.

 

Например, выписка из реальных требований из реального Тех.задания на ЭДСУ для реального самолёта:

 

Вероятность пассивного отказа аппаратной части, при котором рулевые поверхности и механизация останавливаются или отрабатывают в нейтральное (исходное) положение, должна быть:

- не более 1*10 минус 9 на один час полета для управления РВ;

- не более 1*10 минус 9 на один час полета для управления РН;

- не более 1*10 минус 9 на один час полета для управления элеронами;

Вы неправильно интерпретируете стандарт.

 

Контролепригодность - это возможность контроля заданными средствами.

И там не про технологичность, а про ремонтную технологичность

 

А цифры 10^-9 как-то выглядят нереально.

Т.е. их нельзя перепроверить на промежутке менее 100 лет. А именно такой горизонт принято считать предельным в промышленности.

У самого высокого уровня эффективности защиты в промышленности стоит цифра 10^-7

И эта цифра применяется к рискам с катастрофическими последствиями.

 

 

[haker_fox 60]

У самого высокого уровня эффективности защиты в промышленности стоит цифра 10^-7

Вы не занимаетесь такими изделиями? Если да, то могли бы привести ссылки. Ну пусть даже, если это не ваши изделия. Вы их где-то приводили, но я найти не могу(((

[AlexandrY 3]

Вы не занимаетесь такими изделиями? Если да, то могли бы привести ссылки. Ну пусть даже, если это не ваши изделия. Вы их где-то приводили, но я найти не могу(((

Вот: EN ISO13849-1 (PLe/Safety Category4), IEC 61508 (SIL3) certified

 

Или вот две стороны другого контроллера

 

Если заглянуть в EN ISO13849-1 то там PL (Performance Level) уровня "e" - самый высокий уровень безопасности в промышленности.

И ему соответствует уровень надежности функций безопасности в 10^-7

Надежность других функций (не функций безопасности) конечно можно поднимать и выше, только кому это надо?

[Ильдус 2]

. . . . .

А цифры 10^-9 как-то выглядят нереально.

Т.е. их нельзя перепроверить на промежутке менее 100 лет. А именно такой горизонт принято считать предельным в промышленности.

У самого высокого уровня эффективности защиты в промышленности стоит цифра 10^-7

И эта цифра применяется к рискам с катастрофическими последствиями.

Вы о "промышленности", а я об авиации. Для примера выписка из "Библии" разработчиков авиационной техники:

4.7. Отказное состояние (функциональный

отказ, вид отказа системы) может быть отнесе-

но к событиям практически невероятным, если

выполняется одно из следующих условий:

(а) Указанное состояние возникает в резуль-

тате двух и более независимых последователь-

ных отказов различных элементов рассматри-

ваемой системы или взаимодействующих с ней

систем с вероятностью менее 10 в минус 9 на час полета

по типовому профилю;

"Авиационные правила. Часть 25. Нормы лётной годности самолётов транспортной категории"

(См. файл)

* * * * *

Кстати, это согласуется с "Вашими промышленными" 10 в минус 7.

Если мне не изменяет склероз, то в НЛГС (Нормы лётной годности гражданских самолётов СССР) было приведено обоснование этих требований:

– по экономическим соображением и экспертным оценкам для общества приемлема авиакатастрофа (гибель людей) не чаще, грубо говоря, чем один случай на 10 млн. часов полёта (вспоминаем исландский вулкан Э́йяфьядлайё̀кюдль, из-за которого авиационные власти Европы отменили авиарейсы 16—20 апреля 2010 года в его районе – сколько было недовольных пассажиров, а авиакомпании даже проводили опытные полёты без пассажиров для доказательства безопасности). Далее, по экспертным оценкам на абстрактном самолёте 100 критических систем (которые могут угробить пассажиров и экипаж) – отсюда требование 10 в минус 9 степени.

* * * * *

Поскольку эти цифры действительно нельзя проверить опытным путём, то эксперты по авиационной безопасности расчёты надёжности с результатом хуже 10 в минус 12 даже смотреть не будут.

* * * * *

В АП-25 на стр. 236 (электронной) приведены определения разных ситуаций на самолёте с соответствием показателей надёжности.

 

Странно. В одном из постов вы сказали, что ничего не знали о микроконтроллерах, а о процессорах - только слышали. Вот я и сделал вывод, что сделали на том, что знали. Это не хорошо и не плохо. Если прибор выполняет то, что он него требуют.

. . . . .

Ничего странного! Я же сказал о себе, а не за всю авиацию.

В соседнем отделе разрабатывали (и разработали) систему автоматического управления (САУ-10) на процессоре на тот же Су-27. Но !!! САУ можно отключить. Из той же "Библии" АП-25:

8.2.7.12. При автоматическом управлении

полетом самолета с исправной САУ пилотам

должна быть обеспечена возможность взятия

управления на себя (вмешательства в управле-

ние самолетом) путем воздействия на основные

рычаги управления без каких-либо дополни-

тельных действий по отключению САУ.

 

На ручке управления самолётом даже есть (была) кнопка КБО - кнопка быстрого отключения САУ. Причём КБО располагалась так, что бы можно было быстро на неё нажать большим пальцем держащей ручку руки.

 

Т.е. в критических системах к вычислительной технике относились в то время с большой опаской.

К тому же на истребителе военному лётчику платят (или думают, что платят) за то, что он рискует жизнью.

В гражданской авиации пассажир платит, что бы его доставили из тчк. А в тчк. Б без повреждений.

AP_25.pdf

Изменено 23 мая, 2018 пользователем Ильдус

[Ильдус 2]

. . . . .

1983 год закончился 35 лет назад))) Сейчас 2018. На микропроцессорах и микроконтроллерах летают "эйрбасы", "боинги". Вы же это не хуже меня знаете. . . .

Сегодня летают на процессорах не только "их" эрбасы и боинги, но, и наши самолёты. Просто речь шла, что девять девяток после запятой не такое уж и страшное требование даже для "антиквариата" электроники.

[haker_fox 60]

путем воздействия на основные

рычаги управления без каких-либо дополни-

тельных действий по отключению САУ.

С этим я абсолютно согласен. Я бы и сам поопасался лететь на самолёте без механического резервирования. В airbus он точно есть, называется "mechanical backup". Я прекрасно понимаю, что электроника может дать сбой, может элементарно лишиться своего питания и т.д. и т.п. В тоже время, как механика и гидравлика (спорно) более надёжна в плане отказа, хотя бы из-за огромной проверки временем. Но вот незадача. Airbus A380. Огромнейшая машина. Такой чисто механически трудно управлять. Всё равно нужны какие-то бустеры, гидравлика, например.

 

Сегодня летают на процессорах не только "их" эрбасы и боинги, но, и наши самолёты. Просто речь шла, что девять девяток после запятой не такое уж и страшное требование даже для "антиквариата" электроники.

Да, конечно. Сухой Суперджет хороший тому пример. Я подразумевал, что "они" пришли к этому раньше в гражданской авиации.

 

P.S. Спасибо за документ! Очень интересный!

[AlexandrY 3]

Кстати, это согласуется с "Вашими промышленными" 10 в минус 7.

 

Далее, по экспертным оценкам на абстрактном самолёте 100 критических систем (которые могут угробить пассажиров и экипаж) – отсюда требование 10 в минус 9 степени.

Да нее...

Я думаю считается так -

 

Т.е. берем самую обычную ненадежную электронику, хуже чем те же Safety контроллеры с фоток выше и резервируем каждую, т.е. далаем так чтобы поломка была только когда сбойнут обе вместе.

И тогда мы для 100 независимых таких систем и получим ту заветную десятку с 9-ю нулями после запятой.

 

Очевидный трюк.

В промышленности делается точно также - оговаривается обязательность дублирования функций безопасности.

[x736C 0]

Очевидный трюк.

Почему трюк-то? Это базовые теоремы теории вероятностей:) Абсолютно научный подход.

 

Тут можно еще сказать, что ваши 10^-7 на блок получаются из 10^-12..10^-9 на отдельные компоненты, которые тоже получают используя «трюки» и небесспорные методики.

[novikovfb 17]

Почему трюк-то? Это базовые теоремы теории вероятностей:) Абсолютно научный подход.

 

Тут можно еще сказать, что ваши 10^-7 на блок получаются из 10^-12..10^-9 на отдельные компоненты, которые тоже получают используя «трюки» и небесспорные методики.

Потому что теория вероятности распространяется только на случайные события. На столь малых вероятностях у меня нет уверенности, что они будут реально случайными, а не связанными и закономерными (маловероятные внешние воздействия, человеческий фактор и т.п.). Использование разнородных компонентов в резервированных системах, конечно, сглаживает связь между возможностями отказов, но всё-же, людям свойственно ошибаться.

[x736C 0]

Если у вас уже есть значение апостериорной вероятности отказа (10^-7, например), то и оперировать такими значениями вы можете, опираясь на теоремы, производя перемножение, сложение и т.п.

«реально случайными, а не связанными и закономерными». Эта фраза не понятна, если честно. Что значит, реально случайными:)

[novikovfb 17]

Если у вас уже есть значение апостериорной вероятности отказа (10^-7, например), то и оперировать такими значениями вы можете, опираясь на теоремы, производя перемножение, сложение и т.п.

«реально случайными, а не связанными и закономерными». Эта фраза не понятна, если честно. Что значит, реально случайными:)

Насчет теорем, сложения, перемножения и т.п. - понятно. Но они работают для не связанных между собой событий.

"У каждой аварии есть конкретные имя, фамилия и должность" (Лазарь Каганович)

Например, отказ одного канала в резервированной системе вызван отказом резистора (треснула керамика в результате нарушения технологии производства). Какова вероятность, что при нарушении технологии треснет только один резистор в резервированной системе, где во всех каналах использованы резисторы того же типа?

При этом отказ конкретного резистора имеет вероятность, не противоречащую ТУ на него. И имея вполне определенную вероятность отказа для одного канала резервирования, посчитанную по нормативной документации и проверенную на опытной партии приборов, распространять полученные данные на все приборы - разрешенное трюкачество. Потому что мы не можем знать конкретное будущее конкретной детали в конкретном приборе и полагаемся на вероятности. И для большого количества случаев эти вероятности будут работать. Вероятность отказа 10^-7 будет подтверждаться при 10^7 опытах, даже при 10^6 опытах.

[a123-flex 0]

Вот: EN ISO13849-1 (PLe/Safety Category4), IEC 61508 (SIL3) certified

Или вот две стороны другого контроллера

 

Если заглянуть в EN ISO13849-1 то там PL (Performance Level) уровня "e" - самый высокий уровень безопасности в промышленности.

И ему соответствует уровень надежности функций безопасности в 10^-7

Надежность других функций (не функций безопасности) конечно можно поднимать и выше, только кому это надо?

вы же вроде фанат philips ? а тут стм ?

любопытно это ваши лифты ? или это не ваш продукт ?

 

1983 год закончился 35 лет назад))) Сейчас 2018. На микропроцессорах и микроконтроллерах летают "эйрбасы", "боинги". Вы же это не хуже меня знаете. И, я полагаю, современные системы более экономичны в планет энергопотребления, проще в диагностике, отладке, калибровке и настройке. Надёжность их выше, хотя бы по причине высокой интеграции схемы на куске кремения. Они открывают широкие возможнсти: ну хотя бы банальное логгирование. Ведь в воздухе разно может быть. Прилетел на землю, посмотрел лог, сделал выводы. Система сама может сообщать о том, что в ней что-то пора заменить, или обслужить, или выбросить. Конечно, с одной стороны есть мудрость: работает - не трогай. Но так можно было бы до сих пор на паровозах ездить, а то и на тележке с лошадью)))

что за хрень. мне кажется в этих раскладках от уважаемого Ильдуса есть и большой смысл и большой интерес. Многократное резервирование процессорных систем мне кажется весьма мутной затеей.

 

вопрос имхо классический: а судьи кто ?

 

Ильдус :a14: и спасибо что делитесь опытом.

[Ильдус 2]

. . . Это базовые теоремы теории вероятностей:) Абсолютно научный подход.

. . . . .

Ну, это Вы так думаете. Я знаю людей (зам. главного конструктора и выше), которые считают теорию надёжности лженаукой, хорошо, что не "продажной девкой империализма" (с) :rolleyes:

 

. . . . . Использование разнородных компонентов в резервированных системах, конечно, сглаживает связь между возможностями отказов, но всё-же, людям свойственно ошибаться.

Ошибка может быть (и точка!), и никак не обсчитывается.

В авиации принято: "один делает, другой проверяет" – сейчас, к сожалению, это часто нарушается.

Помимо этого в гражданской авиации вводится требование на разнородных (не зависимых) производителей и разработчиков. – Минимизируется вероятность негативного влияния ошибок (хотя ошибки и не обсчитываются).

 

 

. . . . .

"У каждой аварии есть конкретные имя, фамилия и должность" (Лазарь Каганович)

Например, отказ одного канала в резервированной системе вызван отказом резистора (треснула керамика в результате нарушения технологии производства). Какова вероятность, что при нарушении технологии треснет только один резистор в резервированной системе, где во всех каналах использованы резисторы того же типа?

При этом отказ конкретного резистора имеет вероятность, не противоречащую ТУ на него. . . . .

По поводу разнородности компонентов здесь уже писалось.

 

Уже давно ни одна авиакатастрофа не является следствием какого-то одного события – всегда комплекс разных факторов. Посмотрите в файле рис. 2-11А и 2-11В на стр. 35, 36 (электронных).

 

Что касается нарушения технологии производства, то на серьёзных предприятиях раз в год или один раз на партию проводят квалификационные испытания – испытания, подтверждающие, что предприятие способно производить продукцию заданного качества. Хотя, знаю случаи, когда на участке изготовления оставались три пенсионерки и качество – никакое.

 

Посмотрите в файле рис. 2-2 на стр. 21 (электронная). Заодно рис. 2-3

В авиации отказы техники при катастрофах давно не на первом месте. На рис.2-2 "Человеческие факторы" (так переведено) – это ошибки лётчиков.

"Организационные факторы" (так переведено). . . то, что менеджеров не посчитали за человеков, я согласен :rolleyes:

subp_2009.pdf

Изменено 25 мая, 2018 пользователем Ильдус

[haker_fox 60]

что за хрень.

Во-первых, следите за словами.

мне кажется в этих раскладках от уважаемого Ильдуса есть и большой смысл и большой интерес.

Во-вторых,мы с уважаемым Ильдусом уже давно дискутируем (именно потому, что у него огромный практический опыт и мне это как раз интересно), потрудитесь почитать сначала.

Многократное резервирование процессорных систем мне кажется весьма мутной затеей.

Посмотрите на структурные схемы систем управления полётом Airbus & Boeing. Здесь они выкладывались. А казаться может многое...

 

вопрос имхо классический: а судьи кто ?

Этот вопрос я уже задавал. Правда в другой ветке. Вот тут

И ответ на этот вопрос находится как раз в этой ветке, только чуть по-ближе к началу.

 

А вообще, вы, собственно говоря, что сказать-то хотели?

[a123-flex 0]

Во-первых, следите за словами.

Я извиняюсь, был неправ :(